Prioriser la protection de la vie privée dans un monde axé sur les données

Lettre à la présidente du Sénat

Le 5 juin 2025

L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario) K1A 0A4

Madame la Présidente,

J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2024 au 31 mars 2025, intitulé Prioriser la protection de la vie privée dans un monde axé sur les données. Ce dépôt se fait en vertu de l’article 38 et du paragraphe 40(1) de la Loi sur la protection des renseignements personnels et de l’article 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.

Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.

Lettre au président de la Chambre des communes

Le 5 juin 2025

L’honorable Francis Scarpaleggia, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2024 au 31 mars 2025, intitulé Prioriser la protection de la vie privée dans un monde axé sur les données. Ce dépôt se fait en vertu de l’article 38 et du paragraphe 40(1) de la Loi sur la protection des renseignements personnels et de l’article 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.

Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.

Message du Commissaire

Je suis heureux de remettre au Parlement le rapport annuel 2024-2025 du Commissariat à la protection de la vie privée du Canada, qui fait état des activités de l’organisme au cours du dernier exercice financier.

Ce rapport présente les activités et les réalisations que le Commissariat a accomplies pour protéger et promouvoir le droit fondamental à la vie privée des individus. Il traite à la fois des travaux exécutés pour veiller au respect de la Loi sur la protection des renseignements personnels (LPRP), qui régit les pratiques de traitement des renseignements personnels adoptées par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est la loi fédérale en la matière dans le secteur privé au Canada.

À une époque où une quantité incomparable de renseignements personnels des Canadiennes et des Canadiens sont recueillis, utilisés et communiqués au-delà des frontières, et ce, à une vitesse sans précédent, la protection de la vie privée se doit d’évoluer pour rester efficace. Prioriser la protection de la vie privée en tant que droit fondamental reflète nos valeurs et nos ambitions canadiennes et renforce les libertés et la confiance sur lesquelles repose notre démocratie.

La protection de la vie privée est importante autant pour les individus que pour les organisations. L’adoption croissante de l’intelligence artificielle (IA) et de l’IA générative, le risque de préjudices graves causés par des atteintes à la sécurité des données et la nature de plus en plus complexe de la circulation des données à l’échelle mondiale ont placé la protection des données au cœur des priorités dans l’intérêt du public.

Les données sont une source de pouvoir, et la protection de celles-ci doit demeurer une priorité. C’est pourquoi, en cette période sans précédent, je me suis donné comme objectif de veiller à ce que le Commissariat soit en bonne position pour optimiser ses efforts afin de protéger les Canadiennes et les Canadiens dans un monde axé sur les données.

Tout au long du dernier exercice financier, nous avons passé en revue nos processus et nos structures internes afin de nous assurer d’utiliser tous les outils à notre disposition pour protéger et promouvoir le droit fondamental à la vie privée des individus.

En janvier 2025, j’ai dévoilé un plan de transformation qui marque le début d’un parcours de changement visant à moderniser le Commissariat pour qu’il exécute son mandat et réalise ses priorités stratégiques de la manière la plus efficace et la plus percutante possible.

Lorsque la transformation sera pleinement achevée, elle permettra au Commissariat de réagir plus rapidement et plus efficacement aux nouveaux enjeux, d’élargir son approche en matière de conformité et d’harmoniser davantage ses travaux sur les plans juridiques et des politiques ainsi que ses activités d’application de la loi et de services-conseils.

Selon le plan de transformation, la fonction de conformité du Commissariat se présente désormais sous forme de continuum, regroupant les fonctions de mobilisation proactive et d’enquête officielle en un seul secteur.

À l’avenir, le Commissariat s’efforcera de promouvoir la conformité de manière plus stratégique, en prenant les mesures les mieux adaptées et les plus efficaces pour chaque situation donnée. Cette démarche englobe toutes les mesures prises dans le cadre du continuum d’activités d’application de la loi : déclarations publiques, services-conseils et orientations visant à aider les organisations à prévenir les problèmes, sensibilisation auprès des organisations, accords de conformité et tenue d’enquêtes complètes lorsque la situation le justifie.

Le plan de transformation tient également compte de la réalité financière actuelle, tant au sein du Commissariat que dans l’ensemble du gouvernement fédéral. Il est essentiel que nous fassions preuve d’encore plus de rigueur quant à notre gestion financière et que nous trouvions des moyens créatifs de tirer parti des forces de notre organisation de manière à garantir notre réussite.

J’ai bien hâte de mettre en œuvre l’ensemble de ce plan au cours des prochains mois afin que la population canadienne ainsi que les institutions et les organisations qui sont assujetties aux lois fédérales en matière de protection des renseignements personnels puissent profiter de notre approche novatrice dans ce domaine.

L’efficacité était au cœur des trois priorités stratégiques que j’ai présentées en janvier 2024, à savoir : protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens ainsi que défendre le droit à la vie privée des enfants.

Dans les pages qui suivent, vous découvrirez tout le travail accompli par le Commissariat au cours du dernier exercice en vue de continuer à faire progresser ces priorités dans de nombreux aspects de nos activités.

Par exemple, nous avons renforcé la collaboration avec nos homologues nationaux et internationaux ainsi qu’avec d’autres organismes de réglementation afin de nous attaquer à un large éventail de problèmes. À une époque où une quantité incomparable de renseignements personnels circulent au-delà des frontières, et ce, à une vitesse sans précédent, il est essentiel d’échanger de l’information et de travailler ensemble dans nos juridictions et nos domaines respectifs.

Où qu’ils soient et peu importe où se trouvent leurs données, les Canadiennes et les Canadiens doivent savoir que les institutions et les organisations des secteurs public et privé priorisent la protection de leurs renseignements personnels pour leur permettre de profiter en toute confiance des avantages du monde numérique.

Durant le dernier exercice, nous avons continué d’offrir conseils et outils aux institutions et aux organisations afin de les aider à respecter les lois en matière de protection des renseignements personnels. Nous avons notamment lancé en mars 2025 un nouvel outil en ligne pour aider les institutions et les organisations à établir si une atteinte à la vie privée présente un risque réel de préjudice grave.

Nous avons aussi entrepris des initiatives pour répondre aux besoins des jeunes en matière de protection de la vie privée et pour soutenir ces derniers. Parmi ces initiatives, mentionnons la tenue d’un sondage visant à mieux comprendre les préoccupations et les besoins en matière de protection de la vie privée des parents et des enseignants au Canada ainsi que la prise en compte de la protection de la vie privée des enfants dans le cadre de nos activités d’application de la loi.

Le projet de loi C-27, qui aurait permis de moderniser la LPRPDE, est mort au Feuilleton lors de la prorogation du Parlement en janvier 2025. Je suis convaincu que la réforme législative, qui vise à garantir la protection continue des Canadiennes et des Canadiens dans un monde moderne, redeviendra une priorité au cours de la 45e législature. Cette réforme devrait comprendre non seulement la réforme de la loi sur la protection des renseignements personnels dans le secteur privé, mais aussi la réforme tant attendue de la Loi sur la protection des renseignements personnels, qui s’applique au secteur public.

Je continuerai de préconiser des lois modernisées sur la protection des renseignements personnels qui reconnaissent la protection de la vie privée comme un droit fondamental, qui servent l’intérêt public et qui favorisent une économie canadienne forte, entre autres en faisant en sorte que le commerce avec nos partenaires internationaux puisse continuer à prospérer.

Cela dit, je suis aussi convaincu que les changements structurels que j’apporte au Commissariat permettront à celui-ci de continuer à protéger efficacement le droit fondamental à la vie privée des Canadiennes et des Canadiens. Jusqu’à l’adoption de nouvelles lois, les lois canadiennes existantes continuent de s’appliquer, y compris aux nouvelles technologies comme l’IA générative, et je reste déterminé à les faire respecter.

Alors que nous passons en revue le travail effectué au cours du dernier exercice, je suis fier de tout ce que nous avons accompli. De plus, je me réjouis à l’idée de ce qui nous attend en 2025-2026. Deux des faits marquants pour le Commissariat seront d’accueillir la Table ronde des autorités de protection des données et de la vie privée du G7 en juin 2025, alors que le Canada assurera la présidence du G7, et de tenir un symposium international, qui portera sur la protection de la vie privée des jeunes à l’ère numérique.

J’en suis presque à la moitié de mon mandat de sept ans à titre de Commissaire à la protection de la vie privée du Canada. Je demeure reconnaissant de l’occasion qui m’a été offerte de protéger et de promouvoir le droit fondamental à la vie privée des Canadiennes et des Canadiens dans un monde de plus en plus complexe.

Chronologie

Voici une vue d’ensemble des principales activités du Commissariat à la protection de la vie privée du Canada en 2024-2025.

Avril 2024

Le Commissariat à la protection de la vie
privée du Canada se joint à un groupe
international d’application de la loi en
matière de protection de la vie privée

Le Commissariat prend part à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée (Global Cooperation Arrangement for Privacy Enforcement), une entente non contraignante visant la protection des données transfrontalières et l’application de la loi en matière de protection de la vie privée.

Mai 2024

Sondage mené auprès des entreprises
canadiennes concernant les enjeux liés
à la protection des renseignements
personnels

Les résultats du sondage que le Commissariat mène tous les deux ans auprès des entreprises canadiennes révèlent que le nombre d’entreprises qui utilisent l’IA pourrait connaître une nette augmentation dans les cinq prochaines années.

Mai 2024

Le Commissaire Dufresne devient président
du Forum canadien des organismes de
réglementation numérique

En tant que président du Forum canadien des organismes de réglementation numérique, le Commissaire Dufresne se penche sur les médias synthétiques.

Mai 2024

Nouveaux formulaires de signalement
en ligne d’une atteinte à la vie privée

Afin de faciliter le signalement des atteintes à la vie privée, le Commissariat lance un formulaire de signalement en ligne à l’intention des institutions fédérales et met à jour son formulaire à l’intention des entreprises assujetties à la LPRPDE.

Juin 2024

Lancement d’une enquête conjointe sur
l’atteinte à la sécurité des données
de 23andMe

Les autorités de protection de la vie privée du Canada et du Royaume-Uni lancent une enquête conjointe sur l’atteinte à la sécurité des données qui a été découverte en octobre 2023 chez 23andMe, qui vend des services de dépistage génétique directement aux consommateurs de partout dans le monde.

Juin 2024

Consultation exploratoire sur les systèmes
de contrôle de l’âge

Le Commissariat cherche à obtenir des observations sur des questions relatives au contrôle de l’âge et à la protection de la vie privée en vue d’élaborer une politique sur les circonstances dans lesquelles des services en ligne devraient confirmer l’âge des utilisateurs.

Juillet 2024

Lancement d’une enquête sur l’atteinte à
la sécurité des données de Ticketmaster

Le Commissaire Dufresne ouvre une enquête à la suite d’un incident de cybersécurité qui a touché les comptes de millions de personnes à l’échelle mondiale.

Juillet 2024

Le Global Privacy Enforcement Network publie
les résultats du ratissage pour la protection de
la vie privée portant sur les mécanismes de
conception trompeuse

Le ratissage pour la protection de la vie privée du Commissariat révèle que la grande majorité des applications et des sites Web, dont ceux destinés aux enfants, utilisent des mécanismes de conception trompeuse pour influencer les choix en matière de confidentialité.

Août 2024

Entente avec la Commission fédérale des
communications des États-Unis

Le Commissaire Dufresne signe avec la Commission fédérale des communications des États-Unis un protocole d’entente qui établit les paramètres permettant aux deux organismes de réglementation d’échanger des renseignements dans le but de faire observer les lois dans les deux pays.

Septembre2024

Décision de la Cour d’appel fédérale
concernant Facebook

Le Commissaire Dufresne salue la décision unanime de la Cour d’appel fédérale et déclare que cette décision témoigne du fait que les grandes sociétés de données internationales doivent respecter la loi canadienne sur la protection des renseignements personnels.

Septembre2024

Le Commissariat collabore avec
des organismes de réglementation
internationaux sur la question du
contrôle de l’âge

Le Commissariat se joint à d’autres organismes de réglementation du monde entier en vue d’adopter une approche internationale concertée en ce qui concerne la protection des données et de la vie privée dans le cadre des mécanismes de contrôle de l’âge.

Octobre2024

Réunion annuelle des organismes
canadiens de réglementation responsables
de l’accès à l’information et de la
protection de la vie privée

Les organismes de réglementation fédéral, provinciaux et territoriaux adoptent des résolutions sur les mécanismes de conception trompeuse et sur la communication de renseignements en situation de violence conjugale.

Octobre2024

Le Commissaire Dufresne rencontre
ses collègues du G7

Les autorités de protection des données et de la vie privée du G7 publient des déclarations sur le rôle des autorités de protection des données dans la promotion d’une IA digne de confiance ainsi que sur l’IA adaptée aux enfants.

Octobre2024

Lancement d’une enquête sur des
atteintes à la sécurité des données
survenues à l’Agence du revenu
du Canada

Le Commissaire Dufresne ouvre une enquête sur des cyberattaques survenues à l’Agence du revenu du Canada qui ont donné lieu à plus de 30 000 atteintes à la vie privée qui remontent à 2020.

Novembre 2024

Réunion annuelle de l’Assemblée
mondiale pour la protection de
la vie privée

Le Commissaire Dufresne se joint aux autorités de protection des données et de la vie privée du monde entier pour faire progresser les efforts visant à normaliser la façon dont les renseignements personnels sont échangés entre les pays.

Novembre 2024

Ententes d’échange de renseignements
avec le Nigéria et le Brésil

La conclusion de protocoles d’entente avec les autorités de protection des données du Nigéria et du Brésil facilite l’échange de renseignements et la collaboration en matière d’application de la loi.

Décembre 2024

Le Commissaire Dufresne se réjouit
de la mise en place par LinkedIn
d’un moratoire sur l’entraînement
de modèles d’IA

LinkedIn a mis en place un moratoire sur l’entraînement de modèles d’IA au moyen des renseignements tirés des comptes de ses membres canadiens le temps de discuter avec le Commissariat de différentes questions relatives à la protection de la vie privée.

Janvier 2025

Semaine de la protection des données –
Placez la protection de la vie privée au
premier plan

Le Commissariat veut sensibiliser les organisations au fait qu’il est essentiel de prendre en compte la protection de la vie privée dès le début d’une initiative pour assurer la pérennité des programmes, des services et des systèmes.

Janvier 2025

Plan de transformation du Commissariat

Le Commissaire Dufresne lance une transformation interne qui vise à maximiser l’incidence des efforts du Commissariat pour protéger et promouvoir le droit fondamental à la vie privée dans un monde numérique de plus en plus complexe et en constante évolution.

Février 2025

Annonce des lauréats du premier prix
mondial de la vie privée et des droits
de la personne

Le Commissaire Dufresne annonce que la 5Rights Foundation et l’Internet Freedom Foundation sont les colauréates du premier prix de la vie privée et des droits de la personne.

Février 2025

Le Commissariat demande une
ordonnance de la Cour contre
l’exploitant de Pornhub

L’avis de demande a été déposé à la Cour fédérale afin d’obtenir une ordonnance enjoignant à Aylo de prendre des mesures en vue de s’assurer d’obtenir un consentement éclairé de toutes les personnes qui apparaissent dans le contenu téléchargé sur le site Web.

Mars 2025

Le Commissaire à la protection
de la vie privée lance un outil
d’autoévaluation des risques
d’atteinte à la vie privée destiné
aux organisations

Le nouvel outil en ligne permettra aux entreprises et aux institutions fédérales qui sont confrontées à une atteinte à la vie privée d’évaluer si l’atteinte est susceptible de présenter un risque réel de préjudice grave pour les individus concernés.

Grandes tendances en matière de protection de la vie privée

L’impact de l’IA générative, les atteintes à la sécurité des données et la protection de la vie privée des enfants sont les grandes tendances qui ont marqué le domaine de la protection de la vie privée, tant à l’échelle nationale qu’internationale. C’est aussi sur ces tendances qu’a porté une bonne partie des travaux du Commissariat au cours du dernier exercice. Elles mettent en évidence l’importance croissante de la collaboration et de la coopération entre les organismes de réglementation, qui est le thème de notre rubrique Pleins feux cette année.

Intelligence artificielle et protection de la vie privée

Individus

Alors que l’IA générative est de plus en plus intégrée et utilisée dans les applications, les programmes et les services que les individus utilisent régulièrement, et que ces derniers continuent de découvrir les nombreuses utilisations des outils d’IA dans leur vie quotidienne, d’énormes quantités de renseignements personnels sont recueillies.

Selon le plus récent sondage mené par le Commissariat auprès de la population canadienne (2024‑2025) :

• 83 % des Canadiennes et des Canadiens ont exprimé un certain niveau de préoccupation concernant la protection de leur vie privée lorsqu’ils utilisent les outils d’IA (34 % sont extrêmement préoccupés).
• 88 % ont exprimé un certain niveau de préoccupation concernant le fait de voir leurs renseignements personnels utilisés pour entraîner des systèmes d’IA (42 % sont extrêmement préoccupés).

Dans le cadre d’une étude menée par une équipe de recherche canado-américaine présentée lors de la première conférence sur la modélisation du langage (Conference on Language Modeling) l’an dernier, un échantillon d’utilisateurs anonymes et consentants ont donné suffisamment de renseignements sensibles à un robot conversationnel alimenté par l’IA pour que l’équipe de recherche puisse les identifier ou déterminer le sujet de leur requête avec certitude (Mireshghallah, N, Antoniak, M., More, Y., Yejin, C., & Farnadi, G. (2024) Trust No Bot: Discovering Personal Disclosures in Human-LLM Conversations in the Wild (en anglais seulement). 10.48550/arXiv.2407.11438). L’étude a permis de révéler ce qui suit :

• Plus de 70 % des requêtes contenaient des renseignements permettant d’établir l’identité d’une personne et près de 15 % des requêtes mentionnaient un sujet sensible, comme des préférences sexuelles ou l’utilisation de drogues.
• Environ 50 % des requêtes de traduction contenaient une forme quelconque de renseignements permettant d’établir l’identité d’une personne.

Utilisation de l’intelligence artificielle au gouvernement fédéral

Certaines institutions fédérales envisagent l’utilisation de l’IA pour simplifier ou automatiser des tâches courantes et ainsi mieux servir la population canadienne. En mars 2025, le gouvernement a publié sa Stratégie en matière d’intelligence artificielle pour la fonction publique fédérale.

Les ministères qui ont demandé conseil au Commissariat au cours de la dernière année utilisent déjà l’IA pour une variété de fonctions ou ont exprimé un intérêt à cet égard :

Robots conversationnels;

Assistance dans le cadre de systèmes de reconnaissance faciale;

Recherches automatisées de nombreux dossiers clients pour déterminer l’admissibilité à des prestations;

Évaluations initiales des candidats durant les processus de dotation et suivi des demandes d’emploi.

Tri et classement automatisés de documents;

Atteintes à la vie privée

Dans un contexte où les menaces évoluent constamment, les atteintes à la sécurité des données demeurent une préoccupation importante. Il est essentiel que les institutions publiques et les organisations privées priorisent la sécurité de l’information, puisque les atteintes à la vie privée peuvent avoir des graves conséquences pour les individus touchés.

Les enjeux sont également importants pour les organisations. Selon un rapport d’IBM publié en juillet 2024, à l’échelle mondiale, le coût moyen d’une atteinte à la sécurité des données pour une entreprise a atteint environ 4,88 millions de dollars américains en 2024 (Rapport IBM : Escalating Data Breach Disruption Pushes Costs to New Highs (en anglais seulement), 2024).

Le Commissariat a constaté que le nombre de signalements d’atteintes à la vie privée reçus en 2024-2025, que ce soit sous le régime de la LPRP ou de la LPRPDE, était similaire à celui de l’exercice précédent, avec une légère augmentation (7 %) dans le secteur public. Par rapport à l’an dernier, le nombre d’individus touchés par une atteinte sous le régime de la LPRP a augmenté de plus de 124 %, tandis que le nombre d’individus touchés par une atteinte sous le régime de la LPRPDE a diminué de 20 %.

Comme ils détiennent des renseignements personnels sensibles sur les Canadiennes et les Canadiens, plusieurs ministères et organismes du gouvernement sont des cibles attrayantes pour les acteurs malveillants.

L’IA a aussi un impact sur les atteintes. Selon un récent rapport du Centre canadien pour la cybersécurité, « [l]es technologies de l’IA réduisent presque certainement les obstacles à l’entrée et augmentent la qualité, l’ampleur et la précision des activités de cybermenace malveillantes ». Le rapport précise que les cybercriminels eux-mêmes utilisent l’IA pour appuyer leurs opérations.

• Selon le plus récent sondage mené par le Commissariat auprès de la population canadienne, 4 Canadiens sur 10 (43 %) ont été touchés par une atteinte à la vie privée.
• Environ 20 millions de comptes d’individus ont été touchés par les atteintes signalées au Commissariat en 2024-2025.

En 2024-2025, le Commissariat a lancé un nouveau formulaire en ligne qui permet aux organisations des secteurs public et privé de signaler une atteinte. Même si les obligations prévues par la LPRPDE et la LPRP diffèrent en ce qui concerne le signalement des atteintes à la vie privée, toutes les organisations sont invitées à utiliser le nouvel outil en ligne afin de rendre le signalement plus efficace et plus rapide. Le nouvel outil est encore plus pratique pour les institutions fédérales, car il permet de s’assurer que le signalement d’une atteinte est envoyé en même temps au Commissariat et au Secrétariat du Conseil du Trésor du Canada (SCT).

Le Commissariat a aussi lancé un nouvel outil en ligne d’autoévaluation des risques d’atteinte à la vie privée en mars 2025. Il s’agit d’une application Web pratique qui pose aux organisations une série de questions leur permettant d’évaluer le risque réel de préjudice grave, notamment pour évaluer le degré de sensibilité des renseignements personnels en cause dans une atteinte à la protection des données et la probabilité que ces renseignements soient mal utilisés.

Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou leur perte.

Les atteintes à la vie privée peuvent être le résultat d’un vol d’identité, d’une arnaque, de piratage ou d’un autre accès non autorisé, qu’il soit délibéré ou accidentel. De telles atteintes peuvent notamment toucher des renseignements sensibles comme des données personnelles sur la santé ou les finances.

L’outil vise à permettre aux organisations des secteur public et privé d’effectuer une évaluation des risques à la suite d’une atteinte à la protection des données et de décider des prochaines mesures à prendre, notamment aviser les individus concernés et signaler l’atteinte au Commissariat.

Protection de la vie privée des jeunes

Alors que les jeunes continuent d’adopter de nouvelles technologies et vivent une grande partie de leur vie en ligne, la protection de leur vie privée demeure une priorité importante en vue d’assurer leur sécurité dans un monde numérique.

Selon le sondage OTM Junior, Accros du défilement – Enfants, ados et réseaux sociaux (2024) :

• 52 % des enfants âgés de 7 à 11 ans utilisent les médias sociaux chaque semaine (de ce nombre, 35 % les utilisent quotidiennement);
• 95 % des jeunes âgés de 12 à 17 ans utilisent les médias sociaux chaque semaine (de ce nombre, 84 % les utilisent quotidiennement);
• plus de 1 utilisateur de médias sociaux sur 5 âgé de 7 à 17 ans a écrit des commentaires et 1 sur 6 a publié des photos et des vidéos;
• 79 % des jeunes âgés de 2 à 17 ans au Canada ont joué à un jeu vidéo au cours du mois dernier (OTM Junior, Des pixels pour s’amuser : les jeux vidéo chez les jeunes (2024).

D’après un récent sondage en ligne que le Commissariat a mené auprès de parents (février 2025) :

Préoccupations relatives à la protection de la vie privée

• 91 % des parents ont exprimé un certain niveau de préoccupation concernant le fait que les entreprises recueillent des renseignements personnels sur leurs enfants.
• 85 % sont à tout le moins quelque peu préoccupés par la quantité de renseignements personnels que leurs enfants communiquent en ligne.
• 74 % affirment qu’ils font peu ou pas du tout confiance aux entreprises pour protéger les renseignements personnels de leurs enfants.

Discussions entre parents et enfants sur la protection des renseignements personnels

• 45 % des parents affirment qu’ils discutent de la protection des renseignements personnels en ligne avec leurs enfants au moins une fois par mois.
• 33 % affirment qu’ils discutent de ce sujet quelques fois par année.

Pleins feux sur la protection de la vie privée : collaboration

La croissance des plateformes numériques et de l’IA générative à l’échelle mondiale ainsi que le volume inégalé de renseignements personnels recueillis et utilisés au-delà des frontières ont décuplé la complexité de la protection de la vie privée et ont transformé ce domaine.

La collaboration et la coopération, à l’échelle nationale et internationale, entre les organismes de réglementation, les institutions publiques, l’industrie et la société civile, sont essentielles pour faire face aux défis mondiaux en matière de protection de la vie privée. En échangeant leurs connaissances et leur expertise, en se penchant ensemble sur les nouveaux enjeux et en collaborant pour mettre en place des normes communes, les organisations de juridictions différentes profitent d’une uniformité accrue et peuvent mieux protéger la vie privée des individus.

C’est un thème qui fait partie intégrante du plan stratégique 2024-2027 du Commissaire Dufresne.

Collaboration nationale

Le Commissariat collabore avec les organismes de réglementation de la protection de la vie privée des provinces et des territoires pour optimiser l’incidence de ses efforts. Parmi leurs récentes réalisations communes, soulignons l’élaboration et le lancement des principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée ainsi que l’adoption de résolutions conjointes sur la communication responsable de renseignements en situation de violence conjugale et sur le repérage et l’atténuation des préjudices découlant des mécanismes de conception trompeuse relatifs à la protection de la vie privée.

Les provinces du Québec, de la Colombie-Britannique et de l’Alberta disposent actuellement de lois sur la protection des renseignements personnels dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE. La LPRPDE permet au Commissariat de collaborer étroitement avec ces provinces à des enquêtes comme celles qui sont en cours sur OpenAI, l’entreprise qui est à l’origine du robot conversationnel ChatGPT doté d’une IA, et sur TikTok.

Collaboration internationale

Malgré des cultures, des fondements juridiques et des réalités socio-économiques qui diffèrent, les pays qui réglementent la protection des données collaborent de plus en plus en raison de la portée mondiale de la circulation des données à l’heure actuelle.

Cette collaboration témoigne d’un objectif commun visant à protéger le droit fondamental à la vie privée des individus, où qu’ils soient et peu importe où se trouvent leurs données. Les individus doivent avoir l’assurance que les organisations priorisent la protection de leurs renseignements personnels pour leur permettre de profiter des avantages du monde numérique.

La collaboration internationale permet au Commissariat de toujours être au fait des dernières avancées d’un environnement en constante évolution. Il peut ainsi mieux informer et conseiller les Canadiennes et les Canadiens, les parlementaires, de même que les institutions et les organisations au sujet des questions de vie privée.

Au cours de la dernière année, le Commissariat a été un chef de file mondial dans le domaine de la protection de la vie privée en participant avec ses homologues internationaux à des rencontres comme la Table ronde des autorités de protection des données et de la vie privée du G7, l’Assemblée mondiale pour la protection de la vie privée (AMVP), le forum des autorités de protection de la vie privée de la zone Asie-Pacifique et le Global Privacy Enforcement Network (GPEN). Les efforts déployés se sont concentrés sur le renforcement du rôle des autorités de protection des données et de la vie privée en ce qui concerne la réglementation de l’IA, la protection de la vie privée des jeunes, la protection de la vie privée à l’ère des données, ainsi que la coordination du ratissage annuel pour la protection de la vie privée mené en 2024 à l’initiative du GPEN. Cette édition était axée sur les mécanismes de conception trompeuse en ligne.

En février 2025, le Commissaire Dufresne, en tant que président du Groupe de travail sur la protection des données et des autres droits et libertés de l’AMVP, a annoncé les colauréats du premier prix mondial de la vie privée et des droits de la personne. Fruit d’une collaboration avec l’AMVP et Access Now, une organisation internationale de défense des droits de la personne, ce prix souligne le leadership exceptionnel d’organisations de partout dans le monde qui ont contribué de façon importante à la protection de la vie privée, des données et d’autres droits fondamentaux.

Le Commissaire établit aussi des partenariats bilatéraux. Cette année, il a notamment signé des protocoles d’entente avec la Commission Fédérale des communications des États-Unis, la commission nigériane de protection des données et l’Autorité nationale de protection des données du Brésil.

Compte tenu de la vitesse rapide à laquelle la technologie évolue, tirer parti de partenariats internationaux au moyen d’initiatives conjointes est un moyen important de protéger la population canadienne. Ces partenariats comprennent, par exemple, l’enquête conjointe lancée en juin 2024 avec le Commissariat à l’information du Royaume-Uni sur une atteinte à la sécurité des données à 23andMe, une entreprise mondiale qui vend des services de dépistage génétique directement aux consommateurs.

Collaboration entre les organismes de réglementation

La collaboration entre les organismes de réglementation est de plus en plus importante dans un environnement numérique qui ne cesse de se complexifier.

La présence prédominante des géants de la technologie, des plateformes numériques et des médias sociaux à l’échelle mondiale, la quantité de renseignements personnels que détiennent ces entreprises et l’influence perturbatrice de celles-ci sur l’information, la concurrence, les droits d’auteur et les télécommunications ont transformé le domaine, en faisant de la protection de la vie privée l’un des nombreux enjeux réglementaires convergents qui doivent être pris en considération.

C’est pourquoi, en 2023, le Commissariat a contribué à la constitution du Forum canadien des organismes de réglementation numérique, avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence. La Commission du droit d’auteur du Canada s’est jointe au Forum en 2024.

Le Commissaire Dufresne est devenu président du Forum en mai 2024. Depuis lors, le Forum cherche à comprendre comment la prolifération des médias synthétiques, y compris les hypertrucages, a une incidence sur chacun des mandats respectifs de ses membres. Étant donné l’ampleur, à l’échelle mondiale, des marchés numériques et la vitesse à laquelle il innove, le Forum a aussi voulu renforcer ses partenariats en devenant membre du Réseau international de coopération en matière de réglementation numérique, qui regroupe des organismes de réglementation de partout dans le monde.

Collaboration avec l’industrie

Le Commissaire Dufresne souligne que, tout comme les données servent à stimuler l’innovation, l’innovation doit servir à protéger les données. Pour concrétiser cette idée, le Commissariat peut, entre autres, collaborer avec les entreprises, en particulier avec celles qui développent et utilisent les nouvelles technologies, pour veiller à ce qu’elles connaissent leurs obligations en matière de protection des renseignements personnels en vertu de la LPRPDE et pour les aider à intégrer cette notion dans leurs pratiques opérationnelles.

En plus de tout ce qui a été mentionné précédemment, le Commissariat continue de collaborer avec diverses organisations dans ce domaine. Un exemple en est la déclaration commune finale sur l’extraction de données et la protection des renseignements personnels que le Commissaire a signé avec 15 autres membres du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’AMVP et qui définit les attentes concernant ce que les organisations devraient faire pour assurer la protection des individus contre l’extraction illégale de données.

Cette déclaration commune a été le point culminant d’une importante mobilisation des organismes de réglementation et des parties prenantes de l’industrie. Les grandes entreprises de médias sociaux ont été invitées à expliquer de quelle façon elles se conforment aux lois en matière de protection des renseignements personnels.

Conception trompeuse

Les mécanismes de conception trompeuse, qui visent à inciter les internautes à fournir plus de renseignements personnels en ligne qu’ils ne le voudraient ou qu’ils ne le devraient, étaient l’un des sujets d’intérêt du Commissariat et de ses partenaires nationaux et internationaux en 2024-2025.

En fait, c’était le thème du ratissage pour la protection de la vie privée de 2024 du GPEN ainsi que d’une résolution conjointe adoptée par le Commissaire Dufresne et ses homologues des provinces et des territoires en octobre 2024.

La résolution demande aux organisations des secteurs public et privé d’éviter d’utiliser des mécanismes de conception trompeuse et de limiter l’exposition des utilisateurs à ces mécanismes en tenant compte du concept de protection de la vie privée dès la conception des plateformes.

Le ratissage, auquel ont participé 26 autorités d’application des lois en matière de protection de la vie privée du Canada et de partout dans le monde, a permis d’établir que sur plus de 1 000 sites Web et applications examinés, 97 % utilisaient au moins un des mécanismes de conception trompeuse suivants :

• langage complexe et déroutant;
• interférence d’interface : utilisation d’éléments de conception pour distraire, influencer ou dérouter les utilisateurs, par exemple en faisant en sorte qu’il soit plus facile d’accepter les témoins publicitaires ou de ciblage que de les refuser;
• harcèlement : affichage répété de fenêtres contextuelles demandant aux utilisateurs de créer un compte, de fournir leur adresse de courriel ou de passer à une application;
• obstruction : difficulté à trouver de l’information ou les paramètres de confidentialité, entre autres;
• action forcée – comme forcer les utilisateurs à divulguer plus de renseignements personnels qu’ils n’avaient été tenus de le faire pour créer leur compte lorsqu’ils tentaient de le supprimer.

Le Commissariat et ses homologues de la Colombie-Britannique et de l’Alberta ont aussi examiné 67 sites Web destinés expressément aux enfants. Ils ont constaté que certains mécanismes de conception trompeuse, comme l’interférence d’interface et le harcèlement, étaient plus courants sur les sites et les applications qui s’adressent aux enfants que sur ceux qui semblent être à l’intention de la population en général.

Le rapport du GPEN et le rapport du Commissariat se trouvent sur le site Web du Commissariat, de même que des conseils pour les individus et les entreprises.

Après la publication de son rapport, le Commissariat a écrit à 27 organisations pour leur faire part des observations faites dans le cadre du ratissage et les inviter à examiner leurs sites Web et leurs applications afin de repérer les mécanismes de conception trompeuse. À la suite de cette démarche, près des trois quarts des ces organisations se sont engagées à apporter des améliorations afin d’éviter ces mécanismes et de favoriser une conception plus respectueuse de la vie privée.

Le ratissage de l’an passé était également le premier à être coordonné avec l’International Consumer Protection and Enforcement Network, ce qui témoigne des recoupements croissants entre la protection de la vie privée et d’autres sphères réglementaires. Le réseau est composé d’autorités de protection des consommateurs du monde entier, dont le Bureau de la concurrence Canada.

La Loi sur la protection des renseignements personnels : rétrospective de l’exercice

Dans le cadre de ses travaux portant sur le secteur public en 2024-2025, le Commissariat a été de plus en plus sollicité pour offrir des conseils aux ministères qui prévoient recourir à l’IA à des fins diverses. Comme la Stratégie en matière d’IA pour la fonction publique fédérale a été lancée en mars 2025, cette tendance devrait s’accélérer. Le Commissariat a fourni des observations et des conseils aux institutions fédérales afin qu’elles renforcent leurs mesures de protection relatives au respect de la vie privée et à l’utilisation des renseignements personnels.

Le Commissariat a aussi poursuivi son travail auprès des institutions fédérales en organisant des activités de sensibilisation et des conférences afin d’aider les ministères à mieux comprendre les risques liés à la vie privée et à renforcer leurs capacités à traiter de façon responsable les renseignements personnels.

En ce qui concerne l’application de la loi, en 2024-2025, le Commissariat a reçu – et accepté – un nombre inégalé de plaintes sous le régime de la LPRP.

Au total, le nombre de plaintes reçues au titre de la LPRP a augmenté de 11 % par rapport à l’exercice précédent (1 942, contre 1 749 en 2023-2024), et le Commissariat en a accepté 1 279 (1 113 en 2023-2024), soit une hausse de 15 % par rapport au dernier exercice. Aucun facteur précis ne semble expliquer cette augmentation, celle-ci ayant été observée dans toutes les catégories.

Les plaintes concernant le délai de réponse – c’est-à-dire les plaintes déposées lorsqu’une institution ne répond pas à une demande de renseignements personnels dans les délais prescrits par la loi – restent les plus nombreuses. Le Commissariat a accepté 653 plaintes relatives aux délais durant l’exercice, une hausse de 8 % par rapport à l’exercice précédent, où il en avait accepté 603.

Les plaintes concernant l’accès à des documents – c’est-à-dire les plaintes déposées lorsqu’une institution aurait refusé à un individu l’accès à ses renseignements personnels – sont au deuxième rang pour le nombre de plaintes (331). En ce qui concerne la collecte, l’utilisation, la communication, la conservation et l’élimination des renseignements personnels, 174 plaintes ont été déposées.

Comme c’était le cas à l’exercice précédent, les institutions pour lesquelles le Commissariat a accepté le plus grand nombre de plaintes en 2024-2025 sont la Gendarmerie royale du Canada (GRC) (274 plaintes, ou 21 %), Service correctionnel Canada (SCC) (226 plaintes, ou 18 %) et Immigration, Réfugiés et Citoyenneté Canada (IRCC) (136 plaintes, ou 11 %).

Par ailleurs, le Commissariat a fermé 1 317 plaintes, une hausse de 3 % par rapport à 2023-2024.

Au début de l’exercice financier, il y avait 86 enquêtes sous le régime de la LPRP qui étaient en cours depuis plus de 12 mois – ce qui représentait 18 % de l’ensemble des enquêtes actives. À la fin de l’exercice, l’arriéré n’était plus que de 25 enquêtes, ce qui représentait 6 % de l’ensemble des enquêtes actives. Le Commissariat cherche constamment à trouver des moyens innovants d’obtenir des gains d’efficacité dans le processus de conformité; il a notamment restructuré le secteur, comme il est décrit dans son plan de transformation, qui sera pleinement mis en œuvre en 2025-2026.

La section ci-après présente les principales initiatives menées en 2024-2025 sous le régime de la LPRP.

Processus de règlement rapide

Le processus de règlement rapide demeure un outil d’enquête important pour régler les plaintes peu complexes et non systémiques.

En 2024-2025, le nombre de plaintes déposées sous le régime de la LPRP et fermées par règlement rapide s’élevait à 746, une hausse de 16 % par rapport à l’exercice précédent.

Le processus de règlement rapide est un bon exemple de la façon dont la collaboration avec les plaignants et les intimés peut contribuer à assurer la conformité plus efficacement. C’est une approche qui fait appel à la mobilisation et à la négociation pour obtenir un résultat rapide.

En 2024-2025, le Commissariat a traité 91 % (1 194) de toutes les plaintes déposées sous le régime de la LPRP par règlement rapide ou par enquête sommaire, c’est-à-dire une brève enquête qui se termine par la publication d’un court rapport de conclusions d’enquête ou d’une courte lettre de conclusions d’enquête.

Prestation de services-conseils au gouvernement

Prestation de services-conseils aux organismes chargés de l’application
de la loi et du renseignement

En 2024-2025, les efforts du Commissariat en matière de prestation de services-conseils au gouvernement ont principalement visé à établir une collaboration plus étroite avec les organismes fédéraux chargés de l’application de la loi et du renseignement, entre autres en les consultant et en leur donnant des conseils sur des initiatives susceptibles d’avoir une incidence sur la vie privée des Canadiennes et des Canadiens.

Dans le cadre de ces travaux, le Commissariat a travaillé avec la GRC sur divers sujets, dont la protection des renseignements personnels dans le contexte de la reprise par des corps de police municipaux des services auparavant assurés par la GRC dans certaines communautés, l’utilisation par la GRC de renseignements de sources ouvertes, sa politique en matière de reconnaissance faciale et sa proposition d’un plan relatif à l’utilisation de la généalogie génétique aux fins d’enquête.

Les discussions sur les risques pour la vie privée que peut poser l’utilisation de caméras d’intervention se sont poursuivies alors que la GRC a fourni pas moins de 15 000 caméras de ce genre aux forces de police fédérales et contractuelles partout au pays.

Des membres de la Direction des services-conseils au gouvernement du Commissariat à la Conférence annuelle de l’Association canadienne d’accès à l’information et de la protection des renseignements personnels à Ottawa.

Le Commissariat continuera de travailler avec les institutions fédérales qui envisagent l’utilisation de caméras d’intervention pour veiller à ce que les enjeux relatifs à la protection de la vie privée soient pris au sérieux. Il peut s’agir, entre autres, de tenir compte des principes de nécessité et de proportionnalité, de limiter l’utilisation de ces caméras, d’appliquer des périodes de conservation justifiables, de faciliter l’accès des individus touchés aux images les concernant et de protéger les renseignements personnels recueillis de façon fortuite.

Initiative nationale en matière d’identité numérique

Le Commissariat a collaboré avec Emploi et Développement social Canada (EDSC), le SCT, Innovation, Sciences et Développement économique Canada (ISDE) et Services partagés Canada (SPC), qui sont les ministères responsables de la mise en œuvre de différents éléments d’une initiative nationale centralisée en matière d’identité numérique.

Le Commissariat a insisté sur l’importance de tenir compte de la nature sensible des renseignements personnels en cause et des répercussions qu’une atteinte pourrait avoir sur les individus concernés. Il a également recommandé que les institutions prennent certaines précautions, par exemple la réalisation d’évaluations des facteurs relatifs à la vie privée exhaustives et l’application de mesures de sécurité rigoureuses aux systèmes de technologie de l’information utilisés pour gérer les données sensibles.

Adoption de l’intelligence artificielle par les institutions fédérales

Les ministères et les organismes gouvernementaux utilisent l’IA ou envisagent de l’utiliser à diverses fins, par exemple pour l’administration et la gestion des prestations aux clients, l’évaluation initiale des candidats dans le cadre des processus de dotation et la reconnaissance faciale aux fins de l’exécution de la loi en matière d’immigration.

Anciens Combattants Canada (ACC) a consulté le Commissariat au sujet d’un projet pilote utilisant l’IA générative pour créer des résumés des renseignements pertinents sur ses clients à partir des dossiers de santé relatifs au service et des questionnaires et rapports médicaux de ceux-ci, résumés qui serviront à la prise de décisions concernant les demandes de prestations d’invalidité. En plus de recommander à ACC d’effectuer une évaluation des facteurs relatifs à la vie privée, le Commissariat lui a conseillé de faire preuve de transparence et de bien informer le public quant à l’utilisation de l’IA.

Le SCT a consulté le Commissariat au moment d’élaborer la Stratégie en matière d’IA pour la fonction publique fédérale. Au cours des prochains mois, le Commissariat continuera de travailler avec le SCT et les autres institutions pour promouvoir l’utilisation responsable de l’IA. Il veillera ainsi à ce que les répercussions sur les individus et leurs renseignements personnels soient soigneusement prises en compte avant que l’IA soit intégrée à des programmes ou à des services gouvernementaux. Entre autres, le Commissariat informera les entités fédérales qu’elles doivent veiller, au moyen de leurs pratiques contractuelles, à ce que les fournisseurs tiers de technologies de l’IA respectent leurs obligations au titre de la LPRPDE. L’IA doit aussi être utilisée de façon appropriée et éthique, dans le respect des lois sur la protection des renseignements personnels.

Communications avec les institutions fédérales

En 2024-2025, le Commissariat a tenu 18 activités de services-conseils au gouvernement, auxquelles ont participé un grand nombre de responsables de l’accès à l’information et de la protection des renseignements personnels à l’échelle du gouvernement. Ces activités ont attiré des employés provenant de la moitié des ministères et organismes fédéraux assujettis à la LPRP.

Le Commissariat a aussi collaboré avec le SCT à deux webinaires de l’École de la fonction publique du Canada, l’un portant sur la protection des renseignements personnels dans le milieu de travail et l’autre, sur la gestion des renseignements personnels dans les contrats.

Le Commissariat a également tenu une activité spéciale à l’intention des chefs de la protection des renseignements personnels et des dirigeants principaux de l’information du gouvernement fédéral afin de favoriser une collaboration accrue entre ces groupes. Dans l’allocution qu’il a prononcée à cette occasion, le Commissaire Dufresne a souligné que l’expertise collective et les valeurs communes de ces deux groupes de la fonction publique seront essentielles pour protéger et préserver la confiance que les Canadiennes et les Canadiens accordent aux institutions, aux programmes et aux services gouvernementaux. L’un des faits saillants de l’activité a été la discussion informelle entre le Commissaire Dufresne et Dominic Rochon, dirigeant principal de l’information du gouvernement du Canada.

Communications de renseignements dans l’intérêt public

La LPRP, la Loi sur le ministère de l’Emploi et du Développement social ainsi que la Loi sur les douanes permettent aux institutions fédérales de communiquer des renseignements personnels qu’il serait autrement interdit de communiquer dans les cas où des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée ou dans les cas où l’individu concerné en tirerait un avantage certain. Il peut s’agir notamment de motifs de santé ou de sécurité. Le Commissaire à la protection de la vie privée doit être avisé lorsque des renseignements personnels sont communiqués dans de telles circonstances.

En 2024-2025, le Commissariat a reçu plus de 600 avis de communication de renseignements personnels dans l’intérêt public. Dans la majorité des cas, les renseignements communiqués concernaient des individus en détresse dont le bien être devrait, aux yeux des responsables de S

Enquêtes en vertu de la Loi sur la protection des renseignements personnels

Voici un aperçu de certaines des enquêtes fermées par le Commissariat durant l’exercice.

L’Agence du revenu du Canada n’a pas protégé adéquatement les renseignements personnels d’un enfant adopté

Le Commissariat a fait enquête sur une plainte selon laquelle l’Agence du revenu du Canada (ARC) a révélé à tort de l’information concernant un enfant adopté à son parent biologique. Ce cas met en lumière l’importance de protéger les renseignements des enfants et de former adéquatement les employés qui traitent des données sensibles.

L’enquête a révélé que l’enfant, dont le nom avait été modifié pour des raisons de sécurité, a été adopté dans le cadre d’un processus d’adoption fermée et qu’il n’y avait aucune communication entre la famille biologique et la famille adoptive.

La partie plaignante, soit le parent adoptif, a demandé la prestation fiscale canadienne pour enfants en utilisant le nouveau nom de l’enfant. Plus tard, le parent biologique a aussi demandé la prestation en utilisant le nom de l’enfant à sa naissance. Le numéro d’identification de personne à charge de l’enfant, qui avait été créé avant que l’un ou l’autre des parents ne demande la prestation, a par la suite été associé – par erreur – au compte du parent adoptif ainsi qu’à celui du parent biologique.

Selon les preuves recueillies durant l’enquête, des années après l’adoption, un membre du personnel de l’ARC a donné le nouveau nom de l’enfant au parent biologique lors d’un appel concernant un tout autre sujet. Le parent biologique a donc pu utiliser ce nom pour retrouver l’enfant et entrer en contact avec lui, ce qui a entraîné des répercussions psychologiques et juridiques considérables pour la famille adoptive.

Bien que l’ARC ait reconnu que son employé n’avait pas suivi les procédures internes appropriées, l’enquête du Commissariat a révélé que ces procédures ne prévoyaient pas de mécanisme de signalement en cas de risque pour la sécurité des enfants adoptés.

Le Commissariat a recommandé à l’ARC de revoir et de mettre à jour ses procédures. Il a aussi recommandé que le personnel reçoive une formation sur les préjudices potentiels en cas d’atteinte aux renseignements personnels d’un enfant adopté. Enfin, il a recommandé que l’ARC mette en œuvre des mesures de surveillance pour veiller à ce que les nouvelles procédures soient appliquées de façon uniforme et soient suivies par les employés.

Après la publication du rapport de conclusions, l’ARC a accepté de donner suite à deux des trois recommandations formulées par le Commissariat : elle s’est engagée à revoir ses procédures en vigueur ainsi qu’à donner une formation approfondie à ses employés. Toutefois, elle a refusé de prendre les mesures recommandées pour surveiller la conformité aux nouvelles procédures pendant un an après la mise en œuvre de nos recommandations.

Le Commissariat conclut dans une enquête que l’accès à des enregistrements polygraphiques par le Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement était légal

Le Commissariat a reçu six plaintes après que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a entrepris un examen du programme de sécurité interne du Centre de la sécurité des télécommunications Canada (CST). L’examen comprenait la toute première évaluation de l’utilisation de tests polygraphiques par le CST pendant le processus de filtrage de sécurité.

Les plaintes concernaient le fait que l’OSSNR ait accès aux résultats des tests polygraphiques d’un échantillon d’employés du CST. Les plaignants remettaient en question l’autorisation de l’OSSNR de recueillir ces renseignements personnels, qu’ils considéraient comme étant très sensibles, et étaient d’avis que l’OSSNR aurait pu effectuer l’examen sans avoir besoin d’accéder aux résultats des tests polygraphiques.

Une distinction juridique doit être établie entre l’OSSNR lui-même et son Secrétariat. Seul le Secrétariat est considéré comme une institution fédérale et est, par conséquent, assujetti à la LPRP.

Le Secrétariat joue un rôle important en aidant l’OSSNR à s’acquitter de son mandat, et ses activités en soutien aux examens sont visées par la LPRP. L’enquête du Commissariat a donc porté sur la façon dont le Secrétariat de l’OSSNR a traité les renseignements personnels lorsqu’il a aidé l’OSSNR dans le cadre de l’examen du CST.

L’enquête a révélé que l’OSSNR a collaboré avec le CST pour mettre en œuvre des mesures de protection et anonymiser les renseignements personnels. Ces mesures ont permis de réduire considérablement le risque de réidentification.

L’enquête a aussi permis de constater que les documents sources visés par les plaintes – les enregistrements de tests polygraphiques – étaient suffisamment anonymisés (visages floutés, etc.) pour ne contenir aucun renseignement personnel. De même, les notes prises durant l’examen ne contenaient aucun renseignement personnel.

Compte tenu des mesures qui ont été prises, du droit d’accès à l’information étendu de l’OSSNR prévu par la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR) ainsi que du rôle du Secrétariat pour aider l’OSSNR à remplir son mandat, le Commissariat a jugé que la plainte concernant la collecte de renseignements personnels était non fondée.

Cependant, il a exprimé des préoccupations concernant le temps qu’il a fallu au Secrétariat de l’OSSNR pour présenter au SCT une demande visant l’approbation de plusieurs changements concernant les fichiers de renseignements personnels (FRP), notamment l’établissement d’un nouveau FRP propre aux examens. Le Commissariat a constaté que le Secrétariat de l’OSSNR ne s’était pas acquitté de ses obligations prévues à l’article 10 de la LPRP lorsque l’examen du CST a commencé. Cela dit, comme la demande relative au FRP a depuis été soumise au SCT, le Commissariat a jugé que la plainte était fondée et avait été résolue. Le Secrétariat de l’OSSNR s’est engagé à faire de sa collaboration avec le SCT une priorité pour obtenir l’approbation des FRP.

Un ministère a refusé à juste titre de supprimer des renseignements personnels

Le Commissariat a reçu une plainte indiquant qu’une institution fédérale avait refusé de procéder au retrait des renseignements d’un ancien employé alors que celui-ci en avait fait la demande.

L’employé avait fourni ses renseignements dans le cadre d’une demande de mesures d’adaptation. Lorsqu’il a demandé au ministère de procéder au retrait de ses renseignements, le ministère a refusé, indiquant qu’il devait les conserver en raison d’exigences prévues par la LPRP et d’une obligation de préservation de la preuve imposée par le ministère de la Justice concernant les renseignements personnels en cause.

Le ministère de la Justice avait envoyé à divers ministères, y compris au défendeur, un avis concernant l’obligation de préservation relativement à un recours collectif envisagé. L’avis décrivait en détail la portée de la préservation, c’est-à-dire les éléments associés au litige qui devaient être préservés.

Dans le cadre de cette enquête, le Commissariat a d’abord noté que, selon les règlements pris en vertu de la LPRP, la période de conservation des renseignements personnels de l’employé est de deux ans. Bien que les règlements ne contiennent aucune disposition exigeant expressément que les institutions procèdent au retrait des renseignements personnels, celles-ci peuvent procéder au retrait avant la fin de la période de deux ans si l’individu concerné y consent. En l’absence d’obligation de préservation de la preuve, le ministère aurait pu accéder à la demande du plaignant.

Toutefois, le Commissariat a jugé que, dans les circonstances, la conservation des renseignements personnels et le refus de procéder à leur retrait ne contrevenaient pas à la LPRP, l’obligation de préservation de la preuve créant une obligation légale de les conserver.

L’Agence des services frontaliers du Canada n’a pas obtenu le consentement d’un plaignant relativement à la communication de ses renseignements personnels dans le cadre d’une émission télévisée

Une enquête du Commissariat a établi qu’une fouille personnelle effectuée par des agents de l’Agence des services frontaliers du Canada (ASFC) avait été communiquée en temps réel à l’équipe de la société de production sans le consentement de l’individu concerné.

Après avoir soumis le plaignant à une inspection secondaire, les agents de l’ASFC ont déterminé qu’il était justifié de le soumettre à une fouille personnelle, c’est-à-dire une fouille approfondie qui se déroule dans une pièce fermée. La plainte concernait le métrage non monté enregistré par la société de production relativement à cette fouille.

L’examen du métrage par le Commissariat a confirmé que, bien que la fouille personnelle n’ait pas été enregistrée sur vidéo, les agents qui l’ont menée portaient des micros, ce qui a permis aux gens qui se trouvaient à l’extérieur de la salle de fouille, notamment des employés de la société de production, d’entendre ce qui se passait en temps réel.

Le Commissariat a également constaté qu’un membre de l’équipe de tournage avait pu être en mesure de voir ce qui se passait dans la salle. Cette conclusion reposait sur les preuves recueillies, dont des commentaires formulés par des personnes qui se trouvaient à l’extérieur de la salle et qui ont été enregistrés.

Le Commissariat a conclu que les renseignements personnels recueillis par l’ASFC durant la fouille étaient directement liés aux activités et aux programmes de l’ASFC et qu’il s’agissait donc d’une collecte autorisée au titre de la LPRP.

Toutefois, le Commissariat a aussi jugé que l’ASFC n’avait pas obtenu le consentement valide du plaignant relativement à la communication de ses renseignements personnels à la société de production dans le contexte de la fouille.

Enfin, le Commissariat a exprimé des préoccupations quant à la nature problématique de la communication dans cette affaire. Compte tenu des enjeux en matière de protection de la vie privée que soulèvent les fouilles menées à la frontière, la communication en temps réel de la fouille personnelle dont a fait l’objet le plaignant représentait une grave atteinte à la vie privée.

L’ASFC a accepté les recommandations du Commissariat visant à améliorer les mesures de protection et de contrôle relatives aux fouilles personnelles et a convenu de les mettre en œuvre.

Autres enquêtes

Le Commissariat a aussi mené d’autres enquêtes au titre de la LPRP durant l’exercice, dont voici quelques exemples. Les rapports de conclusions se trouvent sur le site Web du Commissariat.

• Le ministère de la Défense nationale a refusé à la personne agissant comme exécuteur testamentaire l’accès aux renseignements personnels d’une personne militaire décédée, auxquels l’exécuteur avait droit.
• Le Commissariat a conclu qu’il était raisonnable pour IRCC de refuser à un père l’accès aux renseignements personnels de son enfant.
• Le Commissariat a conclu qu’une plainte selon laquelle l’ARC a refusé au plaignant l’accès à ses renseignements personnels était fondée.

Atteintes sous le régime de la Loi sur la protection des renseignements personnels

En 2024-2025, le Commissariat a reçu 615 signalements d’atteinte de la part d’institutions fédérales, une hausse par rapport à 561 signalements durant l’exercice précédent, et le nombre de personnes touchées a plus que doublé, passant de 138 434 à 309 865. Cette augmentation s’explique par le nombre croissant d’atteintes signalées au Commissariat dans l’ensemble ainsi que par le fait que des milliers d’individus ont été touchés par des incidents qui ont fait l’objet de trois signalements d’atteintes faits par l’ARC, qui sont décrits ci-dessous.

En 2024-2025, le Commissariat a reçu de l’ARC des signalements d’atteinte qui faisaient état d’environ 35 000 incidents remontant à 2020. L’ARC a aussi signalé 67 atteintes portant sur d’autres types d’incidents, par exemple des communications mal acheminées ou l’abus de droits d’accès.

Encore une fois en 2024-2025, EDSC, qui recueille et utilise également une grande quantité de renseignements personnels sur les Canadiennes et les Canadiens dans le cadre de son mandat, est l’institution fédérale qui a signalé le plus grand nombre d’atteintes au Commissariat, soit 410. La plupart de ces atteintes étaient liées à la perte de passeports (92 %). Bien que le Commissariat ait reçu moins de signalements d’atteinte de la part de l’ARC, ces derniers portaient sur un plus grand nombre d’incidents que ceux signalés par EDSC.

Au sein des institutions fédérales, le traitement inadéquat des renseignements (par exemple des erreurs dans la saisie des données ou l’étiquetage ou encore des correspondances mal acheminées) a été à l’origine de 508 atteintes sous le régime de la LPRP. Viennent ensuite les cyberincidents (55), le furetage des employés (37) et les vulnérabilités en matière de sécurité (14).

Les atteintes en chiffres – Loi sur la protection des renseignements personnels

Le cyberincident au Centre d’analyse des opérations et déclarations financières du Canada n’a pas entraîné de risque réel de préjudice grave

En mars 2024, le Commissariat a reçu des signalements relatifs à un cyberincident survenu au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) et ayant entraîné une atteinte à ses mesures de sécurité.

Tout au long de l’enquête, le CANAFE a fait preuve d’ouverture et a collaboré avec le Commissariat, permettant à celui-ci d’effectuer rapidement une évaluation de l’incident.

L’examen du Commissariat a révélé que l’atteinte n’avait pas entraîné de risque réel de préjudice grave, car les renseignements personnels touchés avaient été chiffrés et rien n’indiquait que l’auteur de la menace avait réussi à les déchiffrer.

Des milliers de personnes touchées par des atteintes à la vie privée à l’Agence du revenu du Canada

En mai 2024, le Commissariat a reçu un signalement d’atteintes à la vie privée de la part de l’ARC, qui portait sur 31 393 incidents distincts survenus entre mai 2020 et novembre 2023. Le Commissariat a rencontré l’ARC à plusieurs reprises afin de rester au fait des mesures qu’elle prenait pour régler les atteintes.

Après avoir reçu une plainte en octobre 2024, le Commissaire Dufresne a ouvert une enquête sur ces atteintes.

Depuis mai 2024, l’ARC a soumis des signalements d’atteintes supplémentaires faisant état d’environ 4 000 incidents.

Les atteintes à la vie privée qui sont survenues à l’ARC mettent en évidence non seulement le risque auquel sont exposés les renseignements personnels, mais aussi l’importance de s’attaquer à toutes les formes d’atteintes, y compris aux cyberincidents, et d’en atténuer les effets.

Lors de sa comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (Comité ETHI) dans le cadre de l’étude qu’il menait sur les atteintes à la vie privée survenues à l’ARC, le Commissaire Dufresne a fait valoir que parce qu’elles détiennent des renseignements personnels sensibles, les institutions gouvernementales sont des cibles de choix pour les auteurs malveillants et qu’elles doivent, par conséquent, continuellement s’adapter à un contexte de menaces en constante évolution.

Il a également indiqué que le Commissariat communique régulièrement avec les institutions fédérales, leur fournissant des conseils et des orientations pour les aider à composer avec les risques en cas d’atteinte, à atténuer ces risques ainsi qu’à prévenir, à contenir et à signaler les atteintes. Il a d’ailleurs rappelé que chaque activité de mobilisation ou de conformité joue un rôle important pour soutenir et faire progresser la protection de la vie privée à l’échelle du gouvernement du Canada, un défi de plus en plus complexe et primordial à l’ère numérique.

La perte d’un dispositif USB non chiffré constitue une atteinte grave pour la GRC

Le Commissariat a mené une enquête sur la perte d’un dispositif de stockage USB non chiffré contenant les renseignements personnels de plus de 1 700 individus, notamment les noms et d’autres renseignements personnels de victimes, de témoins, d’informateurs, de membres de la GRC et d’employés.

Le détachement de la GRC a appris d’un informateur confidentiel, trois semaines après la perte de la clé USB, que les données stockées sur ladite clé étaient offertes à la vente par des membre de la communauté criminelle. Le détachement a signalé la perte au quartier général de la GRC, qui a à son tour fait un signalement au Commissariat.

Durant l’enquête, le Commissariat a reçu de nouveaux signalements d’atteinte à la vie privée concernant la perte d’autres dispositifs USB non chiffrés, dont l’utilisation est contraire aux normes de la GRC.

Compte tenu de la nature et de la sensibilité des renseignements personnels que la GRC traite quotidiennement, le Commissariat a recommandé à cette dernière de mettre en place des mesures de sécurité strictes relativement à l’utilisation de dispositifs de stockage USB.

La GRC était d’accord en principe avec les recommandations du Commissariat de renforcer ses mesures de protection, mais, au moment de la rédaction du présent rapport, elle ne s’était toujours pas engagée à les mettre en œuvre dans un délai donné.

Suivi relatif à une enquête concernant une importante atteinte à la vie privée survenue à l’Agence du revenu du Canada et à Emploi et Développement social Canada

En février 2024, le Commissaire a déposé un rapport spécial au Parlement présentant ses conclusions et ses recommandations à la suite d’une enquête sur une atteinte ayant touché une grande quantité de renseignements personnels. L’enquête a révélé que l’ARC et EDSC avaient sous-évalué le niveau de validation de l’identité requis pour les services en ligne touchés et n’avaient pas pris les mesures nécessaires pour détecter l’atteinte et la limiter rapidement. Les deux institutions ont accepté toutes les recommandations formulées par le Commissariat et se sont engagées à les mettre en œuvre dans un délai d’un an, soit au plus tard le 14 février 2025.

Au cours du dernier exercice, le Commissariat a fait un suivi auprès de l’ARC et d’EDSC pour voir où en était la mise en œuvre de ses recommandations.

L’ARC et EDSC ont tous deux tardé à mettre en œuvre certaines des recommandations du Commissariat. Le Commissariat restera en contact avec les deux institutions afin d’assurer la mise en œuvre de toutes les recommandations.

La Loi sur la protection des renseignements personnels et les documents électroniques : rétrospective de l’exercice

La collaboration a été l’un des principaux thèmes des travaux du Commissariat portant sur le secteur privé en 2024-2025. De concert avec ses homologues nationaux et internationaux, le Commissariat a poursuivi des enquêtes en cours, en a ouvert de nouvelles et a pris des mesures pour assurer la conformité à la LPRPDE.

Mentionnons, entre autres, que le Commissariat a ouvert une enquête avec ses homologues de la Colombie‑Britannique et de l’Alberta sur Certn, une entreprise qui offre des services de vérification des antécédents, ce qui comprend des services de sélection de locataires pour des propriétaires de logements.

Le Commissaire Dufresne a aussi collaboré avec le Commissariat à l’information du Royaume-Uni pour lancer une enquête sur l’atteinte à la sécurité des données survenue chez 23andMe, une entreprise qui vend des services de dépistage génétique directement aux consommateurs de partout dans le monde. Les deux organisations ont lancé cette enquête en juin 2024 afin de tirer parti de leurs ressources et de leur expertise combinées afin d’évaluer une atteinte touchant des renseignements très sensibles.

Au cours du dernier exercice, le Commissariat a aussi poursuivi son travail en menant avec les organismes de réglementation du Québec, de la Colombie-Britannique et de l’Alberta des enquêtes conjointes sur les pratiques en matière de protection de la vie privée de TikTok, notamment en ce qui a trait aux enfants, et d’OpenAI, l’entreprise qui est à l’origine de ChatGPT.

Le Commissariat a progressé dans la réalisation de sa deuxième priorité stratégique, soit tenir compte des répercussions des nouvelles technologies sur la vie privée. Il y est arrivé, entre autres, en enquêtant sur TikTok et sur OpenAI ainsi qu’en obtenant un engagement de la part de LinkedIn. Dans cette dernière affaire, l’entreprise a mis en place volontairement un moratoire sur l’utilisation des renseignements personnels de ses membres canadiens pour entraîner ses modèles d’IA générative pendant qu’elle collabore avec le Commissariat pour répondre à ses questions. En février 2025, à la suite d’une plainte, le Commissaire a aussi ouvert une enquête sur la collecte, l’utilisation et la communication de données aux fins du développement de l’IA par X Corp.

En 2024-2025, le Commissariat a reçu 1 458 plaintes déposées sous le régime de la LPRPDE, une hausse de 32 % par rapport à l’exercice précédent. De ce nombre, il en a accepté 446. Comme pour l’augmentation des plaintes au titre de la LPRP, aucun facteur précis ne semble expliquer l’augmentation, et les plaintes sont réparties dans toutes les catégories.

Au début de l’exercice financier, il y avait 66 enquêtes sous le régime de la LPRPDE qui étaient en cours depuis plus de 12 mois, ce qui représentait environ 21 % de l’ensemble des enquêtes actives. À la fin de l’exercice, l’arriéré n’était plus que de 41 enquêtes, ce qui représentait 14 % de l’ensemble des enquêtes actives. Comme en 2023-2024, la majorité des plaintes visait le secteur des services financiers (111), un nombre qui se rapproche de celui des trois dernières années.

Les autres secteurs où le nombre de plaintes est élevé sont ceux des services (services immobiliers, réparation et entretien, agences d’évaluation du crédit, etc.) (90), d’Internet, ce qui comprend les fournisseurs de services Internet et les services de transmission d’information en ligne (nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux) (53), et des ventes (détaillants, concessionnaires automobiles, vente en ligne) (35). La plupart des plaintes concernaient la façon dont les entreprises recueillent, utilisent, communiquent ou conservent les renseignements personnels ou avaient trait à la difficulté d’obtenir l’accès aux renseignements personnels que les entreprises détiennent.

Certaines enquêtes entamées en 2024-2025 étaient toujours en cours au moment de la rédaction du présent rapport :

• En novembre 2024, le Commissariat a ouvert une enquête sur l’Agence mondiale antidopage (AMA), qui est chargée de superviser les programmes antidopage et de surveiller la conformité au Code mondial antidopage. L’enquête a été lancée à la suite de la réception d’une plainte concernant la façon dont l’AMA traite les échantillons biologiques prélevés sur des athlètes. La partie plaignante a affirmé que l’AMA aurait communiqué des renseignements personnels à des fédérations sportives internationales et que ces renseignements seraient utilisés pour évaluer l’admissibilité des athlètes en fonction de leur sexe à leur insu ou sans leur consentement, et à des fins qui ne seraient pas considérées comme acceptables au titre de la LPRPDE.
• En juillet 2024, après avoir reçu plusieurs plaintes d’individus qui soutenaient ne pas avoir été capables de supprimer leur compte PC Optimum, le Commissariat a ouvert une enquête sur Loblaws.

La section ci-après présente les résultats clés obtenus en 2024-2025 sous le régime de la LPRPDE.

Processus de règlement rapide

Le processus de règlement rapide demeure un outil d’enquête important pour régler les plaintes peu complexes et non systémiques déposées sous le régime de la LPRPDE.

En 2024-2025, le Commissariat a traité 89 % de toutes les plaintes acceptées sous le régime de la LPRPDE par règlement rapide ou par enquête sommaire, c’est-à-dire une brève enquête qui se termine par la publication d’un court rapport de conclusions d’enquête ou d’une courte lettre de conclusions d’enquête. C’est donc 388 plaintes relatives à l’application de la LPRPDE qui ont été fermées au moyen du processus de règlement rapide ou d’une enquête sommaire.

Services-conseils et activités de sensibilisation à l’intention des entreprises concernant la Loi sur la protection des renseignements personnels et les documents électroniques

Le Commissariat fournit des conseils aux entreprises pour les aider à faire en sorte que leurs initiatives et leurs pratiques de gestion des renseignements personnels soient conformes à la LPRPDE.

En 2024-2025, le Commissariat a offert 17 consultations à des entreprises, soit presque le même nombre qu’à l’exercice précédent (16). Nous avons constaté une augmentation de la proportion de consultations portant sur l’adoption de l’IA, qui est passée de 40 % en 2023-2024 à 59 % en 2024-2025. Cette hausse n’est pas surprenante étant donné l’adoption rapide des technologies de l’IA dans les entreprises de toutes tailles.

Le Commissariat a aussi donné des présentations et des ateliers sur la protection de la vie privée, en personne et de façon virtuelle, dans diverses régions du pays, et ce, en étroite collaboration avec des centres d’innovation et des accélérateurs.

Il a notamment effectué des visites de sensibilisation à Winnipeg, Halifax, Moncton et St. John’s. Le personnel du Commissariat a rencontré 200 jeunes entreprises de technologie, petites et moyennes entreprises, nouveaux entrepreneurs et autres parties prenantes à l’occasion de diverses activités de sensibilisation. Pendant ces activités, il en a profité pour donner de l’information et des conseils sur la LPRPDE, par exemple sur la façon dont elle s’applique à des technologies comme l’IA, la reconnaissance faciale et les outils de gestion des données infonuagiques de tiers.

Des membres de la Direction des services-conseils à l’entreprises du Commissariat à l’exposition de la tournée Startup Canada 2024 à Moncton.

En juin 2024, le Commissariat a tenu à Toronto son forum annuel sur la protection de la vie privée. Cette rencontre est l’occasion pour les organisations, les professionnels de la protection de la vie privée et les parties prenantes du secteur privé d’interagir avec les organismes de réglementation fédéral et provinciaux et d’échanger leurs points de vue sur des questions relatives à la protection des renseignements personnels et des données. Des membres du milieu des affaires, y compris des responsables de la protection de la vie privée de secteurs clés et d’associations de l’industrie, des juristes spécialisés en protection de la vie privée ainsi que d’autres professionnels du domaine, étaient présents à cet événement. La tenue du forum coïncide avec celle du Symposium canadien sur la protection de la vie privée de l’International Association of Privacy Professionals (IAPP), qui a lieu chaque année.

De plus, à la suite de modifications réglementaires visant à renforcer le cadre canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes, le Commissariat assume depuis mars 2025 un nouveau rôle de surveillance. Le Commissariat est chargé d’examiner et d’approuver les codes de pratique régissant les entités déclarantes assujetties à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT). Les codes s’appliquent à l’échange de renseignements personnels entre les entités déclarantes sans le consentement des individus au titre de l’article 11.01 de la LRPCFAT.

Atteintes sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques

Le nombre d’atteintes signalées sous le régime de la LPRPDE en 2024-2025 est demeuré stable par rapport à l’exercice précédent, passant de 693 à 686. Ces atteintes ont touché environ 20 millions de comptes canadiens d’individus; bien qu’il soit inférieur au nombre de comptes touchés à l’exercice précédent (25 millions), ce nombre demeure élevé et préoccupant.

Certaines atteintes peuvent avoir d’énormes répercussions. Par exemple, une cyberattaque touchant un fournisseur de services tiers pourrait être considérée comme une seule et unique atteinte, mais ses conséquences pourraient se faire sentir dans nombre de ses organisations clientes.

C’est dans le secteur des finances que le plus grand nombre d’atteintes sous le régime de la LPRPDE a été signalé. L’accès non autorisé y a été un enjeu majeur : près du tiers (172) de toutes les atteintes de ce type signalées au Commissariat pour l’ensemble des secteurs (555) sont survenues dans le secteur financier. Il peut s’agir de cyberincidents, d’attaques par piratage psychologique ou d’employés ayant abusé de leurs droits d’accès.

Les autres secteurs qui ont connu un nombre élevé d’atteintes liées à un accès non autorisé sont ceux des télécommunications (75), des services, par exemple les agences de recouvrement et d’évaluation du crédit, les établissements et services d’enseignement, les services d’enquête et de sécurité, les services immobiliers et les autres services (agences de placement, agences de voyages, entreprises de réparation) (59), de la fabrication (44) et des assurances (25).

Le Commissariat observe aussi une tendance à la hausse en ce qui concerne les attaques visant les chaînes d’approvisionnement. Ces atteintes touchent des fournisseurs de services et des développeurs de logiciels qui exercent leurs activités au nom d’organisations clientes, et elles peuvent avoir des conséquences sur les clients de toutes les entreprises de la chaîne. Par exemple, une atteinte survenue chez un fournisseur de services de l’industrie pharmaceutique a touché plus de 50 organisations au Canada.

Les atteintes en chiffres – Loi sur la protection des renseignements personnels et les documents électroniques

Enquête conjointe avec le Commissariat du Royaume-Uni sur l’atteinte à la sécurité des données survenue chez 23andMe

En juin 2024, le Commissaire Dufresne et le Commissaire à l’information du Royaume-Uni, John Edwards, ont lancé une enquête conjointe sur une atteinte à la sécurité des données survenue à l’entreprise 23andMe, qui vend des services de dépistage génétique directement aux consommateurs de partout dans le monde.

L’entreprise 23andMe est le gardien de renseignements personnels de nature très sensible, notamment des renseignements génétiques, comme de l’ADN, renseignements qui ne changent pas au fil du temps. L’ADN peut révéler des détails à propos d’un individu et des membres de sa famille, entre autres en ce qui concerne la santé, l’ethnicité et les relations biologiques. La confiance du public à l’égard de ces services est donc essentielle. L’enquête a permis aux deux commissariats de mettre en commun leurs ressources et leur expertise. Cette dernière témoigne de l’engagement du Commissaire Dufresne à miser sur la collaboration pour protéger le droit fondamental à la vie privée des individus.

Des millions de personnes dans le monde touchées par l’atteinte à la sécurité des données survenue chez Ticketmaster

En juillet 2024, le Commissaire Dufresne a ouvert une enquête sur Ticketmaster à la suite d’un incident de cybersécurité qui aurait touché plus de 500 millions d’utilisateurs à l’échelle mondiale, dont des millions de Canadiennes et de Canadiens.

L’enquête vise à déterminer si l’entreprise avait mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels des individus touchés et si elle a avisé ceux-ci en temps opportun.

Une atteinte à la sécurité des données survenue chez PowerSchool touche des établissements d’enseignement, des parents et des élèves

En janvier 2025, le Commissariat a appris qu’une atteinte à la sécurité des données était survenue chez PowerSchool, une entreprise de logiciels de technologies éducatives, qui sont utilisés dans de nombreuses écoles au Canada pour gérer les données du personnel enseignant et des élèves.

Des représentants du Commissariat ont rapidement communiqué avec PowerSchool pour établir si l’entreprise prend les mesures appropriées pour réagir à l’atteinte.

En février 2025, le Commissaire Dufresne a annoncé la tenue d’une enquête sur cet incident.

Points saillants des autres travaux menés par le Commissariat

Le Commissariat emploie divers moyens pour remplir son mandat de protéger et de promouvoir le droit à la vie privée des Canadiennes et des Canadiens.

En plus de veiller au respect de la LPRP et de la LPRPDE, le Commissariat donne des conseils au Parlement, collabore avec des partenaires nationaux et internationaux, appuie la recherche sur la protection de la vie privée, rédige des documents d’orientation à l’intention des Canadiennes et des Canadiens et mène d’autres activités de communication et de sensibilisation tout au long de l’année.

La section suivante donne une vue d’ensemble des activités menées par le Commissariat dans ces domaines en 2024-2025.

La protection de la vie privée en chiffres

Autres travaux

Projets de loi, études parlementaires et projets de règlement examinés sous l’angle de leurs répercussions sur la vie privée	4
Comparutions devant des comités parlementaires sur des questions de protection de la vie privée	8
Demandes d’information	6 998
Annonces et communiqués diffusés	48
Allocutions et présentations	100
Publications sur X (Twitter)	407
Abonnés sur X (Twitter)	19 318
Publications sur LinkedIn	330
Abonnés sur LinkedIn	35 160
Consultations du site Web	2 790 429
Consultations du blogue	30 914
Publications diffusées	1 651

Conseils au Parlement

Un volet important du rôle du Commissariat consiste à prodiguer des conseils au Parlement concernant les lois sur la protection des renseignements personnels et d’autres questions. En 2024-2025, le Commissaire a comparu à huit reprises devant des comités parlementaires et a présenté quatre mémoires au gouvernement, comme il est décrit ci-dessous.

Lorsque le Parlement a été prorogé en janvier 2025, tous les projets de loi qui étaient à l’étude, y compris ceux dont le Commissariat a discuté en comité parlementaire, sont morts au Feuilleton. C’est notamment le cas du projet de loi C-27, qui aurait modernisé la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada en édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur l’intelligence artificielle et les données.

Le Commissariat continuera de préconiser des lois modernisées qui reconnaissent la protection de la vie privée comme un droit fondamental tout en soutenant l’intérêt public et une économie canadienne forte.

En attendant, les lois canadiennes existantes continuent de s’appliquer, y compris aux nouvelles technologies comme l’IA générative, et le Commissariat reste déterminé à les faire respecter.

Voici une liste non exhaustive des comparutions du Commissaire devant le Parlement :

Comparution dans le cadre d’une étude sur la transparence au sein du ministère de la Défense nationale et des Forces armées canadiennes

En mai 2024, le Commissaire Dufresne a comparu devant le Comité permanent de la défense nationale de la Chambre des communes en ce qui concerne son étude sur la transparence au sein du ministère de la Défense nationale et des Forces armées canadiennes. À cette occasion, il a fait remarquer que la transparence habilite les citoyens en leur donnant les connaissances nécessaires pour exercer leurs droits et oblige le gouvernement à se responsabiliser à l’égard de ses méthodes de traitement des renseignements personnels.

Comparution sur le projet de loi C-69, Loi d’exécution du budget

Lors de sa comparution devant le Comité sénatorial permanent des banques, du commerce et de l’économie en mai 2024, le Commissaire Dufresne s’est exprimé sur les nouvelles dispositions concernant le partage de renseignements à l’intention des entités déclarantes aux termes de la LRPCFAT. Il a affirmé qu’il serait essentiel que le Commissariat soit consulté lors de l’élaboration de ces règlements et que ces derniers prévoient un rôle « fort et visible » d’approbation pour le Commissariat.

Comparution dans le cadre de l’étude sur le projet de loi S-210, Loi limitant l’accès en ligne des jeunes au matériel sexuellement explicite

Le Commissaire Dufresne a comparu devant le Comité permanent de la sécurité publique et nationale en mai 2024 dans le cadre de l’étude d’un projet de loi visant à protéger les jeunes contre les répercussions néfastes de l’exposition à du matériel sexuellement explicite en ligne. Bien que le Commissaire soutienne l’objet du projet de loi, il a souligné que tel que celui-ci était rédigé, il pourrait faire en sorte d’imposer des obligations relatives à la vérification de l’âge même dans des cas où une grande partie du contenu d’un site Web n’est pas sexuellement explicite. Le Commissaire a proposé l’ajout de critères à la liste pour faire en sorte que les mécanismes de vérification de l’âge prescrits protègent suffisamment la vie privée. Enfin, il a précisé qu’il était disposé à donner des conseils sur la mise en œuvre si le projet de loi S-210 était adopté.

Comparution sur le projet de loi C-26, Loi concernant la cybersécurité

Lors de sa comparution devant le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants en novembre 2024, dans le cadre de l’étude du projet de loi C-26 portant sur la cybersécurité, le Commissaire Dufresne a souligné l’importance que la collecte, l’utilisation ou la communication de renseignements personnels dans un contexte de cybersécurité soient limitées à ce qui est nécessaire et proportionnel. Il a aussi réitéré que le Commissariat devrait être informé des cyberincidents qui pourraient entraîner une atteinte importante à la vie privée.

Comparution sur les atteintes à la vie privée à l’Agence du revenu du Canada

Les cyberattaques qui ont visé l’Agence du revenu du Canada (ARC) et entraîné plus de 30 000 atteintes à la vie privée depuis 2020 ont été au centre des propos du Commissaire Dufresne pendant sa comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) en décembre 2024. Ces atteintes font l’objet d’une enquête du Commissariat et sont traitées en détail dans la section relative aux atteintes. Le Commissaire Dufresne a exposé son avis sur les atteintes à la sécurité des données devant le Comité, affirmant que globalement, elles sont l’une des principales menaces qui pèsent sur les renseignements personnels.

Comparution sur la décision d’ordonner la liquidation de TikTok Technology Canada, Inc.

Le Commissaire Dufresne a comparu devant le Comité ETHI en décembre 2024 dans le cadre de l’étude sur la décision du gouvernement d’ordonner la liquidation de l’entreprise canadienne exploitée par TikTok pour des raisons de sécurité nationale. Il a affirmé que défendre le droit à la vie privée des enfants est une priorité stratégique pour le Commissariat. Une enquête conjointe menée par le Commissariat et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta en 2023 a permis d’examiner les pratiques de TikTok en matière de protection de la vie privée, en particulier celles qui visent les jeunes utilisateurs. Le rapport d’enquête conjoint définitif devrait être publié en 2025.

Autres conseils

Mémoire dans le cadre d’une consultation du ministère de la Justice
sur la mise en œuvre d’un protocole pour la Convention
internationale sur la cybercriminalité

En avril 2024, le Commissariat a présenté ses observations dans le cadre d’une consultation du ministère de la Justice concernant le Deuxième Protocole additionnel à la Convention sur la cybercriminalité, aussi appelée Convention de Budapest, qui porte sur le renforcement de la coopération et de la divulgation de preuves électroniques. Le Commissariat a recommandé des options pour améliorer la surveillance, les garanties et la transparence.

Rapport du Comité ETHI sur l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et ordinateurs

Le Commissaire Dufresne a accueilli favorablement le rapport publié en octobre 2024, soulignant que ce rapport confirme l’importance de modifier la LPRP afin de garantir que la protection de la vie privée est prise en compte et traitée adéquatement, étant donné que les technologies changent de plus en plus les façons dont les institutions fédérales recueillent, utilisent et communiquent les renseignements personnels.

Le Commissaire présente ses recommandations concernant les modifications proposées à la Loi électorale du Canada

Dans un mémoire présenté en novembre 2024 au Comité permanent de la procédure et des affaires de la Chambre des communes, qui étudiait le projet de loi C-65 visant à modifier la Loi électorale du Canada, le Commissaire Dufresne a formulé des recommandations afin de renforcer davantage le projet de loi et de mieux protéger les renseignements personnels des électeurs. Il a suggéré l’ajout de dispositions pour améliorer la surveillance et d’obligations pour les partis politiques d’obtenir le consentement relativement à la collecte de renseignements personnels et de signaler les atteintes.

Déclaration à la suite de la publication du rapport sur l’encadrement des plateformes de médias sociaux

Le Commissaire Dufresne a accueilli favorablement un rapport publié en décembre 2024 par le Comité ETHI dans le cadre de son étude concernant l’utilisation des plateformes de médias sociaux pour la collecte de données et le partage non éthique ou illicite de renseignements personnels avec des entités étrangères. Le Commissaire a souligné que bon nombre des recommandations contenues dans ce rapport faisaient écho aux questions qu’il avait abordées lors de sa comparution devant le Comité en 2023.

Examen du Commissariat sur les pratiques de traitement des renseignements personnels du CANAFE

En décembre 2024, le Commissariat a déposé au Parlement son rapport d’examen bisannuel des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) pour protéger les renseignements personnels qu’il reçoit ou recueille au titre de la LRPCFAT. L’examen a permis de conclure que le CANAFE a amélioré ses mesures de protection des renseignements personnels depuis le dernier examen bisannuel du Commissariat en 2021. Néanmoins, le CANAFE a encore du travail à faire pour répondre à toutes les préoccupations et améliorer ses mesures de contrôle et de protection relativement aux questions soulevées.

Mémoire sur les modifications proposées au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes

En janvier 2025, le Commissariat a présenté ses observations dans le cadre d’une consultation du ministère des Finances du Canada sur les modifications proposées au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes. Le Commissariat a formulé des recommandations visant à assurer l’efficacité de son nouveau rôle d’approbation des codes de pratique établis au titre de la LRPCFAT.

Recherche sur l’opinion publique

Selon le plus récent sondage que le Commissariat mène tous les deux ans auprès de la population canadienne, au Canada, neuf personnes sur dix sont à tout le moins quelque peu préoccupées par la protection de leur vie privée, dont 36 % sont énormément préoccupées.

Un tiers des répondants ont indiqué avoir de bonnes (27 %) ou de très bonnes (6 %) connaissances des lois sur la protection des renseignements personnels et six Canadiens sur dix ont affirmé avoir de bonnes (45 %) ou de très bonnes (14 %) connaissances sur la façon de protéger leur droit à la vie privée.

Environ la moitié de la population canadienne estime avoir suffisamment d’information pour comprendre les répercussions des nouvelles technologies sur leur vie privée. Toutefois, 83 % des répondants ont exprimé un certain niveau de préoccupation concernant la protection de leur vie privée lorsqu’ils utilisent des outils d’IA, tandis que 88 % sont préoccupés de voir leurs données personnelles utilisées pour entraîner des systèmes d’IA.

Près de neuf Canadiens sur dix sont préoccupés par la protection de leur vie privée lorsqu’ils utilisent les médias sociaux (87 %), les téléphones intelligents (86 %) et d’autres appareils connectés à Internet (84 %), ainsi que lorsqu’ils fournissent des renseignements personnels ou des données biométriques (85 %) et participent à des activités en ligne (87 %).

Les Canadiennes et les Canadiens sont aussi préoccupés par la façon dont leurs renseignements personnels sont utilisés : 91 % des répondants ont exprimé au moins une certaine préoccupation quant à l’utilisation de leurs données pour créer des profils marketing ou commettre un vol d’identité. De même, 87 % des gens s’inquiètent de voir leurs renseignements utilisés pour prendre des décisions qui peuvent avoir des répercussions sur leur vie, par exemple pour un emploi, une réclamation d’assurance, un prêt ou une assurance-maladie.

Chaque année, le Commissariat effectue une recherche sur l’opinion publique, en sondant en alternance les entreprises et la population canadienne, afin de mieux comprendre les attitudes et les préoccupations concernant la protection de la vie privée.

Cette année, un sondage en ligne destiné aux parents et aux enseignants a aussi été mené afin de connaître leurs préoccupations concernant la vie privée des enfants. Ce sondage a permis de constater que la grande majorité des parents s’inquiètent de la protection de la vie privée en ligne de leurs enfants. En fait, les deux tiers des parents ou plus sont de moyennement à extrêmement préoccupés, dont 45 % sont très préoccupés par les risques qui peuvent découler de l’utilisation ou de la mauvaise utilisation des renseignements personnels de leurs enfants. De plus, 42 % des parents sont grandement préoccupés par la quantité de renseignements personnels que les entreprises recueillent sur leurs enfants, 41 %, par le fait que leurs enfants utilisent des sites Web ou des applications destinés aux adultes et 37 %, par la quantité de renseignements personnels que leurs enfants communiquent en ligne.

Les trois quarts des enseignants ont indiqué avoir discuté de la protection de la vie privée et des renseignements personnels avec leurs élèves. Seulement un tiers des enseignants connaissent des programmes et des ressources qui leur permettent d’enseigner dans ce domaine.

Défendre le droit à la vie privée des enfants

En 2024-2025, plusieurs initiatives ont contribué à la réalisation de la priorité stratégique du Commissaire Dufresne, qui vise à défendre le droit à la vie privée des enfants. Ces initiatives témoignent de la nécessité de veiller à ce que les jeunes puissent profiter de la technologie sans que leur bien-être soit compromis.

Le Commissariat a fait de la recherche afin d’approfondir sa compréhension des problèmes de protection de la vie privée auxquels sont confrontés les jeunes, notamment sa compréhension de leurs droits relatifs à la protection de la vie privée et à la sécurité de leurs renseignements personnels.

La démarche du Commissariat prévoyait des activités de sensibilisation destinées aux jeunes ainsi que des sondages auprès des parents, des enseignants et d’autres parties prenantes.

Le Commissariat a également tenu compte de la protection de la vie privée des enfants dans le cadre de ses activités d’application de la loi et tirera parti des conclusions tirées de ses enquêtes – par exemple celles en cours sur TikTok et sur PowerSchool – afin d’informer les organisations et d’inciter celles-ci à mettre au point des produits et des services offrant une meilleure protection de la vie privée pour les enfants.

À l’échelle internationale, en septembre 2024, le Commissariat, comme un certain nombre de ses homologues, a signé une déclaration commune sur le contrôle de l’âge publiée par le Commissariat à l’information du Royaume-Uni. La déclaration présente des principes qui visent à soutenir l’exactitude et l’efficacité des mécanismes de contrôle de l’âge tout en assurant la protection de la vie privée des utilisateurs. Elle rappelle aussi que, quelle que soit la méthode de contrôle de l’âge utilisée, celle-ci doit être mise en œuvre dans l’intérêt supérieur de l’enfant.

En mars 2025, le Commissariat a publié un rapport intitulé Consultation sur le contrôle de l’âge : ce que nous avons entendu, qui présente les réponses reçues dans le cadre de sa consultation exploratoire sur le contrôle de l’âge lancée en juin 2024. Le Commissariat a invité un large éventail de parties prenantes à lui faire part de leurs observations sur le développement et l’utilisation des technologies de contrôle de l’âge afin de l’aider à définir sa politique et son orientation à ce sujet.

Voici quelques exemples des autres activités menées par le Commissariat :

• Dans le cadre du ratissage de 2024 du GPEN, le Commissariat et ses homologues de la Colombie-Britannique et de l’Alberta se sont penchés sur les mécanismes de conception trompeuse utilisés sur les sites Web et les applications destinés aux enfants.
• En février 2025, le Commissariat a organisé des groupes de discussion avec des jeunes âgés de 13 à 17 ans pour savoir ce qu’ils pensent de leur droit à la vie privée et des préjudices qu’ils peuvent subir en ligne.
• Le cycle de financement du Programme des contributions de 2024-2025 cible des propositions de projets de recherche axés sur la protection de la vie privée des enfants.

Technologie et intelligence artificielle

La présence prédominante des géants de la technologie, des plateformes numériques mondiales et des médias sociaux et l’influence de ceux-ci sur l’information et les télécommunications ont transformé l’environnement dans lequel nous vivons et travaillons.

Au cours des prochaines années, il sera crucial de trouver les bonnes façons de protéger et de promouvoir le droit fondamental à la vie privée des individus tout en tirant parti des nouvelles possibilités technologiques.

C’est pourquoi l’une des trois priorités stratégiques du Commissaire qui orienteront les activités du Commissariat jusqu’en 2027 consiste à tenir compte des répercussions de la technologie sur la vie privée, en particulier dans le domaine de l’IA.

Durant l’exercice 2024-2025, le Commissariat a participé à de nombreuses initiatives de collaboration en matière de protection de la vie privée et d’IA, entre autres dans le cadre de ses partenariats avec les organismes de réglementation du G7, l’AMVP et le Forum canadien des organismes de réglementation numérique ainsi qu’avec ses homologues des provinces et des territoires.

• En octobre 2024, dans le cadre d’une table ronde, les autorités de protection des données et de la vie privée du G7 ont publié une déclaration sur le rôle des autorités de protection des données dans la promotion d’une IA digne de confiance. Dans cette dernière, elles affirment que tout comme les principes de la protection des données doivent, dès la conception, être intégrés dans les technologies de l’IA, les organismes de réglementation doivent aussi être inclus à même la gouvernance qui est en cours d’élaboration relativement à ces technologies, car ces organismes sont en bonne position pour régler les problèmes avant qu’ils ne deviennent systémiques.
• Une deuxième déclaration des autorités de protection des données et de la vie privée du G7 met, quant à elle, l’accent sur l’intelligence artificielle et les enfants. Dans cette dernière, elles affirment que la génération actuelle d’enfants sera la première à grandir dans un monde fortement influencé par l’IA. Il est donc important de porter attention aux préjudices auxquels les enfants peuvent être particulièrement vulnérables, par exemple ceux qui peuvent être causés par des outils d’IA capables de générer du contenu manipulateur, trompeur ou susceptible de mettre en péril l’état émotionnel et la prise de décision des utilisateurs.
• Le Commissariat a fait des présentations sur des problèmes de protection de la vie privée liés à l’IA à l’occasion de nombreuses activités, entre autres le Symposium canadien sur la protection de la vie privée d’IAPP et des rencontres de l’AMVP. Il a aussi participé à la rédaction et à la publication d’un document de terminologie sur les notions d’anonymisation, de pseudonymisation et de dépersonnalisation ainsi que d’un document de travail sur les grands modèles de langage (en anglais seulement) produit par le Groupe de travail international sur la protection des données dans les technologies, également connu sous le nom de Groupe de Berlin. Le document de travail énonce certains des principaux aspects de la protection des données et de la vie privée qui doivent être pris en compte dans le contexte de l’IA générative.

Promouvoir la protection de la vie privée

Pour mener à bien sa mission de protéger et de promouvoir le droit à la vie privée des Canadiennes et des Canadiens, le Commissariat tient diverses activités de sensibilisation.

Le Commissaire Dufresne, les sous-commissaires et les experts du Commissariat prononcent souvent des allocutions devant des auditoires composés d’étudiants, de parties prenantes du domaine de la protection de la vie privée ou encore de représentants d’institutions fédérales, d’organisations du secteur privé et d’organismes de réglementation nationaux et internationaux.

Le Commissariat s’efforce aussi de sensibiliser le grand public et de faire connaître les risques en matière de protection de la vie privée afin que les enfants, les jeunes et les adultes soient bien outillés pour protéger leurs renseignements personnels.

Le site Web du Commissariat est une ressource importante pour les individus, les institutions fédérales et les organisations du secteur privé qui cherchent de l’information sur leurs droits et leurs obligations au titre des lois canadiennes sur la protection des renseignements personnels.

Un membre de l’équipe de sensibilisation du Commissariat au Congrès de l’Association canadienne d’éducation de langue française à Laval.

En 2024-2025, le Commissariat a publié des conseils pour aider les gens à reconnaître les mécanismes de conception trompeuse – des techniques visant à inciter les utilisateurs à fournir des renseignements personnels en ligne – les plus courants ainsi que des pratiques exemplaires à l’intention des entreprises qui veulent éviter ces mécanismes.

Il a aussi produit une nouvelle fiche-conseil sur la façon de limiter le risque de vol d’identité. Une campagne radiophonique sur le sujet a également été diffusée à l’échelle du pays.

Le Commissariat a fait la promotion de ses ressources éducatives destinées aux enseignants au moyen de campagnes par courriel et a participé à des événements auxquels assistent enseignants et bibliothécaires afin de soutenir l’éducation des jeunes dans le domaine de la protection de la vie privée.

Le Commissariat a utilisé ses canaux de médias sociaux pour rejoindre les individus et les entreprises. Il y a publié du contenu sur diverses campagnes, notamment la Semaine de sensibilisation à la protection de la vie privée, le Mois de la sensibilisation à la cybersécurité, la Semaine de la petite entreprise, la Semaine éducation médias et la Semaine de la protection des données.

---

Coopération avec les autorités canadiennes et étrangères

La collaboration avec les autres organismes de réglementation – comme il a été mentionné précédemment – est un thème commun à toutes les priorités stratégiques du Commissaire, compte tenu de son importance croissante dans une économie mondiale axée sur les données.

Durant l’exercice 2024-2025, le Commissariat a collaboré étroitement avec ses homologues nationaux et internationaux afin de développer une approche réglementaire pour composer avec l’un des plus grands enjeux de notre époque : les répercussions de la technologie sur la vie privée, particulièrement en ce qui concerne l’IA.

Les initiatives de collaboration du Commissariat comprennent notamment des enquêtes conjointes, des déclarations et des résolutions communes et un ratissage mondial portant sur les mécanismes de conception trompeuse utilisés sur les applications et les sites Web. Le Commissariat a travaillé avec des commissaires à l’information et à la protection de la vie privée et des ombuds du domaine de partout au pays afin de se pencher sur des enjeux communs, notamment la modernisation de l’intelligence artificielle et l’accès à l’information, le droit constitutionnel et administratif, la neurotechnologie, les concepts de la vie privée selon les peuples autochtones, la vie privée des jeunes et la modernisation de la loi.

Le Commissaire Dufresne a également favorisé la collaboration et soutenu une meilleure protection de la vie privée de concert avec ses homologues internationaux, entre autres en publiant des déclarations communes avec les autorités de protection des données et de la vie privée du G7 sur la promotion d’une IA digne de confiance et sur l’IA et les enfants. Le Commissariat a aussi publié un document qui résume comment les différents pays du G7 définissent les notions de dépersonnalisation, de pseudonymisation et d’anonymisation. De plus, afin de faire progresser les efforts visant à normaliser la façon dont les renseignements personnels sont échangés entre les pays, le Commissaire Dufresne et ses homologues de l’AMVP ont adopté des résolutions coparrainées par le Commissariat, dont une (en anglais seulement) qui appelle les législateurs, les décideurs et les autorités de protection des données et de la vie privée à travailler ensemble pour garantir l’interopérabilité et la normalisation des outils de transfert de données. Le Commissariat a également collaboré avec les membres du forum des autorités de protection de la vie privée de la zone Asie-Pacifique sur des sujets comme le transfert sécuritaire des données personnelles pour favoriser la confiance et l’innovation, la protection de la vie privée des enfants et la gouvernance de l’IA.

Forum canadien des organismes de réglementation numérique

Matthew Boswell, Commissaire de la concurrence, Philippe Dufresne, Commissaire à la protection de la vie privée du Canada, et Vicky Eatrides, Présidente et première dirigeante, CRTC.

En mai 2024, le Commissaire Dufresne est devenu président du Forum canadien des organismes de réglementation numérique.

Réunissant le Commissariat, le Bureau de la concurrence, le CRTC et la Commission du droit d’auteur du Canada, le Forum a pour but de renforcer l’échange d’information et la collaboration dans des domaines d’intérêt commun qui concernent les marchés et les plateformes numériques.

En 2023, le Forum est devenu membre du Réseau international de coopération en matière de réglementation numérique (RICMRN), qui regroupe des organismes de réglementation du monde entier.

Cette année, le Forum a continué d’approfondir sa connaissance et sa compréhension des répercussions de l’IA et de l’influence que la technologie peut avoir dans les sphères réglementaires de chacun des membres. Par exemple, les membres ont effectué des recherches collectives sur les médias synthétiques, c’est-à-dire le contenu généré par l’IA, y compris les hypertrucages, et ont rédigé un document à ce sujet.

Lors d’un atelier organisé par le RICMRN et l’Organisation de coopération et de développement économiques en novembre 2024, le Commissaire Dufresne a souligné l’importance de la collaboration avec les autres organismes de réglementation et a fait un survol de certaines des questions qui seront traitées dans le document sur les médias synthétiques.

La contribution du Commissariat à ce document conjoint porte sur ce qui suit : les circonstances dans lesquelles un consentement peut ou non être requis, les répercussions qu’une fraude peut avoir sur la réputation, l’influence des médias synthétiques sur le droit des individus d’accéder à leurs renseignements personnels et les questions éthiques que soulève la vente ou la création d’une technologie de clonage vocal qu’on sait être utilisée pour tromper les systèmes d’authentification.

Parmi les autres faits saillants de la deuxième année d’existence du Forum, mentionnons la participation à un panel lors du Sommet de la concurrence en septembre 2024, au cours duquel les participants ont discuté de l’importance d’adopter une approche « pangouvernementale » par rapport aux marchés numériques. Les membres ont aussi parlé du travail du Forum lors d’une discussion au Symposium canadien sur la protection de la vie privée de l’IAPP, qui a eu lieu à Toronto.

Programme des contributions

Le cycle de financement 2025-2026 du Programme des contributions du Commissariat a été lancé à la fin de février 2025 sous le thème « Branchés, mais à quel prix : appareils intelligents et vie privée ».

Le Commissariat a lancé un appel pour obtenir des propositions de projets de recherche qui visent à accroître les connaissances sur ces appareils et sur la manière dont ils recueillent, communiquent et utilisent les données personnelles, et à sensibiliser la population à cet égard. Ce thème ouvrait aussi la porte aux projets qui examinent les mesures politiques ou législatives pouvant être prises pour faire en sorte que les appareils intelligents sont conçus en tenant compte de la protection de la vie privée.

Le Commissariat avait reçu 37 propositions de projets de recherche au 24 mars 2025, date limite pour soumettre les propositions.

Au cycle 2024-2025, le Commissariat a financé des propositions qui mettaient l’accent sur la protection de la vie privée des enfants et sur les répercussions sur la vie privée des nouvelles technologies, deux thèmes qui cadrent avec les priorités stratégiques du Commissaire Dufresne. Les projets financés comprennent une étude pour établir si la LPRPDE est adaptée pour régir l’utilisation de l’IA émotionnelle auprès des enfants et une autre qui explorera les effets de la conception trompeuse sur la protection des renseignements personnels des utilisateurs dans les applications commerciales de réalité virtuelle.

Le Programme des contributions permet de consacrer jusqu’à 500 000 $ par année à des initiatives novatrices de recherche et de sensibilisation du public qui permettront de mieux comprendre et de traiter les enjeux fondamentaux et nouveaux liés à la protection de la vie privée. Chaque projet peut se voir accorder jusqu’à 100 000 $.

Devant les tribunaux

Au cours du dernier exercice, le Commissariat a été partie à plusieurs litiges.

Commissaire à la protection de la vie privée du Canada c. Facebook, Inc. (A-129-23 et CSC 41538)

En 2019, une enquête sur Facebook menée par le Commissariat a révélé que Facebook contrevenait à la LPRPDE en omettant, d’une part, d’obtenir un consentement éclairé des utilisateurs pour communiquer leurs renseignements personnels et, d’autre part, de protéger ces renseignements.

En 2020, le Commissariat a déposé auprès de la Cour fédérale un avis de demande en vertu de l’article 15 de la LPRPDE en vue d’obtenir une ordonnance obligeant Facebook à se conformer à la loi fédérale sur la protection des renseignements personnels dans le secteur privé.

En 2023, la Cour fédérale a rejeté la demande du Commissariat. Le Commissariat a porté en appel la décision devant la Cour d’appel fédérale (A-129-23).

En septembre 2024, la Cour d’appel fédérale a accueilli l’appel du Commissariat avec dépens et a déclaré que les pratiques de protection des renseignements personnels de Facebook entre 2013 et 2015 avaient contrevenu à la LPRPDE. La Cour d’appel fédérale a demandé au Commissariat et à Facebook de l’aviser, dans un délai de 90 jours, s’ils avaient conclu une entente sur les modalités de l’ordonnance réparatoire, à défaut de quoi la Cour donnerait des directives supplémentaires.

En novembre 2024, Facebook a demandé l’autorisation de porter cette décision en appel devant la Cour suprême du Canada (CSC 41538). Au moment de la rédaction du présent rapport, la Cour suprême du Canada n’avait pas encore rendu de décision quant à la demande d’autorisation.

Pour en savoir davantage

• Déclaration du Commissaire à la protection de la vie privée du Canada qui salue la décision de la Cour d’appel fédérale concernant Facebook

Commissaire à la protection de la vie privée du Canada c. 9219‑1568 Québec et al. (T‑702‑25)

En février 2025, le Commissariat a déposé auprès de la Cour fédérale, conformément au paragraphe 15a) de la LPRPDE, un avis de demande en vue d’obtenir une ordonnance pour obliger Aylo, qui exploite certains des principaux sites pornographiques du monde, dont Pornhub, à prendre des mesures afin de se conformer aux lois canadiennes sur la protection des renseignements personnels.

La demande fait suite à une enquête menée par le Commissariat, qui a révélé d’importants problèmes liés aux pratiques d’Aylo en matière de protection de la vie privée, lesquelles ont permis la collecte, l’utilisation et la communication sur ses sites Web de contenu intime de nature très sensible à l’insu des individus concernés et sans leur consentement.

La Cour fédérale a le pouvoir de rendre des ordonnances exécutoires exigeant qu’une organisation revoie ou modifie ses pratiques et qu’elle se conforme à la loi.

Le Commissariat demande diverses formes de réparation dans la demande, notamment :

• une déclaration selon laquelle Aylo a enfreint la LPRPDE;
• une ordonnance exigeant qu’Aylo mette en œuvre des mesures claires et précises en vue de s’assurer qu’un consentement éclairé est obtenu directement de toutes les personnes qui apparaissent dans le contenu intime, y compris :
  • une ordonnance exigeant qu’Aylo s’assure que les personnes qui apparaissent dans le contenu intime sont informées de la collecte, de l’utilisation et de la communication de ce contenu par Aylo et qu’elles en comprennent la nature, les fins et les conséquences;
• une ordonnance exigeant qu’Aylo supprime et cesse de recueillir tout contenu intime pour lequel un consentement exprès, éclairé et valide n’a pas été obtenu directement de chaque personne apparaissant dans le contenu.

Pour en savoir davantage

• Déclaration du Commissaire à la protection de la vie privée du Canada au terme d’une enquête portant sur Aylo, l’exploitant de Pornhub

Boland c. Canada (Procureur général), 2025 CF 523

En 2024, le Commissariat a reçu une plainte au titre de la LPRP d’un individu qui affirmait qu’une institution gouvernementale n’avait pas répondu de façon adéquate à sa demande d’accès à ses renseignements personnels. Le Commissariat a jugé que la plainte était non fondée puisque l’institution fédérale avait transmis tous les dossiers liés à la demande.

Insatisfait de cette conclusion, l’individu a déposé une demande de contrôle judiciaire relativement à l’enquête du Commissariat et a désigné le Commissaire comme défendeur. L’individu a demandé à obtenir le dossier d’enquête du Commissariat, conformément à la règle 317 des Règles des Cours fédérales, et le Commissariat l’a fourni au moyen d’un dossier certifié du tribunal. Conformément à la règle 303 des Règles des Cours fédérales, le Commissaire a été remplacé par le procureur général du Canada à titre de défendeur.

Le 20 mars 2025, la Cour fédérale a rejeté la demande de contrôle judiciaire. La Cour a jugé que la conclusion du Commissariat selon laquelle la plainte du demandeur n’était pas fondée était raisonnable et que la décision était justifiée, intelligible et transparente. La Cour a aussi établi que l’enquête du Commissariat était équitable sur le plan de la procédure et que le demandeur savait ce qui l’attendait et qu’il avait eu amplement de temps pour présenter ses observations durant l’enquête.

S. c. Commissaire à la protection de la vie privée du Canada (T-2142-24)

Le Commissariat a été désigné comme défendeur dans cette demande de contrôle judiciaire qui conteste la décision du Commissariat selon laquelle ce dernier n’avait pas l’autorité nécessaire pour faire enquête sur une plainte concernant l’accès à des renseignements relatifs à l’emploi détenus par une organisation de compétence provinciale. Aucune décision n’a été rendue pour l’instant.

La Corporation de l’Association canadienne des libertés civiles et al. c. Sa Majesté le Roi du chef du Canada, représenté par le procureur général du Canada (CV-14-504139-00)

L’Association canadienne des libertés civiles (ACLC) a contesté la constitutionnalité de l’alinéa 7(3)c.1) et des paragraphes 9(2.1) à 9(2.4) de la LPRPDE, en affirmant qu’ils contreviennent au paragraphe 2b) et aux articles 7 et 8 de la Charte canadienne des droits et libertés, parce que ces dispositions peuvent permettre la communication de renseignements personnels à des institutions fédérales sans surveillance, responsabilité et mesures de sécurité adéquates. En guise de réparation, l’ACLC demande entre autres à la Cour de rendre un jugement déclaratoire visant à supprimer ces dispositions de la LPRPDE afin qu’elles ne soient plus en vigueur.

Le Commissariat a obtenu le statut d’intervenant dans le cadre de cette procédure afin de pouvoir expliquer son rôle de surveillance et son expérience en matière d’application des dispositions en cause. Le Commissariat doit déposer son mémoire en octobre 2025. Une audience de trois jours à la Cour supérieure de justice de l’Ontario, à Toronto, est prévue en décembre 2025.