Mai 2025
Défendre le droit à la vie privée à l’ère de l’IA
Rapport annuel au Parlement 2025-2026 concernant la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3
© Sa Majesté le Roi du chef du Canada pour le Commissariat à la protection de la vie privée du Canada, 2026
No de cat. IP54-122/2026F-PDF
ISSN 978-0-662-321661-3
Lettre à la présidente du Sénat
Le 4 juin 2026
L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario)
K1A 0A4
Madame la Présidente,
J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2025 au 31 mars 2026, intitulé Défendre le droit à la vie privée à l’ère de l’IA. Ce dépôt se fait en vertu des articles 38 et 40(1) de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.
Le Commissaire,
Original signé par
Philippe Dufresne
Lettre au président de la Chambre des communes
Le 4 juin 2026
L’honorable Francis Scarpaleggia, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario)
K1A 0A6
Monsieur le Président,
J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2025 au 31 mars 2026, intitulé Défendre le droit à la vie privée à l’ère de l’IA. Ce dépôt se fait en vertu des articles 38 et 40(1) de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.
Le Commissaire,
Original signé par
Philippe Dufresne
Table des matières
Grandes tendances en matière de protection de la vie privée
Pleins feux sur la protection de la vie privée : Défendre le droit à la vie privée des enfants
Activités de communication, de promotion et de sensibilisation
Introduction
Collaboration proactive
La protection de la vie privée en chiffres
Promouvoir la protection de la vie privée
Conseils au Parlement et au gouvernement
Collaboration
Programme des contributions
Activités d’application et de contrôle de la loi
Introduction
Enquêtes
Atteintes à la vie privée
Annexe 1 : Définitions
Annexe 2 : Tableaux statistiques
Annexe 3 : Lois essentiellement similaires
Annexe 4 : Rapport de la commissaire spéciale à la protection de la vie privée
Message du Commissaire
Je suis heureux de remettre au Parlement le rapport annuel 2025-2026 du Commissariat à la protection de la vie privée du Canada, qui fait état des activités de l’organisme au cours du dernier exercice financier.
Ce rapport présente les activités et les réalisations que le Commissariat a accomplies pour protéger et promouvoir le droit fondamental à la vie privée des individus. Il traite à la fois des travaux exécutés pour veiller au respect de la Loi sur la protection des renseignements personnels (LPRP), qui régit les pratiques de traitement des renseignements personnels adoptées par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est la loi fédérale en la matière dans le secteur privé au Canada.
Le Commissariat exerce ses activités dans un environnement qui évolue rapidement, dans lequel une quantité incomparable de renseignements personnels sont recueillis et utilisés.
Les technologies nouvelles et en constante évolution offrent des occasions d’entrer en contact, de créer et d’innover. Parallèlement, les avancées technologiques dans des domaines comme l’analyse des données, l’intelligence artificielle (IA), la biométrie et les appareils intelligents posent de nouveaux risques complexes pour la protection de la vie privée.
La protection de la vie privée et la protection des données sont aujourd’hui plus pertinentes que jamais, car l’économie numérique soulève des enjeux bien concrets pour la vie privée.
La manière dont les organisations gèrent les renseignements personnels gagne en importance : la protection des données est désormais considérée comme un atout stratégique dans le secteur privé pour les consommateurs, et comme une nécessité dans le secteur public pour les institutions fédérales.
La confiance que les Canadiennes et les Canadiens accordent à la façon dont leurs données sont traitées est en train de devenir un facteur important dans leurs interactions avec le gouvernement, les entreprises et la technologie. Il s’agit d’un élément significatif à prendre en considération, surtout en cette période économique difficile.
De nombreux acteurs clés assujettis à la loi sur la protection des renseignements personnels dans le secteur privé considèrent maintenant la protection des renseignements personnels comme un atout et un avantage concurrentiels. Dans les milieux gouvernementaux, la protection de la vie privée est de plus en plus reconnue comme une condition nécessaire à la démocratie et à la transparence.
Pour bâtir un avenir propice à l’innovation, la vie privée doit être protégée. La valeur de l’innovation sera maximisée lorsqu’elle s’accompagnera de confiance.
Le Commissariat continue de faire progresser les priorités stratégiques que j’ai établies il y a deux ans, soit protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés; faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens; et défendre le droit à la vie privée des enfants, qui est le thème de la section Pleins feux du rapport de cette année.
Cette année, nos travaux ont été beaucoup axés sur la défense du droit à la vie privée des enfants, en particulier dans le secteur privé. Nous avons tenu une consultation publique auprès des parties prenantes au sujet du contrôle de l’âge et nous avons depuis publié des documents d’orientation à cet égard. Le Commissariat travaille également à l’élaboration d’un Code sur la protection des renseignements personnels des enfants, après avoir publié un rapport sur ce que nous avons entendu au cours d’une autre consultation publique.
Au cours d’un symposium international sur la protection de la vie privée des jeunes, dont j’ai été l’hôte en juin 2025, j’ai annoncé la création d’un Conseil jeunesse afin de recueillir directement auprès des jeunes leurs perspectives en matière de protection de la vie privée. Le Conseil jeunesse a tenu sa première réunion en novembre 2025.
Cette année, le Global Privacy Enforcement Network (GPEN) a effectué un ratissage axé sur les pratiques en matière de protection de la vie privée des sites Web et applications mobiles utilisés par les enfants et les jeunes. De plus, mes homologues des provinces et des territoires et moi-même avons publié une résolution conjointe sur l’utilisation des technologies éducatives dans les écoles.
La priorité visant à faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et à agir en ce sens est aussi demeurée au cœur des efforts que nous avons déployés. Qu’il s’agisse d’explorer les médias synthétiques au regard des lois canadiennes sur la protection des renseignements personnels, de rédiger des documents d’orientation sur la biométrie ou de publier une déclaration commune de la Table ronde des autorités de protection des données et de la vie privée du G7 sur l’innovation responsable, cette priorité a touché pratiquement toutes les facettes du travail du Commissariat.
En ce qui concerne la priorité d’optimiser les efforts déployés, le Commissariat a poursuivi la mise en œuvre du plan de transformation que j’ai annoncé en janvier 2025 et qui vise à simplifier nos processus ainsi qu’à favoriser la conformité de manière plus stratégique et plus rapide.
Ce plan nous a permis d’innover et de créer encore plus d’occasions de renforcer les synergies dans notre travail, notamment grâce à la modernisation des formulaires en ligne et à la mise en place de moyens plus efficaces de traiter les atteintes à la vie privée. À cette fin, nous avons lancé PRIVIA, la version bêta de notre service d’IA interne, dont nous avons commencé la mise à l’essai dans l’ensemble du Commissariat à l’automne 2025. Ce service a permis au Commissariat d’explorer diverses façons d’utiliser l’IA dans son travail, tout en donnant l’exemple et en démontrant comment la protection de la vie privée peut donner lieu à une innovation sûre, sécuritaire et responsable.
La protection de la vie privée est un enjeu mondial auquel aucun pays ni aucune juridiction ne peut s’attaquer seul. La collaboration au-delà des frontières et entre les juridictions nous permet de tirer parti de notre force et de notre influence collectives afin de relever les défis mondiaux dans le domaine de la protection de la vie privée et d’assurer une protection uniforme pour les individus.
À cette fin, j’ai eu l’honneur d’être élu président de l’Assemblée mondiale pour la protection de la vie privée (AMVP) en septembre 2025. Ce forum international regroupe plus de 130 autorités de protection des données et de la vie privée du monde entier.
Le fait que le Commissaire à la protection de la vie privée du Canada occupe ce rôle de leadership international constitue une occasion importante pour le Canada de contribuer à façonner l’avenir de la protection des données sur la scène mondiale. Cela permettra aussi de renforcer les mesures de protection des renseignements personnels des individus et d’assurer le succès économique du Canada, notamment en appuyant le commerce numérique et en aidant le Canada à accroître sa présence sur la scène internationale.
En 2025, j’ai présidé la Table ronde des autorités de protection des données et de la vie privée du G7, alors que le Canada assurait la présidence du G7. J’ai eu l’honneur d’accueillir les membres de la Table ronde dans la région de la capitale nationale en juin 2025.
Au Canada, je collabore régulièrement avec mes homologues des provinces et des territoires. Depuis octobre 2025, je copréside le groupe de commissaires et d’ombuds à l’information et à la protection de la vie privée du fédéral, des provinces et des territoires, en collaboration avec Caroline Maynard, la Commissaire à l’information du Canada. Ensemble, nous préparons la conférence annuelle qui se tiendra à l’automne 2026.
Grâce à sa collaboration avec ces organisations, et avec bien d’autres aussi, le Commissariat contribue à créer un environnement réglementaire qui permettra aux organisations de mieux se positionner et de réussir dans un contexte de mondialisation et qui permettra aux institutions fédérales d’innover de façon responsable afin de conserver la confiance des citoyens.
Je reste optimiste au sujet de la réforme des lois sur la protection des renseignements personnels et j’espère pouvoir bientôt étudier les projets de modernisation des deux lois. La modernisation des lois canadiennes sur la protection des renseignements personnels est nécessaire pour qu’il soit possible de relever pleinement les défis d’un monde axé sur les données. Elle permettra aux Canadiennes et aux Canadiens de profiter en toute confiance des avantages d’une société numérique et aux entreprises d’assurer leur avenir et de réussir.
Le Commissaire à la protection de la vie privée du Canada,
Philippe Dufresne
Chronologie
Voici une vue d’ensemble des principales activités en 2025-2026.
Juin 2025
Septembre 2025
Janvier 2026
Mars 2026
Grandes tendances en matière de protection de la vie privée
Protection de la vie privée, données et confiance à l’ère numérique
La protection de la vie privée est mise à l’épreuve de différentes façons à mesure que les technologies numériques évoluent et que les enfants grandissent dans des environnements de plus en plus axés sur les données. L’intelligence artificielle (IA), les services connectés, les plateformes en ligne et les outils numériques immersifs créent de nouvelles possibilités, mais ils soulèvent également des questions sur la façon dont les renseignements personnels sont recueillis, utilisés, communiqués et protégés.
Au Canada et dans le monde entier, les attentes changent. Les individus veulent de l’innovation, mais ils souhaitent aussi des mesures de sécurité plus strictes, une responsabilité mieux définie et une protection accrue pour les enfants et les jeunes. Les tendances présentées dans cette section reflètent deux des priorités stratégiques du Commissariat : faire progresser la protection de la vie privée à l’heure où se succèdent les changements technologiques et défendre le droit à la vie privée des enfants. Elles mettent aussi en évidence les domaines où les pressions exercées sur le droit à la vie privée augmentent et où un leadership fort est nécessaire.
Façonner l’avenir numérique : protection de la vie privée et innovation
Des outils d’IA aux médias synthétiques, des appareils de plus en plus intelligents aux systèmes automatisés, en passant par les services numériques connectés toujours plus nombreux, les technologies numériques évoluent rapidement. Ces changements offrent de nouvelles possibilités d’innovation, de bonification des services et d’amélioration du niveau de vie, mais ils nécessitent aussi de mettre la protection de la vie privée au cœur de la conception, de l’utilisation et de la gouvernance des technologies émergentes. Plus celles-ci se répandent, plus la protection de la vie privée gagne en importance. C’est un sujet qui est de plus en plus abordé dans le cadre des grandes conversations sur la sécurité, la responsabilité, les marchés numériques et la façon dont les règles évoluent au rythme des changements technologiques. Et les enjeux peuvent être élevés : des lacunes concernant la protection de la vie privée et la gouvernance peuvent entraîner des préjudices graves et réels en matière de sécurité, de bien-être et de santé.
L’IA fait sa place dans notre quotidien et au travail
L’IA est de plus en plus présente dans la vie des Canadiennes et des Canadiens, que ce soit lorsqu’ils travaillent, créent, étudient, effectuent des recherches ou règlent des problèmes. Son utilisation est en hausse, en particulier chez les jeunes adultes, et l’adoption de cette technologie par les secteurs privé et public augmente à mesure que les organisations testent la façon dont les outils d’IA peuvent soutenir leurs activités, la prestation de services et la prise de décision. Plus l’IA s’intègre dans nos vies quotidiennes, plus ses répercussions sur la vie privée deviennent immédiates, car d’énormes quantités de données, y compris des renseignements personnels, sont entrées dans ses systèmes, et un nombre toujours croissant d’organisations les utilisent couramment.
16 %
L’utilisation de l’IA par les entreprises canadiennes a plus que doublé en 2026 pour atteindre 16 %, comparativement à 6 % il y a deux ansNote de bas de page 1.
57 %
des Canadiennes et des Canadiens ont fait l’essai d’outils d’IA, une hausse par rapport à 25 % en 2023Note de bas de page 2. De façon générale, 66 % des gens utilisent régulièrement l’IANote de bas de page 3.
2X
L’utilisation de l’IA par les entreprises des pays membres de l’Organisation de coopération et de développement économiques (OCDE) a plus que doublé en deux ansNote de bas de page 4.
Version textuelle de la figure 1
L’IA fait sa place dans notre quotidien et au travail
| La manière dont les Canadiennes et Canadiens et les entreprises canadiennes utilisent l’IA | 2023/2024 | 2026 |
|---|---|---|
| Utilisation de l’IA par les entreprises canadiennes | 6 % | 16 % |
| Canadiennes et Canadiens qui ont fait l’essai d’outils d’IA | 25 % | 57 % |
| Utilisation de l’IA par les entreprises des pays membres de OCDE | 8,7 % | 20,2 % |
L’adoption de l’IA a plus que doublé dans tous les cas.
Les Canadiennes et les Canadiens veulent des innovations assorties de mesures de protection
Les Canadiennes et les Canadiens ne sont pas fermés à l’idée d’utiliser l’IA ou d’autres technologies émergentes. Beaucoup voient une réelle valeur dans l’innovation et sont ouverts aux nouveaux outils, mais ils veulent également des mesures de protection en matière de vie privée et de gouvernance des données plus rigoureuses et des attentes plus claires en ce qui concerne l’utilisation responsable. Dans la conversation publique, on ne se limite plus simplement à établir si l’IA est bonne ou mauvaise; on se demande plutôt si les renseignements personnels sont utilisés de façon adéquate, si on est conscient des risques et si les mesures de protection appropriées sont en place. Partout au Canada et ailleurs dans le monde, les gouvernements et les organismes de réglementation agissent : ils organisent des consultations, adoptent des orientations et des règles et s’efforcent d’établir des attentes quant à l’utilisation responsable de l’IA.
70 %
des Canadiennes et des Canadiens affirment que l’IA aura des résultats positifs et 60 % en voient déjà les avantages dans leur vie personnelle et professionnelleNote de bas de page 5.
88 %
des Canadiennes et des Canadiens sont préoccupés par la possibilité que leurs renseignements personnels soient utilisés pour entraîner des systèmes d’IANote de bas de page 6.
85 %
des Canadiennes et des Canadiens estiment que l’IA devrait être réglementée par les gouvernements afin d’en assurer l’utilisation éthique et sécuritaireNote de bas de page 7.
Version textuelle de la figure 2
Les Canadiennes et les Canadiens veulent des innovations assorties de mesures de protection
- 70 % des Canadiennes et des Canadiens affirment que l’IA aura des résultats positifs
- 88 % des Canadiennes et des Canadiens sont préoccupés par la possibilité que leurs renseignements personnels soient utilisés pour entraîner des systèmes d’IA
- 85 % des Canadiennes et des Canadiens estiment que l’IA devrait être réglementée
La protection de la vie privée s’inscrit maintenant dans une gouvernance numérique plus vaste
Des enjeux auparavant distincts tendent désormais à se rejoindre, alors que les organismes de réglementation, les législateurs et les organisations doivent composer avec des risques qui touchent différents secteurs, notamment la protection de la vie privée, la concurrence, les communications, le droit d’auteur, les frontières, la cybersécurité et la protection des consommateurs. Pour bâtir un Canada plus fort, il est essentiel de renforcer la protection de la vie privée des Canadiennes et des Canadiens. La conception et la gouvernance des systèmes numériques ainsi que la responsabilité à leur égard ne sont pas des enjeux de conformité indépendants les uns des autres. Il y a un besoin pressant d’établir des règles mieux définies, d’améliorer la coordination et de mettre en place des mesures de protection plus strictes applicables à toutes les technologies et dans l’ensemble des juridictions.
42 %
des organisations canadiennes ont subi une atteinte à la sécurité des données de clients ou d’employés au cours des 12 derniers moisNote de bas de page 8.
Les répercussions des médias synthétiques, notamment les hypertrucages, ont fait l’objet d’un document publié par les organismes canadiens de réglementation de la protection de la vie privée, de la concurrence, des communications et du droit d’auteurNote de bas de page 9.
5X
Au cours de la dernière décennie, le nombre de mesures touchant la circulation transfrontalière des données a été multiplié par cinqNote de bas de page 10.
Grandir à l’ère numérique : la protection de la vie privée des enfants et des jeunes
Les enfants et les jeunes grandissent dans un environnement numérique plus connecté, plus personnalisé et plus immersif que jamais. Les plateformes sociales, les jeux, les outils d’apprentissage, les appareils connectés et les systèmes d’IA recueillent, interprètent et utilisent les données des enfants et des jeunes pour créer des profils personnalisés qui façonnent leur vie dès leur plus jeune âge. La protection de la vie privée s’inscrit de plus en plus dans le cadre de questions plus vastes concernant la sécurité en ligne, la conception des plateformes et le contrôle de l’âge. On ne peut pas s’attendre à ce que les parents, les enfants et les jeunes gèrent seuls des risques complexes. Les organisations doivent être tenues responsables et intégrer des mesures de protection de la vie privée directement dans les technologies que les enfants et les jeunes utilisent à l’école et à la maison.
Les enfants utilisent Internet plus tôt et laissent une plus grande empreinte numérique
La participation des enfants au monde numérique commence plus tôt et devient plus interactive. Alors que les jeunes enfants utilisent principalement des appareils pour se divertir, avec ou sans connexion à Internet (ils regardent des films ou jouent à des jeux hors ligne) et sous la supervision d’un adulte, les enfants plus âgés et les adolescents ont tendance à passer plus de temps sur les plateformes sociales, où ils créent du contenu et interagissent avec des systèmes qui recueillent des données sur ce qu’ils font, regardent et partagent. Ces données peuvent ensuite être utilisées pour les inciter à dépenser de l’argent, à demeurer en ligne et à interagir encore plus avec ces systèmes. Les jeunes Canadiennes et Canadiens évoluent et apprennent maintenant dans des environnements conçus pour suivre leurs interactions, leur offrir du contenu personnalisé et encourager leur participation continue. Cette situation soulève des questions relatives à la protection de la vie privée beaucoup plus tôt, et ce, dans des contextes où les jeunes utilisateurs sont moins bien informés ou ont moins de contrôle sur la manière dont leurs renseignements sont utilisés.
69 %
Au Canada, 69 % des enfants âgés de 2 à 6 ans peuvent utiliser certaines technologies sans aideNote de bas de page 11.
7 sur 10
Au Canada, 7 jeunes sur 10 âgés de 7 à 17 ans utilisent les médias sociaux chaque moisNote de bas de page 12.
1 sur 3
Au Canada, le tiers des jeunes âgés de 7 à 17 ans qui utilisent les médias sociaux ont créé du contenu au cours de la dernière semaine, y compris des commentaires, des photos et des vidéosNote de bas de page 13.
Version textuelle de la figure 3
Les enfants et les jeunes dans l’environnement numérique
- 69 % des enfants âgés de 2 à 6 ans peuvent utiliser certaines technologies sans aide
- 7 sur 10 jeunes âgés de 7 à 17 ans utilisent les médias sociaux chaque mois
- 1 sur 3 jeunes âgés de 7 à 17 ans qui utilisent les médias sociaux ont créé du contenu au cours de la dernière semaine
L’intégration dès la conception de mesures plus strictes pour protéger la vie privée des enfants gagne des appuis
Au Canada et à l’étranger, on observe un soutien croissant pour la mise en œuvre de mesures de protection par défaut plus strictes pour les enfants et de limites plus claires sur la façon dont leurs données sont recueillies et utilisées. Il est aussi de plus en plus admis que les enfants ne devraient pas avoir à faire seuls des choix complexes en matière de protection de la vie privée pour accéder à des expériences adaptées à leur âge. Le contrôle de l’âge fait partie de ces mesures, mais le débat porte davantage sur la façon de l’appliquer de manière efficace, proportionnelle et respectueuse de la vie privée. La tendance des organismes de réglementation du monde entier est à l’intégration de la protection de la vie privée et de la sécurité dès la conception et à une reconnaissance accrue du fait que la collecte, l’utilisation et la communication des données des enfants présentent des risques distincts et nécessitent donc des mesures de protection par défaut plus rigoureuses.
94 %
des Canadiennes et des Canadiens affirment que les entreprises de médias sociaux ne devraient pas vendre ni communiquer les données des enfantsNote de bas de page 14.
Un certain nombre de juridictions, dont le Royaume-Uni, l’Australie, la France et des États américains, ont déjà mis en place des lois ou des systèmes de contrôle de l’âge pour limiter l’accès des enfants à la pornographie, et d’autres proposent ou mettent à l’essai des cadres de contrôle de l’âge.
Au Canada la majorité des parents et des enseignants s’inquiètent de la quantité de renseignements personnels que les entreprises recueillent sur les enfants et les jeunes et des risques liés à leur utilisationNote de bas de page 15.
La protection de la vie privée des enfants s’intègre à la conception, à la surveillance et à l’application de la loi
La protection de la vie privée des enfants n’est plus considérée comme une question limitée aux applications grand public. Elle fait l’objet d’une attention grandissante dans des travaux portant sur d’autres domaines, notamment les technologies éducatives, l’IA, la sécurité en ligne, le contrôle de l’âge et la responsabilité des plateformes. Les organismes de réglementation du monde entier indiquent que les enfants ont besoin de mesures de protection par défaut plus rigoureuses et que les écoles, les gouvernements, les plateformes et les fournisseurs ont tous des responsabilités à prendre lorsque des outils numériques sont utilisés par les enfants ou en de ceux-ci.
Le Commissariat a lancé une consultation exploratoire en 2025 au sujet d’un code sur la protection des renseignements personnels des enfantsNote de bas de page 16.
Des organismes de réglementation de la protection de la vie privée du fédéral, des provinces et des territoires ont adopté une résolution conjointe demandant des mesures de protection de la vie privée plus rigoureuses pour les technologies éducatives utilisées dans les salles de classeNote de bas de page 17.
En 2026, les autorités de protection des données et de la vie privée ont publié une déclaration commune mettant en garde contre les préjudices qui peuvent être causés par les images et les vidéos générées par l’IA et représentant des individus identifiables sans leur consentementNote de bas de page 18.
Pleins feux sur la protection de la vie privée : Défendre le droit à la vie privée des enfants
En 2025-2026, la priorité stratégique visant à défendre le droit à la vie privée des enfants a été l’un des principaux objectifs des travaux du Commissariat. Les initiatives menées par le Commissariat l’ont aidé à approfondir sa compréhension des enjeux liés à la protection des données qui touchent les jeunes Canadiennes et Canadiens. Il a notamment consulté directement les enfants et les jeunes et a exercé ses activités d’application de la loi en tenant compte de la protection de la vie privée des enfants, par exemple en menant l’enquête conjointe sur TikTok.
Puisque notre monde est de plus en plus axé sur le numérique, les jeunes n’ont d’autre choix que d’être présents en ligne, que ce soit pour étudier, pour jouer ou pour rester en contact avec leur famille et leurs amis.
Près de la moitié des jeunes au Canada (46 %) qui ont participé à une étude menée par l’UNICEF en 2025 ont déclaré qu’ils passaient de quatre à six heures en ligne chaque jour, tandis que 22 % ont dit qu’ils étaient en ligne jusqu’à neuf heures par jour pour l’école, le travail, les conversations avec les amis ou les jeux. Une étude de l’Observateur des technologies médias suggère que 70 % des enfants âgés de 7 à 17 ans utilisent régulièrement les médias sociaux.
Le monde numérique offre aux enfants et aux jeunes des possibilités sans précédent en matière d’innovation, de créativité, d’expression et d’échanges, mais il augmente également le risque d’être pris pour cible, manipulé ou lésé.
Les gens des générations précédentes ont eu le privilège de grandir sans avoir à s’inquiéter de savoir qui surveillait leurs moindres faits et gestes; ils n’ont pas eu à craindre que ce qu’ils avaient dit et fait alors qu’ils étaient enfants ou adolescents ait été filmé et soit étalé au grand jour sur les médias sociaux. Les jeunes d’aujourd’hui méritent la même chose : pouvoir grandir, commettre des erreurs et passer à autre chose en toute liberté. Pour que ce soit possible à l’ère numérique, il faut établir des mesures rigoureuses de protection de la vie privée.
Il est important que les enfants et les jeunes aient les compétences nécessaires pour être des citoyens numériques actifs. Pour ce faire, ils doivent être capables d’explorer le monde numérique et d’en faire l’expérience avec confiance et autonomie, sachant qu’il s’agit d’un espace sûr pour eux.
Comme c’est un enjeu complexe qui évolue constamment, le Commissariat a dû travailler en collaboration avec les enfants et les jeunes, mais aussi avec d’autres autorités de protection des données et de la vie privée de partout dans le monde, ainsi qu’avec des autorités dans l’ensemble des sphères réglementaires. Le point de départ de cette collaboration était les droits et l’intérêt supérieur des enfants.
Le Commissariat a donc pris cette année un certain nombre d’initiatives pour faire progresser sa priorité de défendre le droit à la vie privée des enfants. Le travail accompli par le Commissariat en 2025-2026 a jeté les bases d’une collaboration active avec les jeunes du Canada. Une collaboration qui permettra à ces derniers de faire connaître leur opinion sur les enjeux qui les préoccupent et fera du Commissariat un leader dans le domaine de la protection de la vie privée des enfants.
« Nous souhaitons tous que les jeunes puissent grandir dans un environnement sûr. Un environnement où les choses qu’ils disent et font ne sont pas surveillées ni utilisées contre eux. Un environnement où ils n’ont pas à craindre qu’un de leurs gestes soit gravé dans le marbre pour ensuite être repris et réutilisé à l’infini. »
Symposium international
En juin 2025, le Commissariat à la protection de la vie privée du Canada a tenu un symposium international intitulé « La protection de la vie privée des jeunes à l’ère numérique ».
Le symposium a réuni des jeunes leaders canadiennes et canadiens, des universitaires, des hauts dirigeants du gouvernement, des représentants de la société civile, des parties prenantes de l’industrie ainsi que des autorités responsables de la protection des données du monde entier. Les participants ont exploré des questions allant de la protection des données du point de vue des adolescents aux répercussions de l’IA sur les enfants et les jeunes, en passant par la conception trompeuse, les technologies éducatives et l’intérêt supérieur de l’enfant dans l’espace numérique.
Symposium international du Commissariat : La vie privée des jeunes à l’ère numérique (20 juin 2025)
Symposium international du Commissariat : La vie privée des jeunes à l’ère numérique (20 juin 2025)
Sensibilisation directe
Conformément à l’article 12 de la Convention relative aux droits de l’enfant des Nations Unies, qui exige que les adultes prennent en considération les opinions des enfants lorsqu’ils prennent des décisions qui les concernent, le Commissariat a organisé, en collaboration avec une équipe de chercheurs universitaires, un sommet des jeunes. D’une durée de deux jours, cette rencontre a eu lieu dans la région de la capitale nationale en novembre 2025. À cette occasion, 24 enfants et jeunes âgés de 9 à 17 ans ont été invités à raconter leurs expériences et à exprimer leurs points de vue sur un éventail de sujets relatifs à la protection de la vie privée. Dans leur rapport préliminaire, les chercheurs ont ciblé huit domaines prioritaires qui orienteront les travaux du Commissariat sur les enjeux de protection de la vie privée qui touchent les enfants, notamment dans ses efforts continus pour rédiger un code sur la protection des renseignements personnels des enfants.
Le Commissariat a également tenu trois groupes de discussion pour mieux comprendre le point de vue des jeunes. Pendant les groupes de discussion, les participants se sont dits préoccupés par le risque d’atteinte à la réputation en ligne, et ils ont exprimé le souhait d’avoir plus de contrôle sur leur empreinte numérique, particulièrement à mesure qu’ils vieillissent. Ils ont aussi indiqué qu’ils aimeraient que les entreprises en fassent plus pour protéger les enfants et qu’il y ait davantage de ressources de sensibilisation à la protection de la vie privée destinées aux jeunes, aux parents et aux éducateurs.
Conseil jeunesse
Le Commissariat a mis sur pied un Conseil jeunesse composé de 7 étudiants âgés de 14 à 17 ans de partout au Canada. Le Conseil offre aux jeunes un espace où ils peuvent faire connaître leurs points de vue, raconter leurs expériences et échanger des idées sur les questions liées à la protection de la vie privée qui leur tiennent le plus à cœur. Il joue un rôle important en aidant le Commissariat à comprendre l’incidence de ces questions sur les jeunes.
Le Conseil jeunesse s’est réuni une première fois virtuellement en novembre 2025, puis en personne en février 2026. Les membres ont manifesté un vif intérêt pour les activités liées aux communications et à la sensibilisation, comme la vulgarisation de rapports complexes à l’intention des jeunes et la conception de campagnes, d’ateliers et de présentations de sensibilisation.
Le Conseil jeunesse constitue une tribune importante qui appuie les efforts du Commissariat pour joindre efficacement les jeunes de partout au Canada, de même que les éducateurs, les parents et les organisations qui offrent des services à ce groupe démographique.
« Dans un monde numérique de plus en plus complexe, la vie privée est plus difficile à protéger, mais cette protection est plus essentielle que jamais pour les jeunes. Le Conseil jeunesse du Commissariat donne aux jeunes les moyens d’agir en veillant à ce que le domaine de la protection de la vie privée au Canada tienne compte de la diversité des réalités auxquelles ils sont confrontés. »
Code sur la protection des renseignements personnels des enfants
À la suite d’une consultation lancée en mai 2025, dans le cadre de laquelle une table ronde réunissant des jeunes a été organisée en collaboration avec l’organisme Les enfants d’abord, le Commissariat est en train d’élaborer un code sur la protection des renseignements personnels des enfants.
Pour que les renseignements personnels des enfants et des jeunes soient protégés adéquatement et que ces derniers soient en mesure d’exercer adéquatement leur droit à la vie privée, il est essentiel d’avoir un code canadien qui encadrera le traitement des renseignements personnels des enfants par les organisations.
Afin de tenir compte des besoins uniques et de l’intérêt supérieur des enfants, de nombreuses juridictions à l’échelle mondiale ont bénéficié de la publication de documents d’orientation par les autorités de protection de la vie privée ou de l’adoption d’une loi par le gouvernement obligeant les organisations à adapter leurs pratiques visant les données, notamment en ce qui concerne la conception de produits et de services.
Consultation sur le contrôle de l’âge
De juin à septembre 2025, le Commissariat a tenu une consultation sur le contrôle de l’âge, dans le cadre de laquelle les parties intéressées ont été invitées à fournir leurs observations sur la position préliminaire du Commissariat ainsi que toute observation supplémentaire qui pourrait orienter ses futures approches en la matière.
L’intérêt public marqué pour le contrôle de l’âge et l’importance d’une politique publique bien étudiée ont été mis en évidence dans les 40 réponses reçues.
Le Commissariat a publié un résumé de ce que nous avons entendu pendant la consultation, puis une orientation sur l’évaluation des cas où le contrôle de l’âge devrait être appliqué et une autre sur la conception des systèmes de contrôle de l’âge.
« Parlez-nous et demandez-nous notre avis. Demandez à des jeunes de mettre à l’essai la version bêta de vos sites. Vérifiez que vos sites sont appropriés pour les enfants. C’est en menant des sondages et des consultations et en ayant des discussions plus ouvertes que nous pourrons trouver de meilleures solutions. »
Ratissage pour la protection de la vie privée du GPEN
En novembre 2025, le Commissariat s’est joint à 26 autorités de protection des données et de la vie privée du Canada et de partout dans le monde pour mener un ratissage, qui visait à examiner les pratiques en matière de protection de la vie privée de 876 sites Web et applications mobiles utilisés par les enfants. Les résultats ont été publiés en mars 2026. Ce ratissage est semblable à celui qui a été mené en 2015, ce qui a permis aux autorités participantes de comparer la façon dont les services en ligne ont protégé les enfants et utilisé les données de ceux-ci au fil du temps.
Dans l’ensemble, les participants au ratissage ont observé que de bonnes pratiques étaient appliquées pour protéger les enfants et les renseignements personnels de ces derniers. Par exemple, des notifications visant à informer les enfants de ne pas utiliser leur vrai nom ou de ne pas télécharger d’images ainsi que la désactivation par défaut du partage d’emplacement.
Toutefois, ils ont également observé des pratiques qui suscitent des préoccupations quant à la protection de la vie privée des enfants et qui laissent entendre que certains risques ont pu augmenter au cours des dix dernières années. Par exemple, par rapport à 2015, un plus grand nombre de services en ligne utilisés par les enfants exigent désormais que les utilisateurs fournissent leurs renseignements personnels pour accéder à l’ensemble des fonctionnalités de la plateforme. En outre, un plus grand nombre de plateformes ont indiqué dans leur politique de confidentialité qu’elles pouvaient communiquer à des tiers les renseignements personnels qu’elles recueillaient.
Technologies éducatives
À l’occasion de leur réunion d’octobre 2025, les commissaires à la protection de la vie privée du fédéral, des provinces et des territoires ainsi que les ombuds responsables de la protection de la vie privée ont adopté une résolution sur l’utilisation responsable des technologies éducatives dans les salles de classe. Dans la déclaration commune on reconnaît que les gouvernements, les établissements d’enseignement et les fournisseurs de technologies éducatives sont tous chargés de veiller à ce que l’adoption de nouveaux outils ne se fasse pas au détriment de la protection de la vie privée des élèves.
Cet accroissement de l’attention et des préoccupations relatives à la protection de la vie privée des jeunes est à l’origine d’une tendance mondiale qui préconise l’élaboration de nouvelles lois, réglementations, lignes directrices et initiatives par les gouvernements et les autorités de protection des données de partout dans le monde.
Déclaration : Promouvoir l’innovation responsable et protéger les enfants en priorisant la protection de la vie privée
À la suite de son élection à titre de président de l’Assemblée mondiale pour la protection de la vie privée (AMVP) en septembre 2025, le Commissaire Dufresne a déclaré que l’un des thèmes de son mandat serait la défense du droit à la vie privée des jeunes. Le Groupe de travail sur la coopération internationale en matière d’application de la loi de l’AMVP, qui est coprésidé par le Commissariat, a tenu en décembre 2025 une séance à huis clos sur les façons de favoriser un environnement numérique sécuritaire pour les enfants, notamment dans le cadre des jeux en ligne.
Ce thème était également repris dans la déclaration publiée à la suite de la réunion de la Table ronde des autorités de protection des données et de la vie privée du G7, que le Commissaire Dufresne a tenue dans la région de la capitale nationale en juin 2025 alors que le Canada assurait la présidence du G7.
Cette déclaration souligne que la génération actuelle d’enfants sera la première à grandir dans un monde fortement influencé par l’IA, et que le développement et le déploiement de nouvelles technologies utilisées par les enfants auront des répercussions importantes sur ceux-ci, qui « demeurent particulièrement vulnérables aux préjudices qui leur sont associés ».
Activités de communication, de promotion et de sensibilisation
Introduction
Le Commissariat emploie de nombreux moyens pour remplir son mandat de protéger et de promouvoir le droit fondamental à la vie privée des Canadiennes et des Canadiens.
En plus de veiller au respect de la Loi sur la protection des renseignements personnels (LPRP) et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat donne des conseils au Parlement, collabore avec des partenaires au pays et à l’étranger, avec d’autres organismes de réglementation ainsi qu’avec des partenaires de la société civile, appuie la recherche sur la protection de la vie privée, rédige des documents d’orientation à l’intention des institutions fédérales, des entreprises et des individus, gère son site Web et ses canaux de médias sociaux, répond aux questions des médias et mène d’autres activités de communication et de sensibilisation tout au long de l’année.
Le Commissaire Dufresne, les sous-commissaires et les experts du Commissariat prononcent souvent des allocutions devant des auditoires composés d’étudiants, de parties prenantes du domaine de la protection de la vie privée ou encore de représentants d’institutions fédérales, d’organisations du secteur privé et d’organismes de réglementation nationaux et internationaux. Ils organisent également des activités et des discussions sur la protection de la vie privée avec d’autres organisations, examinent les codes de pratiques visant à lutter contre les crimes financiers, donnent des conseils aux institutions fédérales sur les nouveaux programmes ayant une incidence sur la vie privée et négocient des règlements volontaires à l’égard d’atteintes à la vie privée qui présentent un risque élevé. Le fait que ceux-ci collaborent de manière proactive avec des organisations des secteurs public et privé contribue à promouvoir la protection de la vie privée et à améliorer le respect des lois sans avoir à recourir à des enquêtes exigeantes en ressources.
En 2025-2026, les activités de sensibilisation et les autres initiatives proactives du Commissariat étaient axées sur les priorités énoncées dans le plan stratégique du Commissaire Dufresne ainsi que sur les domaines ciblés au moyen des renseignements opérationnels, par exemple les demandes de renseignements adressées au Centre d’information et les autres plaintes reçues par le Commissariat.
Collaboration proactive
En 2025-2026, le Commissariat a eu davantage recours à la collaboration proactive en matière de conformité afin de régler les situations susceptibles de poser un risque grave pour la vie privée de la population canadienne.
Cette collaboration proactive a pour objectif d’atténuer plus rapidement et plus efficacement les risques d’atteintes à la vie privée et, dans la mesure du possible, d’éviter une enquête complète exigeante en ressources. Grâce à cette collaboration volontaire, le Commissariat cherche à mieux comprendre les pratiques des organisations, à formuler des recommandations pour remédier aux éventuels problèmes de conformité qui ont été décelés et à encourager les organisations à mettre volontairement en œuvre des mesures visant à améliorer leurs pratiques de protection de la vie privée.
Cette année, le Commissariat a collaboré de cette façon avec un certain nombre d’organisations. Il a notamment eu des discussions avec l’entreprise de médias sociaux LinkedIn ainsi qu’avec le fabricant d’équipement automobile Magna International.
« La technologie évolue à la vitesse de l’innovation, mais l’adoption évolue à la vitesse de la confiance. »
Le Commissariat a collaboré avec LinkedIn afin de mieux comprendre ses pratiques à la suite de reportages dans les médias selon lesquels l’entreprise avait commencé à entraîner ses modèles d’IA en utilisant les renseignements personnels de ses membres sans les avoir préalablement informés de cette pratique.
Pendant la collaboration, LinkedIn a volontairement mis en place un moratoire sur l’utilisation et la communication des renseignements personnels de ses membres canadiens pour entraîner des modèles d’IA générative. L’entreprise s’est également engagée à mettre en œuvre un certain nombre de mesures de protection de la vie privée relativement à l’entraînement de son modèle d’IA générative avant de reprendre cette pratique en novembre 2025. Elle a notamment envoyé des avis préalables aux membres de LinkedIn au Canada afin de les informer de l’existence d’un mécanisme leur permettant de retirer leur consentement à cet égard ainsi que de l’utilisation des technologies appropriées d’amélioration de la confidentialité afin de limiter la présence de renseignements personnels dans les ensembles de données d’entraînement.
Magna
Le Commissariat a communiqué avec Magna International pour obtenir des précisions sur son projet pilote de véhicules de livraison autonomes à Toronto, notamment sur le traitement des images enregistrées par les caméras des véhicules, une pratique qui soulevait d’éventuels enjeux relatifs à la vie privée.
Pendant cette collaboration, l’entreprise a informé le Commissariat que le projet pilote était terminé et qu’elle n’envisageait pas dans l’immédiat de mettre en œuvre le programme.
À titre de mesure proactive, le Commissariat a fourni à Magna des conseils et des orientations. De plus, il a invité l’entreprise à le consulter ultérieurement au sujet de sa conformité à la LPRPDE si elle décidait de déployer des véhicules autonomes au Canada à l’avenir.
La protection de la vie privée en chiffres
| Nouvelles activités de liaison des services-conseils avec le secteur public | 58 |
|---|---|
| Nouvelles activités de liaison des services-conseils avec le secteur privé | 11 |
| Évaluations des facteurs relatifs à la vie privée (EFVP) reçues | 181 |
| Lettres de recommandation et avis donnés à des institutions fédérales à la suite de l’examen d’une EFVP ou d’une consultation à cet égard | 104 |
| Communications de renseignements dans l’intérêt public par les institutions fédérales | 595 |
| Projets de loi, études parlementaires, projets de règlement, questions inscrites au Feuilleton examinés sous l’angle de leurs répercussions sur la vie privée | 56 |
| Comparutions devant des comités parlementaires et mémoires présentés à ces comités sur des enjeux de protection de la vie privée | 16 |
| Demandes d’information | 8 912 |
| Communiqués, déclarations et avis aux médias | 60 |
| Demandes des médias | 213 |
| Allocutions, événements, conférences, réunions et tenue de kiosques | 112 |
| Publications sur X | 206 |
| Publications sur LinkedIn | 362 |
| Visites sur le site Web du Commissariat | 2 700 754 |
Promouvoir la protection de la vie privée
Sensibilisation
Le Commissariat a participé à plus de 50 conférences et activités de sensibilisation en 2025-2026. Le Commissaire Dufresne a prononcé d’importantes allocutions liminaires lors du Symposium canadien sur la protection de la vie privée de l’IAPP en mai 2025 et du sommet international sur la protection de la vie privée et la sécurité à Victoria en février 2026.
Le Commissariat a fait la promotion de ses ressources éducatives destinées aux enseignants dans le cadre d’une campagne par courriel et a participé à un événement auquel assistent enseignants et bibliothécaires afin de soutenir l’éducation des jeunes dans le domaine de la protection de la vie privée.
À l’occasion de la Semaine de sensibilisation à la protection de la vie privée qui a eu lieu en mai 2025, le Commissariat a dévoilé les résultats de son sondage mené auprès de Canadiennes et de Canadiens, et il a lancé une campagne dans les médias sociaux dont le thème était « Prioriser la protection de la vie privée ». En janvier 2026, dans le cadre de la Semaine de la protection des données, le Commissariat a fait la promotion du concept de protection de la vie privée dès la conception sur les médias sociaux. II l’a également fait dans le cadre d’une allocution liminaire prononcée par le Commissaire Dufresne devant des professionnels de l’accès à l’information et de la protection des renseignements personnels.
Comme toutes les organisations, les institutions fédérales sont confrontées à un nombre croissant de cybermenaces. C’est pour cette raison que, toujours dans le cadre de la Semaine de la protection des données, le Commissariat a organisé, en collaboration avec le Secrétariat du Conseil du Trésor du Canada (SCT) et le Centre canadien pour la cybersécurité, un webinaire sur les obligations en matière de protection des renseignements personnels et sur les stratégies visant à prévenir les atteintes à la vie privée dans le secteur public et y réagir. Grâce à ce webinaire et à une autre activité tenue durant la Semaine de sensibilisation à la protection de la vie privée sur les évaluations des facteurs relatifs à la vie privée (EFVP), le Commissariat a pu joindre plus de 1 400 fonctionnaires pour leur donner des conseils sur les pratiques exemplaires en matière de protection de la vie privée.
Le Commissariat a tenu d’autres activités de sensibilisation avec un certain nombre d’organisations en 2025-2026, entre autres le SCT, le Bureau du Conseil privé et d’autres institutions fédérales, ainsi qu’avec divers centres d’innovation, accélérateurs et réseaux du secteur privé dans la région de la capitale nationale, dans la région du Grand Toronto et ailleurs au Canada. Ces activités ont permis au Commissariat d’entrer en contact avec plus de 3 600 fonctionnaires et plus de 1 000 entreprises.
Le Commissariat a profité de ces activités de sensibilisation pour parler du respect des lois et politiques fédérales ainsi que des pratiques exemplaires en matière de protection des renseignements personnels, pour faire connaître les priorités du Commissaire dans les secteurs public et privé et pour fournir de l’information sur les attentes et les pratiques exemplaires visant à protéger la vie privée dans le contexte de l’IA et les renseignements personnels des enfants.
« Les professionnels des ressources humaines, en tant que groupe, sont reconnus pour accueillir favorablement les nouvelles technologies et les façons modernes de faire les choses. Vous êtes souvent des chefs de file en matière d’innovation, et vous jouez également un rôle important dans la culture et les valeurs organisationnelles. Il faut plus que jamais faire preuve de rigueur lorsqu’on priorise la protection de la vie privée. »
Comme il est l’un des plus grands employeurs au pays, le gouvernement du Canada se doit de donner l’exemple concernant les pratiques de protection de la vie privée en milieu de travail. Ayant reçu un nombre important de plaintes et de demandes de renseignements liées à la protection de la vie privée des employés au cours de la dernière année, le Commissariat a organisé en février 2026 une activité d’une demi-journée pour parler de la protection de la vie privée dans le domaine des ressources humaines du secteur public.
Le Commissariat a accueilli les dirigeants principaux des ressources humaines et les chefs de la protection des renseignements personnels de l’ensemble du gouvernement fédéral pour parler, entre autres, du respect de la vie privée dans le contexte de l’obligation de prendre des mesures d’adaptation, des nouvelles technologies dans le domaine des ressources humaines, comme les entrevues virtuelles et l’utilisation de l’IA pour l’examen des curriculum vitæ, et de la gestion des initiatives de retour au bureau.
D’autres initiatives de sensibilisation du secteur public offertes en collaboration avec le SCT, le Bureau du Conseil privé et d’autres institutions fédérales ont porté sur des sujets comme trouver un juste équilibre entre la protection des renseignements personnels et la transparence dans le cas de l’accès à l’information, et l’utilisation de renseignements de sources ouvertes pour recueillir et utiliser des renseignements personnels.
Du côté du secteur privé, le Commissariat a continué de recevoir un grand nombre de plaintes et de demandes de renseignements au titre de la LPRPDE concernant le secteur des services financiers. Le Commissariat a donc consulté l’Association des banquiers canadiens afin de mieux comprendre les défis que doivent relever les institutions financières en matière de protection des renseignements personnels ainsi que les mesures qu’elles mettent en œuvre pour atténuer les risques à cet égard. Le Commissariat a également tiré profit de cette consultation pour parler des problèmes liés aux signalements d’atteintes à la vie privée, par exemple celles qui portent sur l’accès non autorisé par des employés.
Selon des données d’Innovation, Sciences et Développement économique Canada (ISDE), les petites et moyennes entreprises représentent 98,2 % de l’ensemble des entreprises au Canada, et elles sont souvent à l’avant-garde de l’innovation. Par conséquent, le Commissariat a aussi cherché à s’adresser aux petites entreprises en tenant des kiosques à des événements comme le Small Business Summit (sommet des petites entreprises), organisé par le CanadianSME Business Magazine, et le Small Business Forum (forum des petites entreprises) de la Ville de Toronto.
Le Commissariat a également continué de donner la présentation virtuelle « La protection de la vie privée et votre entreprise » aux petites et moyennes entreprises du Canada, en mettant davantage l’accent, en 2025-2026, sur l’utilisation responsable de l’IA et sur l’importance de protéger la vie privée des enfants. Cette présentation était généralement offerte en collaboration avec divers centres d’innovation et associations de l’industrie afin d’en maximiser la portée.
La protection de la vie privée et la technologie ont également fait l’objet de collaborations entre le Commissariat et diverses parties prenantes dans les régions de l’Atlantique et des Prairies, notamment avec l’incubateur d’entreprises d’IA en démarrage IA Volta et l’Atlantic Tech Summit en Nouvelle-Écosse, l’association IT Alliance à l’Île-du-Prince-Édouard, l’organisme Community Futures en Saskatchewan et la Tech Week au Manitoba.
Symposium canadien sur la protection de la vie privée de l’IAPP (mai 2025)
Centre d’information
Le Centre d’information du Commissariat répond aux demandes de renseignements sur la protection de la vie privée dans les secteurs privé et public. Au cours de la dernière année, un nombre important de Canadiennes et de Canadiens ont fait part de leurs inquiétudes concernant la désactivation de leurs comptes sur les réseaux sociaux et l’impossibilité de récupérer l’accès à leur compte et à leurs renseignements personnels, comme plusieurs années de photos.
Bien que les autres demandes portent sur des sujets variés, qui vont de l’accès aux renseignements personnels aux répercussions de l’IA sur la protection de la vie privée, le Commissariat a aussi observé une tendance en ce qui a trait aux demandes relatives à la protection de la vie privée des employés et un nombre de questions de locataires concernant des problèmes avec les propriétaires et les sociétés de gestion immobilière. Parmi les préoccupations courantes soulevées par les locataires, mentionnons l’utilisation de la vidéosurveillance, la prise en photo des logements, la publication dans des forums publics de renseignements sur les locataires (par exemple des dossiers judiciaires) ou encore d’autres problèmes liés à la collecte excessive et à la communication de renseignements personnels.
Conseils en matière de protection de la vie privée
Dans le secteur public, le Commissariat offre des conseils aux institutions fédérales qui envisagent l’élaboration ou la mise en œuvre de programmes nouveaux ou modifiés qui auront une incidence sur la protection de la vie privée. De plus, il les invite à intégrer la protection de la vie privée dès la conception de leurs programmes, c’est-à-dire en tenant compte de cet aspect dès le départ. Le Commissariat encourage aussi les institutions fédérales à effectuer des EFVP afin de se conformer aux obligations prévues dans les politiques du SCT et de pouvoir établir et atténuer les risques pour la vie privée. Le Commissariat examine également les EFVP, et il fournit des conseils et formule des recommandations lorsque des enjeux posant un risque élevé sont soulevés. En 2025-2026, le Commissariat a examiné 181 EFVP, ce qui représente une hausse de 31 % par rapport à l’année précédente. Le nombre d’EFVP réalisées par les petites institutions assujetties à la LPRP a notamment augmenté.
Le Commissariat a également formulé des conseils et des recommandations sur une gamme d’initiatives gouvernementales liées à l’IA, notamment la réalisation d’analyses des tendances en matière de renseignements opérationnels et de données, la prestation de services de bien-être, l’analyse de séquences vidéo et l’utilisation de la reconnaissance faciale. En outre, le Commissariat a cherché des occasions de formuler des recommandations visant à renforcer les pratiques des institutions fédérales en matière de protection de la vie privée des enfants et des jeunes, par exemple en ce qui concerne le suivi des prêts étudiants, la gestion des visas de voyage et la lutte contre l’exploitation des enfants.
L’utilisation de nouvelles technologies par les organismes d’application de la loi pour identifier et dissuader les criminels est une tendance qu’a observée le Commissariat au cours de la dernière année, que ce soit au moyen d’EFVP soumises aux fins d’examen, de demandes du public ou d’autres façons. Afin d’examiner ces questions et d’approfondir ses connaissances en la matière, le Commissariat a consulté des institutions fédérales au sujet de plusieurs programmes, notamment ceux liés à l’utilisation de l’imagerie satellite pour retrouver des personnes disparues, aux techniques de lutte contre les drones, à la lutte contre la cybercriminalité ainsi qu’à l’utilisation de logiciels conçus pour mener des enquêtes sur les cas de matériel de maltraitance sexuelle d’enfants et pour localiser les enfants victimes de maltraitance sexuelle et de trafic sexuel.
Le Commissariat reconnaît l’importance du travail effectué par les organismes d’application de la loi et comprend que ceux-ci ont besoin d’outils modernes. Dans ses conseils, il a insisté sur la nécessité d’appliquer les principes de nécessité et de proportionnalité afin de réduire au minimum les préjudices pour la vie privée et de préserver la confiance du public à l’égard de l’utilisation de ces outils.
Dans le secteur privé, le Commissariat a fourni des conseils aux entreprises à l’occasion d’activités en personne ou par l’intermédiaire du Centre d’information. Il a également continué à donner des ateliers sur la protection de la vie privée en marge d’activités de sensibilisation, permettant ainsi aux entreprises d’obtenir des réponses à des questions précises directement liées à leurs pratiques dans le domaine.
Dans le cadre de ce travail, le Commissariat a fourni des conseils en matière de protection de la vie privée à un vaste éventail d’organisations qui pourraient traiter des renseignements personnels de nature très sensible. Parmi celles-ci se trouvaient le développeur d’une application destinée aux parents concernant la protection des renseignements personnels des enfants, une organisation qui cherchait à renforcer ses mesures de protection de la vie privée relatives à la prise de photos d’enfants pendant des activités parascolaires, une entreprise qui envisageait de développer une application d’aide à la dissolution du mariage et une entreprise qui fournit des services d’assistance pour les réclamations d’assurance en cas d’accidents de la route.
Codes de pratique au titre du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes
Les modifications apportées à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) et au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (RRPCFAT) qui sont entrées en vigueur en mars 2025 donnent aux entités qui transmettent des déclarations au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) la possibilité d’élaborer des codes de pratique qui encadrent l’échange de renseignements personnels dans le but de lutter contre les crimes financiers. Selon l’article 11.01 de la LRPCFAT, les codes s’appliquent à la communication de renseignements personnels à l’insu de l’individu ou sans son consentement.
Ces codes, qui renforcent la capacité collective des participants à lutter contre des crimes graves tout en faisant en sorte que des mesures rigoureuses de protection de la vie privée continuent à être appliquées, doivent être soumis au Commissariat aux fins d’examen et d’approbation.
Le Commissariat a mis en œuvre des processus afin de pouvoir examiner les codes dans le délai prescrit de 120 jours. Dans l’année qui a suivi l’entrée en vigueur des changements à la LRPCFAT et au RRPCFAT, le Commissariat a reçu huit codes de pratique, ce qui est beaucoup plus que ce qui était prévu. Le premier code a été approuvé en décembre 2025 et l’examen des autres codes se poursuit.
Afin d’aider les entités déclarantes qui soumettent un code de pratique, le Commissariat est en train de mettre au point un document d’orientation qui énoncera les principaux éléments de protection de la vie privée qui doivent être inclus dans un code. Ce document d’orientation permettra aux entités de soumettre leur code de manière plus efficace.
Le Commissariat a collaboré étroitement avec le CANAFE à l’examen des codes de pratique soumis ainsi qu’à l’élaboration du modèle de code de pratique et de la directive de conformité de celui-ci.
Documents d’orientation et ressources
Le Commissariat élabore des documents d’orientation afin d’aider les organisations à se conformer à leurs obligations légales prévues par les lois fédérales sur la protection des renseignements personnels et à mettre en œuvre des pratiques exemplaires en matière de protection de la vie privée. Dans le cadre de son mandat de sensibilisation du public, le Commissariat publie également des conseils à l’intention des individus afin de les aider à mieux comprendre leur droit à la vie privée et à prendre des mesures pour protéger ce droit.
Étant donné qu’un nombre croissant d’organisations ont recours à des technologies biométriques comme la reconnaissance faciale et le balayage des empreintes digitales pour vérifier l’identité d’un individu et fournir des services, le Commissariat a publié, en août 2025, de nouveaux documents d’orientation sur la protection de la vie privée dans le cadre d’initiatives faisant appel à la biométrie.
Élaborés à l’intention des entreprises et des institutions fédérales à la suite d’une vaste consultation, les documents d’orientation sur le traitement des renseignements biométriques présentent les éléments clés que doivent prendre en compte les organisations au moment de planifier et de mettre en œuvre des initiatives faisant appel à la technologie biométrique.
En février 2026, le Commissariat a mis à jour son bulletin d’interprétation sur les renseignements sensibles afin d’ajouter les « données neuronales » à la liste de renseignements personnels généralement considérés comme sensibles et qui doivent faire l’objet d’une meilleure protection. Les bulletins d’interprétation résument les grands principes qui, au fil du temps, se sont dégagés des décisions des tribunaux et des conclusions d’enquête du Commissariat en vertu de la LPRPDE. Ils visent à aider les organisations à se conformer à leurs obligations légales.
En juin 2024, le Commissariat a lancé une consultation exploratoire en vue de recueillir des observations sur les circonstances (quand et comment) dans lesquelles des services en ligne devraient confirmer l’âge des utilisateurs afin de restreindre l’accès des enfants et des jeunes à un certain type de contenu. En se fondant sur les commentaires reçus, il a publié en mai 2026 un document d’orientation pour aider les organisations à concevoir des systèmes de contrôle de l’âge et à évaluer quand les utiliser.
En mai 2025, le Commissariat a lancé une consultation exploratoire au sujet de l’élaboration d’un code sur la protection des renseignements personnels des enfants qui favoriserait le respect des obligations prévues par la LPRPDE en matière de protection des renseignements personnels et qui présenterait les attentes du Commissariat en ce qui concerne les façons dont les organisations traitent les renseignements personnels des enfants. En mai 2026, le Commissariat a publié un rapport intitulé Ce que nous avons entendu en se fondant sur cette consultation.
Conformément à la priorité stratégique du Commissaire Dufresne de protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, le Commissariat a également lancé une consultation pour guider l’élaboration des prochains documents d’orientation à l’intention des organisations assujetties à la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada afin de s’assurer qu’ils sont pertinents, efficaces et adaptés aux besoins des parties prenantes.
Enfin, en mai 2025, le Commissariat a publié le document intitulé La protection de votre vie privée et les robots conversationnels alimentés par l’intelligence artificielle pour aider les individus à mieux comprendre cette technologie et à l’utiliser d’une façon qui protège leur vie privée. Le Commissariat a également mis à jour ses conseils à l’intention des individus qui envisagent de déposer une plainte officielle afin de clarifier le processus à suivre.
Conseils au Parlement et au gouvernement
À titre d’agent du Parlement, le Commissaire à la protection de la vie privée du Canada est souvent appelé à comparaître devant les comités de la Chambre des communes et du Sénat afin de donner des conseils aux parlementaires sur les lois relatives à la protection des renseignements personnels et sur d’autres enjeux. En 2025-2026, le Commissaire a comparu à neuf reprises devant des comités parlementaires et a présenté quatre mémoires.
Un autre volet important du travail du Commissariat consiste à donner des conseils au gouvernement concernant les répercussions sur la vie privée des lois et orientations stratégiques proposées. Le Commissariat a présenté trois mémoires au gouvernement, comme il est précisé plus loin dans la présente section.
Comparutions devant le Parlement
Comparution au sujet du projet de loi S-209, Loi limitant l’accès en ligne des jeunes au matériel pornographique
Pendant sa comparution devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles en octobre 2025, le Commissaire Dufresne a parlé des travaux du Commissariat sur le contrôle de l’âge. Il a déclaré qu’il est essentiel que les organismes de réglementation de même que les gouvernements, l’industrie et la société civile travaillent ensemble en vue de prioriser l’intérêt supérieur des enfants et des jeunes, ce qui comprend la protection de leur droit fondamental à la vie privée, afin qu’ils bénéficient du soutien nécessaire pour pouvoir naviguer dans le monde numérique en toute sécurité.
Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique concernant le travail du Commissariat à la protection de la vie privée du Canada
En octobre 2025, le Commissaire Dufresne a comparu devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) de la Chambre des communes. Le Commissaire a mis l’accent sur l’importance de prioriser la protection de la vie privée, sur les mesures prises par le Commissariat pour améliorer l’efficacité et sur la nécessité de moderniser les lois canadiennes sur la protection des renseignements personnels afin de relever les défis du monde d’aujourd’hui axé sur les données.
Comparution au sujet du projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois
En octobre 2025, le Commissaire Dufresne a comparu devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes pour présenter les répercussions sur la vie privée du projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois. Il a déclaré que le projet de loi C-8 reconnaît que des mesures doivent être prises pour protéger les infrastructures essentielles contre les cybermenaces, qui deviennent de plus en plus sophistiquées et complexes. Il a aussi formulé des recommandations visant à renforcer le projet de loi du point de vue de la protection de la vie privée.
« Les données sont devenues l’une des plus importantes ressources du 21e siècle. En adoptant des lois modernes et en privilégiant la collaboration et la mobilisation, nous pouvons créer un cadre réglementaire qui profitera à l’économie canadienne, donnera un soutien aux entreprises canadiennes et protégera le droit à la vie privée des Canadiennes et des Canadiens. »
Comparutions au sujet du projet de loi C-12, Loi visant à renforcer le système d’immigration et la frontière du Canada
En novembre 2025, le Commissaire Dufresne a comparu devant le Comité permanent de la sécurité publique et nationale au sujet du projet de loi C-12, la Loi visant à renforcer le système d’immigration et la frontière du Canada. Le projet de loi C-12 modifierait un certain nombre de lois et de règlements dans le but de renforcer la sécurité en matière d’immigration et aux frontières, ainsi que de lutter contre la criminalité transnationale organisée, le trafic de stupéfiants et le financement illicites. À cette occasion, il a recommandé que la partie 1 soit modifiée afin de préciser que les agents des douanes ne peuvent pénétrer dans une maison d’habitation dans le but d’accéder à des marchandises destinées à l’exportation sans le consentement de l’occupant, sauf s’ils disposent d’un mandat.
Le Commissaire Dufresne a ensuite comparu devant le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants en février 2026 afin de contribuer à l’étude du projet de loi par le Comité. Dans sa déclaration, le Commissaire Dufresne a affirmé que le libellé du projet de loi concernant les ententes d’échange de renseignements illustrait bien l’approche qu’il avait recommandée par le passé pour les projets de loi qui prévoient des communications étendues ou continues de renseignements personnels, en particulier entre les juridictions.
Comparutions au sujet des dispositions relatives à la mobilité des données du projet de loi C-15
En décembre 2025, le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des banques, du commerce et de l’économie pour faire connaître son point de vue sur les modifications proposées à la LPRPDE par le projet de loi C-15, la Loi no 1 d’exécution du budget de 2025. Il a reconnu l’importance que revêtent les objectifs de politiques énoncés dans le projet de loi ainsi que l’importance du droit à la mobilité des données dans l’économie numérique d’aujourd’hui, étant donné que celle-ci permettrait aux Canadiennes et aux Canadiens d’avoir un plus grand contrôle sur leurs renseignements personnels. Il a aussi déclaré qu’il sera important que le Commissariat soit consulté lors de l’élaboration des règlements relatifs au cadre de mobilité des données.
En janvier 2026, le Commissaire Dufresne a comparu devant le Comité permanent de l’industrie et de la technologie de la Chambre des communes pour faire connaître son point de vue sur les modifications proposées à la LPRPDE dans le projet de loi C-15. Il a alors exprimé son appui à l’égard des efforts visant à instaurer un droit à la mobilité des données au Canada, soulignant qu’un tel droit permettrait aux Canadiennes et aux Canadiens d’avoir un plus grand contrôle sur leurs renseignements personnels et de décider à qui leurs renseignements peuvent être communiqués. Il a également réitéré l’importance de consulter le Commissariat lors de l’élaboration des règlements et indiqué qu’il se réjouissait de collaborer avec le gouvernement sur cette question importante.
Comparution au sujet d’une étude sur l’IA et de l’encadrement de cette technologie
En février 2026, le Commissaire Dufresne a comparu devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet de son étude sur les défis que posent l’IA et son encadrement. Dans sa déclaration, le Commissaire a affirmé que la protection de la vie privée est une question importante et d’actualité au Canada. Il a mentionné que, alors que les technologies continuent d’évoluer rapidement et s’intègrent de plus en plus dans notre vie personnelle et professionnelle, la modernisation des lois canadiennes sur la protection des renseignements personnels permettrait à la population et aux organisations canadiennes d’utiliser et de déployer ces technologies en bénéficiant de mesures de protection adéquates pour les données personnelles.
Comparution au sujet des enjeux de vie privée relatifs aux partis politiques dans le projet de loi C-4, Loi visant à rendre la vie plus abordable pour les Canadiens
Pendant sa comparution devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles en février 2026, le Commissaire Dufresne a déclaré que les partis politiques devraient être assujettis à des règles de protection de la vie privée qui sont essentiellement comparables aux exigences qui sont énoncées pour les secteurs public et privé dans les lois fédérales en matière de protection des renseignements personnels. Ces règles devraient aussi être adaptées au rôle unique joué par les partis politiques dans le processus démocratique.
Mémoires présentés à des comités parlementaires
Lettre au Comité permanent des finances de la Chambre des communes au sujet du projet de loi C-4, Loi visant à rendre la vie plus abordable pour les Canadiens
Dans une lettre envoyée au Comité permanent des finances en juin 2025 concernant les répercussions en matière de protection des renseignements personnels du projet de loi C-4, Loi visant à rendre la vie plus abordable pour les Canadiens, le Commissaire Dufresne a demandé que les partis politiques soient assujettis à des règles de protection de la vie privée qui sont essentiellement comparables aux exigences qui sont énoncées pour les secteurs public et privé dans la LPRP et la LPRPDE.
Lettre au Comité sénatorial permanent des affaires juridiques et constitutionnelles au sujet du projet de loi S-209
En octobre 2025, le Commissaire Dufresne a fourni des renseignements supplémentaires au Comité sénatorial permanent des affaires juridiques et constitutionnelles après sa comparution dans le cadre de l’étude du projet de loi S-209, Loi limitant l’accès en ligne des jeunes au matériel pornographique. Dans sa lettre, le Commissaire a présenté sept recommandations prioritaires pour la réforme de la LPRPDE et a souligné que la modernisation des lois canadiennes sur la protection des renseignements personnels est nécessaire pour qu’il soit possible de relever pleinement les défis d’un monde axé sur les données.
Lettre au Comité permanent de la sécurité publique et nationale de la Chambre des communes au sujet du projet de loi C-8
En novembre 2025, le Commissaire Dufresne a présenté des observations écrites au Comité permanent de la sécurité publique et nationale à la suite de sa comparution sur le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois. En réponse aux questions des membres du Comité, le Commissaire a fourni une liste des dispositions précises du projet de loi qui gagneraient à être modifiées dans un souci de protection de la vie privée.
Lettre au Comité permanent des comptes publics de la Chambre des communes au sujet du projet de loi C-230
En mars 2026, le Commissaire Dufresne a présenté au Comité permanent des comptes publics des observations écrites au sujet des répercussions sur la protection des renseignements personnels du projet de loi C-230, Loi modifiant la Loi sur la gestion des finances publiques et d’autres lois en conséquence (registre de créances visées par une renonciation). Il a indiqué que les modifications proposées touchaient les renseignements de personnes morales, de fiducies ou de sociétés de personnes plutôt que les renseignements personnels de particuliers et que, par conséquent, les répercussions possibles sur la vie privée, le cas échéant, seraient mineures.
Conseils au gouvernement
Mémoire sur la mise en œuvre des certifications du Forum mondial sur les règles relatives aux transferts transfrontaliers de données au Canada
En juin 2025, le Commissaire Dufresne a transmis ses observations dans le cadre d’une consultation menée par Innovation, Sciences et Développement économique Canada (ISDE) sur la mise en œuvre des certifications du Forum mondial sur les règles relatives aux transferts transfrontaliers de données au Canada. Le mémoire a fait ressortir que la mise en place de mécanismes de certification qui favorisent la protection de la vie privée peut profiter aux organisations et à la population canadienne ainsi que soutenir le commerce international.
Lettre au ministre de l’Identité et de la Culture canadiennes concernant une disposition de coordination apportée à la Loi sur la radiodiffusion
En septembre 2025, le Commissaire Dufresne a envoyé au ministre de l’Identité et de la Culture canadiennes une lettre dans laquelle il lui recommandait de rétablir une disposition de la Loi sur la radiodiffusion qui prévoyait que l’interprétation et l’application de la loi doivent se faire d’une manière qui respecte le droit à la protection de la vie privée et qui avait été supprimée par inadvertance en raison d’une disposition de coordination.
Mémoire pour la consultation d’Innovation, Sciences et Développement économique Canada sur une stratégie renouvelée en matière d’intelligence artificielle
En octobre 2025, le Commissaire Dufresne a transmis ses commentaires dans le cadre de la consultation d’ISDE sur une stratégie canadienne renouvelée en matière d’IA. Le mémoire portait sur les façons de prioriser la protection de la vie privée pour faire en sorte que les technologies de pointe axées sur les données, comme l’IA, soient mises au point et déployées de manière sécuritaire, responsable et digne de confiance.
Collaboration
La collaboration entre les organismes de réglementation, les institutions publiques, l’industrie et la société civile sont essentielles pour faire face aux défis mondiaux en matière de protection de la vie privée.
En mettant en commun leurs connaissances et leur expertise, en se penchant ensemble sur les nouveaux enjeux et en collaborant pour mettre en place des normes communes, les organisations de juridictions différentes profitent d’une uniformité accrue et peuvent mieux protéger la vie privée des individus.
Voici une vue d’ensemble des principales initiatives de collaboration auxquelles le Commissaire Dufresne a participé en 2025-2026 avec ses partenaires nationaux et internationaux, d’autres organismes de réglementation ainsi que d’autres parties prenantes de la société civile.
Collaboration nationale
En 2025-2026, le Commissariat a travaillé en étroite collaboration avec les autorités de protection de la vie privée de partout au Canada pour trouver des moyens de protéger et de promouvoir le droit fondamental à la vie privée des Canadiennes et des Canadiens, tout en permettant une innovation au service de l’intérêt public et d’une économie forte.
En octobre 2025, pendant la réunion annuelle des commissaires et des ombuds à l’information et à la protection de la vie privée du fédéral, des provinces et des territoires, le Commissaire Dufresne a été nommé coprésident du groupe, aux côtés de Caroline Maynard, la Commissaire à l’information du Canada.
Cette réunion annuelle a donné lieu à des discussions sur une vaste gamme de sujets relatifs à la protection de la vie privée et à l’accès à l’information. Il a notamment été question des enjeux émergents liés aux nouvelles technologies, comme l’utilisation de l’IA, les risques liés à la cybersécurité et la protection des données en ligne.
En novembre 2025, le Commissaire Dufresne et ses homologues des provinces et des territoires ont publié une résolution conjointe sur la protection de la vie privée des enfants et des jeunes dans les salles de classe au moyen de l’utilisation responsable de technologies éducatives. La résolution vise à s’assurer que le droit à la vie privée et l’intérêt supérieur de l’enfant sont primordiaux dans le développement, l’acquisition et le déploiement des technologies éducatives.
Cette année, le Commissaire à la protection de la vie privée du Canada a également mis à jour le protocole d’entente du Commissariat avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario. Le protocole simplifie l’échange de renseignements entre les deux commissariats sur des questions d’intérêt commun. Il permet aux commissaires de communiquer et de coopérer l’un avec l’autre ainsi que de mener des enquêtes conjointes sur des questions qui relèvent de la LPRPDE ou d’une ou de plusieurs lois régissant la protection de la vie privée en Ontario. Ce protocole d’entente remplace un protocole similaire signé en 2014.
Forum canadien des organismes de réglementation numérique
En mai 2025, le Commissaire Dufresne a terminé son mandat d’un an à titre de président du Forum canadien des organismes de réglementation numérique. Fondé en 2023, le Forum réunit le Commissariat à la protection de la vie privée du Canada, le Conseil de la radiodiffusion et des télécommunications canadiennes, le Bureau de la concurrence et la Commission du droit d’auteur du Canada, afin de renforcer l’échange d’information et la collaboration dans des domaines qui concernent les marchés et les plateformes numériques.
L’une des principales initiatives menées durant la présidence du Commissaire Dufresne a été la rédaction d’un rapport de recherche sur les médias synthétiques, c’est-à-dire les images, les vidéos, le texte et les enregistrements audio générés artificiellement, y compris les hypertrucages. Publié en septembre 2025, le document intitulé Les médias synthétiques dans le paysage numérique donne une vue d’ensemble du paysage mondial de la réglementation en ce qui concerne le contenu généré à l’aide de l’IA ou d’autres technologies automatisées et présente les principaux éléments que les individus et les organisations devront prendre en considération en ce qui a trait à l’évolution de la technologie.
Le Commissariat a contribué au document en se penchant principalement sur les façons dont les renseignements personnels peuvent être utilisés pour créer des médias synthétiques, lesquels peuvent utiliser des renseignements personnels pour reproduire des images le plus fidèlement possible. De plus, le Commissariat a cherché à établir si les médias synthétiques peuvent être considérés comme des renseignements personnels au titre des lois canadiennes sur la protection des renseignements personnels et a affirmé que toute utilisation de renseignements personnels pour créer des médias synthétiques est assujettie aux obligations prévues par la LPRPDE.
En mai 2025, le Commissaire Dufresne a transféré la présidence du Forum à Vicky Eatrides, la présidente et première dirigeante du Conseil de la radiodiffusion et des télécommunications canadiennes. Durant cette rencontre, le Forum a aussi établi ses priorités pour la troisième année, notamment renforcer la collaboration en organisant un atelier destiné aux parties prenantes et publier une série d’articles sur tout ce qui touche à l’évolution des marchés numériques.
Forum canadien des organismes de réglementation numérique (mai 2025)
Collaboration internationale
Il est essentiel pour le Canada de jouer sur la scène internationale un rôle de chef de file dans le domaine de la protection de la vie privée. Il contribue ainsi à protéger les Canadiennes et les Canadiens, et ce, où qu’ils soient et peu importe où se trouvent leurs données.
La présence du Canada à la table des principaux forums internationaux sur la protection de la vie privée est essentielle afin de bâtir des alliances mondiales, de préconiser des lois et des normes uniformes en matière de protection de la vie privée partout dans le monde et de protéger les Canadiennes et les Canadiens dans une économie mondiale.
Table ronde des autorités de protection des données et de la vie privée du G7
En juin 2025, alors que le Canada assurait la présidence du G7, le Commissaire Dufresne a accueilli les membres de la Table ronde des autorités de protection des données et de la vie privée du G7 dans la région de la capitale nationale pour leur réunion annuelle.
Cette dernière avait pour thème « La protection de la vie privée à l’ère numérique : agir ensemble maintenant pour renforcer la confiance ». Les membres ont discuté de l’évolution du domaine de la protection des données et de la vie privée, des répercussions des technologies émergentes et de l’importance de la coopération entre les autorités de protection des données et de la vie privée de pays partageant les mêmes idées pour assurer la protection des données et protéger le droit à la vie privée des individus partout dans le monde.
Conformément à leur engagement commun à protéger la vie privée tout en soutenant l’innovation responsable, les membres de la Table ronde ont adopté une déclaration commune selon laquelle prioriser la protection de la vie privée tout au long du cycle de vie d’une technologie, de la conception au déploiement, en passant par le développement, peut permettre aux organisations de donner libre cours à l’innovation et de saisir les occasions du marché, et de le faire d’une façon qui soit rentable. Ils ont aussi insisté sur le fait que la protection des enfants en ligne doit tenir compte de leur intérêt supérieur.
Parmi les autres moments forts de la réunion de la Table ronde, citons les discours du professeur Yoshua Bengio, dont les découvertes ont conduit à l’IA générative moderne, et de Martin Laforest, Ph. D., un grand spécialiste de la technologie quantique.
Les membres de la Table ronde ont également publié un communiqué conjoint sur la protection de la vie privée à l’ère numérique.
En décembre 2025, le Commissaire Dufresne a tenu une réunion virtuelle de la Table ronde des autorités de protection des données et de la vie privée au cours de laquelle il a conclu son année en tant qu’hôte de la Table ronde.
Pendant cette réunion, les participants ont adopté un exposé de position sur la libre circulation des données dans la confiance ainsi qu’un plan d’action pour 2026, qui vise à continuer de favoriser la confiance et de soutenir l’innovation qui protège la vie privée, en particulier celle des enfants.
La présidente de la Commission nationale de l’informatique et des libertés de la France sera l’hôte de la Table ronde des autorités de protection des données et de la vie privée du G7 de 2026.
[Traduction] « Alors que l’intelligence artificielle devient de plus en plus puissante, nous devons nous demander comment concilier l’évolution constante avec les intérêts de nos citoyennes et citoyens et ceux de la démocratie. »
Table ronde des autorités de protection des données et de la vie privée du G7 (juin 2025)
Assemblée mondiale pour la protection de la vie privée
Le Commissaire Dufresne a eu l’honneur d’être élu président de l’Assemblée mondiale pour la protection de la vie privée (AMVP) en septembre 2025. Le forum international regroupe plus de 130 autorités de protection des données et de la vie privée du monde entier.
C’est la première fois dans l’histoire de l’AMVP qu’elle est dirigée par le Commissaire à la protection de la vie privée du Canada. Il s’agit d’une reconnaissance du leadership de longue date de notre pays sur la scène internationale de la protection de la vie privée.
Ce nouveau rôle contribuera à la fois à protéger et à promouvoir la protection de la vie privée à l’échelle mondiale et positionnera le Commissariat comme un important acteur de la réussite économique du Canada, en appuyant le commerce numérique et en aidant le Canada à accroître sa présence sur la scène internationale.
Il viendra aussi renforcer l’influence et l’impact du Commissariat à l’échelle nationale et favorisera la mise en œuvre de mesures de protection de la vie privée plus rigoureuses pour toute la population canadienne.
En tant que président de l’AMVP, le Commissaire Dufresne articule sa vision autour de la collaboration sur trois thèmes principaux : tenir compte des répercussions de la technologie sur la vie privée, défendre le droit à la vie privée des jeunes et poursuivre les progrès vers des économies solides et un niveau élevé de protection des données dans les cadres mondiaux, notamment grâce à la libre circulation des données dans la confiance. En tant que président, il veut aussi que les procédures et la prise de décision soient plus transparentes afin d’accroître la collaboration entre les membres et de rendre ainsi l’organisation plus accessible et plus inclusive pour toutes les autorités de protection des données et de la vie privée, peu importe leur taille ou leur région.
Pendant la 47e conférence annuelle de l’AMVP en septembre 2025, trois résolutions ont été adoptées, notamment une résolution sur la nécessité d’une surveillance humaine véritable des décisions prises à l’aide de systèmes d'IA rédigée par le Commissariat et coparrainée par 12 autres autorités de protection des données. Dans cette résolution, il est demandé aux organisations d’assurer une surveillance humaine véritable lorsque ces systèmes sont utilisés dans les processus décisionnels, en particulier lorsque les décisions peuvent avoir des répercussions importantes sur les droits et libertés fondamentaux des individus.
Enfin, à titre de président du Groupe de travail sur la protection des données et des autres droits et libertés de l’AMVP, le Commissaire Dufresne a lancé en septembre 2025 la deuxième édition du prix de la vie privée et des droits de la personne (site Web en anglais seulement). Ce prix, décerné en collaboration avec Access Now, une organisation internationale de défense des droits de la personne, souligne le leadership exceptionnel d’organisations de partout dans le monde pour leur contribution importante à la protection de la vie privée, des données et d’autres droits fondamentaux.
« J’ai bien hâte de travailler avec tous les membres de l’Assemblée mondiale pour la protection de la vie privée. En priorisant la collaboration et en mettant en commun nos capacités, nos ressources et notre expertise, nous pouvons maximiser notre impact pour façonner un avenir où l’innovation peut être florissante, où le droit à la vie privée est respecté et où la confiance est renforcée. »
D’autres travaux à l’échelle internationale
En 2025-2026, le Commissaire Dufresne a conclu diverses ententes et signé diverses déclarations de coopération, notamment avec le Commissaire à l’information du Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, la présidente de la Commission nationale de l’informatique et des libertés et le président de la Personal Information Protection Commission of Japan (commission de protection des renseignements personnels du Japon). Les ententes simplifient l’échange de renseignements entre leurs commissariats et commissions respectifs, leur permettant ainsi de réagir plus efficacement aux risques émergents pour la vie privée.
En septembre 2025, le Commissaire Dufresne s’est joint à 20 de ses homologues internationaux pour signer une déclaration commune sur la gouvernance fiable des données pour l’IA, qui demande que les principes de protection des données soient intégrés dans la conception des systèmes d’IA et que des structures solides de gouvernance des données soient mises en place.
En février 2026, le Commissaire Dufresne s’est joint à 60 de ses homologues au pays et ailleurs dans le monde pour publier une déclaration commune sur les images et les vidéos générées par l’IA et sur la protection de la vie privée.
Programme des contributions
En décembre 2025, le Commissariat a lancé un appel de propositions pour le cycle de financement 2026-2027 de son Programme des contributions sous le thème « Objectif débloqué : protéger la vie privée dans les jeux vidéo en ligne ».
Selon un rapport de l’Association canadienne du logiciel de divertissement, près de 50 % des adultes et 70 % des adolescents au Canada jouent régulièrement à des jeux en ligne. Afin d’en apprendre davantage sur les répercussions des jeux vidéo sur la vie privée des individus, le Commissariat a lancé un appel de propositions de projets qui permettront d’approfondir les connaissances relatives à la collecte et à l’utilisation des données personnelles dans le domaine des jeux vidéo en ligne.
Le Commissariat avait reçu 46 propositions de projets de recherche au mois de février 2026, date limite pour soumettre les propositions.
Dans le cadre du cycle de financement 2025-2026, le Commissariat a sélectionné sept projets de recherche qui bénéficieront d’un financement à la suite de son appel de propositions sur le thème « Branchés, mais à quel prix : appareils intelligents et vie privée », qui vise à accroître les connaissances de la population canadienne sur les façons dont ces appareils intelligents gèrent les renseignements personnels.
Concordant avec la priorité stratégique du Commissaire Dufresne de protéger et promouvoir la vie privée à l’heure où se succèdent les changements technologiques, deux des projets de recherche retenus portent sur les pratiques de collecte des données et les mesures de protection liées aux véhicules connectés.
Parmi les autres projets ayant reçu du financement, l’un examine les défis et les possibilités uniques en matière de protection de la vie privée auxquels sont confrontés les adolescents et les jeunes adultes âgés de 16 à 24 ans, alors que les appareils intelligents font de plus en plus partie de leur vie quotidienne et un autre analyse les répercussions sur la vie privée des applications mobiles de la FemTech (forme abrégée de female technology – technologie féminine) consacrées au bien-être et au corps.
Mis sur pied en 2004, le Programme des contributions permet de consacrer jusqu’à 500 000 $ par année à des initiatives novatrices de recherche et de sensibilisation du public qui permettront de mieux comprendre et de traiter les enjeux fondamentaux et nouveaux liés à la protection de la vie privée. Chaque projet peut se voir accorder jusqu’à 100 000 $.
Activités d’application et de contrôle de la loi
Introduction
Le Commissariat a constaté une hausse considérable du nombre de plaintes reçues sous le régime de la LPRP et de la LPRPDE en 2025-2026. Ce nombre a augmenté progressivement au cours de l’année pour totaliser 6 190 plaintes, comparativement à 3 400 plaintes l’année précédente, ce qui représente une augmentation de 82 % pour les deux lois.
Les plaintes sous le régime de la LPRPDE ont augmenté de façon généralisée dans plusieurs secteurs de l’économie, comme c’était le cas au cours des années précédentes. Si la raison de cette augmentation demeure incertaine, elle s’explique probablement par plusieurs facteurs, notamment une sensibilisation accrue et la facilité d’accès aux renseignements découlant du lancement au Canada d’une fonctionnalité de recherche améliorée grâce à l’IA. Le Commissariat s’attend à ce que cette hausse se maintienne.
L’augmentation du nombre de plaintes au titre de la LPRP concernait surtout des ministères chargés de la sécurité, notamment Immigration, Réfugiés et Citoyenneté Canada (IRCC), le Service canadien du renseignement de sécurité (SCRS), la Gendarmerie royale du Canada (GRC), l’Agence des services frontaliers du Canada (ASFC) et le ministère de la Défense nationale.
Au total, 3 146 plaintes sous le régime de la LPRP ont été reçues, soit une augmentation de 62 % par rapport à 2024-2025.
De ce nombre, nous avons noté une augmentation de 121 % des plaintes concernant le délai de réponse, c’est-à-dire des plaintes liées au fait qu’une institution n’a pas répondu à une demande de renseignements personnels dans le délai prévu par la loi.
Le Commissariat a été en mesure de fermer plus de dossiers liés au délai de réponse en 2025-2026 qu’en 2024-2025 – passant de 622 à 966, en partie en raison de l’efficacité interne et d’efforts supplémentaires.
Nous avons aussi constaté une hausse de 105 % du nombre de plaintes liées au Décret d’extension no 3 (Loi sur la protection des renseignements personnels), qui accorde à tout individu à l’étranger, y compris les ressortissants étrangers, le droit d’accéder aux renseignements personnels le concernant et relevant d’une institution fédérale canadienne.
Plusieurs institutions fédérales pour lesquelles le Commissariat reçoit habituellement un volume élevé de plaintes ont été particulièrement touchées. La plus grande proportion de plaintes acceptées concernait le SCRS (22 % des plaintes acceptées, ou 468 cas), IRCC (13 % des plaintes acceptées, ou 293 cas) et la GRC (13 % des plaintes acceptées, ou 292 cas).
La plupart de ces plaintes portaient sur une demande d’accès concernant des renseignements relatifs au processus de demande d’immigration ou sur une réponse tardive à une telle demande. Le Commissariat a collaboré avec ces institutions au cours de la dernière année afin de résoudre les plaintes le plus efficacement possible. Le nombre de plaintes reçues au titre de la LPRPDE est passé de 1 458 à 3 044, soit une augmentation de 109 % par rapport à 2024-2025 et de 137 % par rapport à la moyenne des deux années précédentes.
La hausse soutenue du volume des plaintes reçues a entraîné une augmentation des délais de traitement; la moyenne pour le traitement des dossiers étant de 66 jours, alors que la norme opérationnelle est de 28 jours. Le Commissariat met en œuvre des mesures pour améliorer l’efficacité et révise son processus de réception des plaintes pour accélérer le traitement des dossiers, mais cela ne suffit pas pour gérer le volume de plaintes reçues.
Enquêtes
Les enquêtes en chiffres
| Loi | Plaintes reçues | Plaintes acceptées | Enquêtes actives (31 mars) | Délai de traitement moyen des enquêtes actives (en mois) | Enquêtes fermées pendant l’exercice financier | Délai de traitement moyen (en mois) |
|---|---|---|---|---|---|---|
| LPRP | 3 146 | 2 172 | 905 | 3 | 1 661 | 3 |
| LPRPDE | 3 044 | 920 | 540 | 2 | 672 | 7 |
| Total | 6 190 | 3 092 | 1 445 | 3 | 2 333 | 4 |
| Loi | 2021-2022 | 2022-2023 | 2023-2024 | 2024-2025 | 2025-2026 |
|---|---|---|---|---|---|
| LPRP | 906 | 1 241 | 1 113 | 1 279 | 2 172 |
| LPRPDE | 427 | 454 | 446 | 446 | 920 |
| Total | 1 333 | 1 695 | 1 559 | 1 725 | 3 092 |
| Institution | Nombre |
|---|---|
| Service canadien du renseignement de sécurité | 468 |
| Immigration, Réfugiés et Citoyenneté Canada | 293 |
| Gendarmerie royale du Canada | 292 |
| Service correctionnel Canada | 197 |
| Agence des services frontaliers du Canada | 152 |
| Secteur | Nombre |
|---|---|
| Internet | 291 |
| Finances | 118 |
| Services | 79 |
| Services publics | 70 |
| Services professionnels | 66 |
Voici un aperçu de certaines des enquêtes fermées par le Commissariat en 2025-2026 :
Loi sur la protection des renseignements personnels
Enquête sur la protection des renseignements personnels dans les pratiques contractuelles utilisées en lien avec l’application ArriveCAN
Le Commissariat a mené une enquête sur une plainte reçue contre l’ASFC concernant ses pratiques contractuelles pendant le développement de l’application mobile ArriveCAN.
L’enquête n’a mis au jour aucune preuve donnant à penser que les renseignements personnels recueillis au moyen de l’application ArriveCAN ont été utilisés ou communiqués en violation de la LPRP. Le Commissariat a conclu que tous les contrats liés à ArriveCAN permettant l’accès à des renseignements personnels comprenaient des clauses appropriées décrivant les exigences contractuelles en matière de sécurité et prévoyaient des mesures de sécurité précises à mettre en œuvre.
Bien qu’aucune infraction n’ait été constatée, l’ASFC a accepté les recommandations du Commissaire visant à atténuer les risques pour la vie privée lorsque des entrepreneurs exécutent des travaux en son nom et a exprimé son accord avec l’objectif global de renforcer les pratiques visant la protection de la vie privée et la sécurité de son cadre de passation de contrats.
Pour en savoir davantage
« Je tiens à vous exprimer ma plus profonde gratitude pour l’aide que vous m’avez apportée afin de régler un problème qui m’a causé un grand stress et bien des soucis au cours de la dernière année. Après des mois passés à me sentir harcelé et menacé, j’étais convaincu que la situation ne serait jamais résolue – mais grâce à votre diligence, je me sens enfin soulagé et en sécurité.
L’engagement de votre équipe à protéger le droit à la vie privée et à garantir la responsabilité a profondément changé ma vie. Je vous remercie pour le temps, le soin et l’attention que vous avez consacrés à mon dossier, et je vous suis très reconnaissant pour le respect et la compréhension dont vous avez fait preuve à mon égard tout au long de cette procédure. »
Exigences relatives au retour au bureau dans la fonction publique fédérale
L’Orientation concernant la présence prescrite au lieu de travail du gouvernement du Canada publiée par le SCT a soulevé des questions sur la façon dont les institutions fédérales peuvent surveiller et consigner la présence de leurs employés au lieu de travail et respecter le modèle de travail hybride.
Selon l’Orientation, les administrateurs généraux sont responsables de mettre en œuvre l’exigence minimale de présence sur le lieu de travail, d’en vérifier le respect et de faire rapport à ce sujet. Les institutions assujetties à la LPRP peuvent mesurer la présence sur place à l’aide des données des tourniquets, des rapports de présence actuels ou des données de connexion au protocole Internet (IP) afin de pouvoir obtenir des données ministérielles agrégées.
Le Commissariat a reçu une plainte liée à la mise en œuvre de l’Orientation au SCT dans laquelle la partie plaignante affirmait que la collecte de données sur la présence au bureau des employés (par exemple les données de connexion au réseau ou de balayage des cartes d’identité) et la communication de ces données aux divers échelons de la haute direction pour mesurer et valider la présence sur le lieu de travail constituait une utilisation intrusive des renseignements personnels des employés.
L’enquête du Commissariat, qui s’est conclue en mars 2026, portait sur la mise en œuvre par le SCT de l’Orientation auprès de ses employés. Elle a révélé que les pratiques de traitement des renseignements personnels du SCT étaient conformes à la LPRP et que la plainte n’était pas fondée.
La mise en œuvre de l’Orientation a beaucoup attiré l’attention du public et les institutions ont manifesté un intérêt accru pour surveiller de manière proactive la présence des employés au lieu de travail.
L’Orientation a également amené les ministères à demander des conseils sur la façon dont les institutions fédérales peuvent protéger les renseignements personnels des employés lorsqu’elles mènent des initiatives de surveillance proactives et individualisées. Afin de clarifier les attentes, le Commissariat a fait en février 2026 une présentation conjointe avec le SCT intitulée « Responsabilités des Ressources humaines en matière de protection de la vie privée ». Des chefs de la protection des renseignements personnels et des dirigeants principaux des ressources humaines de diverses institutions fédérales y ont assisté.
Pour en savoir davantage
Suppression de vidéos à Service correctionnel Canada
Le Commissariat a fait enquête sur une plainte d’une personne détenue qui affirmait que Service correctionnel Canada (SCC) n’avait pas conservé des séquences vidéo montrant des incidents de recours à la force contre elle.
Dans un cas, l’enquête a permis d’obtenir des preuves que SCC avait enregistré une séquence vidéo d’un incident où il y avait eu recours à la force, mais que, contrairement à sa politique, il ne l’avait pas conservée.
Comme SCC n’a pas conservé l’enregistrement, la personne détenue n’avait aucun moyen d’y accéder. Le Commissariat a conclu qu’il s’agissait d’un manquement grave compte tenu de la nature sensible de la vidéo.
Pour éviter qu’une telle situation se reproduise, SCC a accepté de mettre en œuvre des mesures de surveillance supplémentaires pour faire en sorte que les politiques de conservation soient respectées, y compris de mener des vérifications aléatoires pour évaluer la conformité aux exigences de conservation des vidéos.
Pour en savoir davantage
Immigration, Réfugiés et Citoyenneté Canada refuse systématiquement l’accès à certains renseignements personnels contenus dans son Système mondial de gestion des cas
Le Commissariat a enquêté sur une plainte contre IRCC portant sur sa façon de traiter des demandes de renseignements personnels se trouvant dans les documents conservés dans son Système mondial de gestion des cas (SMGC).
L’enquête a révélé que, même lorsque les personnes demandaient l’intégralité de leur dossier ou des éléments précis figurant dans le rapport détaillé pour des questions d’immigration, comme les demandes de visa, IRCC ne récupérait et ne traitait systématiquement qu’un sous-ensemble de documents contenus dans un rapport abrégé.
En ne donnant pas accès à l’ensemble du contenu, IRCC a failli à ses obligations au titre de l’article 12 de la LPRP, qui exige que les institutions fédérales donnent aux individus accès aux renseignements personnels qui les concernent et qui relèvent d’elles, sous réserve de certaines exceptions.
Bien que, dans cette affaire, IRCC ait finalement traité et fourni à la partie plaignante l’intégralité du rapport détaillé, il n’a pas accepté de mettre en œuvre la recommandation du Commissariat visant à modifier ses procédures dans le but de récupérer et de traiter le rapport détaillé en réponse aux demandes d’autres individus souhaitant accéder à l’intégralité de leur dossier.
Pour en savoir davantage
Loi sur la protection des renseignements personnels et les documents électroniques
L’enquête sur Google fait valoir le droit au déréférencement de renseignements dans des circonstances limitées
En août 2025, le Commissaire Dufresne a publié les conclusions de son enquête sur une plainte concernant le service de moteur de recherche de Google. L’enquête a révélé que les individus ont le droit, dans des circonstances limitées, de faire déréférencer certains renseignements les concernant, de sorte qu’ils ne s’affichent pas dans les résultats d’un moteur de recherche lorsqu’une recherche en ligne est effectuée au moyen de leur nom.
Ce droit s’applique dans les situations où il existe un risque de préjudice grave pour un individu si certains éléments de ses renseignements personnels continuent d’être affichés lorsque son nom est utilisé pour effectuer une recherche en ligne et que ce risque de préjudice pour l’individu l’emporte sur l’intérêt public de voir ces renseignements demeurer accessibles au moyen d’une telle recherche.
Dans cette affaire, un individu avait fait l’objet d’une accusation criminelle, qui fut abandonnée peu après avoir été déposée. Plusieurs années plus tard, des articles médiatiques au sujet des accusations continuent d’être accessibles en ligne lorsqu’on cherche le nom de l’individu. Ces articles révèlent des renseignements personnels très sensibles qui, selon cet individu, lui ont causé des préjudices directs, comme des agressions physiques, la perte de possibilités d’emploi et une grave réprobation sociale.
Pour en savoir davantage
L’enquête sur TikTok fait état de préoccupations en matière de protection de la vie privée liées aux renseignements personnels des enfants
En septembre 2025, le Commissaire Dufresne et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta ont publié les résultats de leur enquête conjointe sur TikTok Pte. Ltd.
L’enquête a révélé que les mesures mises en place pour empêcher les enfants de moins de 13 ans (moins de 14 ans au Québec) d’accéder à la populaire plateforme de partage de vidéos en ligne et pour prévenir la collecte et l’utilisation de leurs renseignements personnels sensibles à des fins comme la diffusion de publicités ciblées et de contenu personnalisé étaient inadéquates.
Même si les conditions générales de l’entreprise indiquent que sa plateforme n’était pas destinée aux enfants de moins de 13 ans, l’enquête a révélé que des centaines de milliers d’enfants canadiens accèdent chaque année à la plateforme TikTok et que cette dernière recueille et utilise leurs renseignements personnels.
Bien que l’enquête conjointe était axée sur les enfants, elle a aussi révélé que TikTok Pte. Ltd. n’a pas bien expliqué ses pratiques en matière de données aux utilisateurs adolescents et adultes. Elle n’a pas non plus obtenu de consentement éclairé pour la collecte et l’utilisation d’une grande quantité de données des utilisateurs, y compris les données sensibles de jeunes utilisateurs, comme l’exigent les lois canadiennes en matière de protection des renseignements personnels.
En réponse aux conclusions et aux recommandations des commissariats, TikTok Pte. Ltd. a accepté d’améliorer les méthodes de contrôle de l’âge pour empêcher les utilisateurs qui n’ont pas l’âge minimum requis d’accéder à TikTok. Elle a également accepté de renforcer ses communications sur la protection de la vie privée afin que les utilisateurs, surtout les plus jeunes, comprennent comment leurs données pourraient être utilisées, notamment à des fins de publicité ciblée et de personnalisation du contenu. De plus, TikTok Pte. Ltd. a accepté de fournir plus d’information en français sur la protection de la vie privée.
Pour en savoir davantage
L’Agence mondiale antidopage accepte de prendre des mesures pour limiter l’utilisation des renseignements personnels sensibles des athlètes
L’Agence mondiale antidopage (AMA) s’est engagée à mettre en œuvre des mesures visant à faire en sorte que les fédérations sportives internationales et autres organisations antidopage n’utilisent pas les renseignements personnels très sensibles recueillis auprès des athlètes à des fins autres que celles liées à la lutte contre le dopage.
L’AMA a pris cet engagement à la suite d’une enquête menée par le Commissaire Dufresne relativement à une plainte selon laquelle certains renseignements personnels communiqués par l’AMA à des fédérations sportives internationales auraient été utilisés pour évaluer l’admissibilité des athlètes en fonction de leur sexe à leur insu ou sans leur consentement.
Dans le cadre d’un accord de conformité conclu avec le Commissariat en mars 2026, l’AMA s’est engagée à mettre en œuvre plusieurs mesures correctives. Elle doit notamment informer les organisations antidopage qu’elles ne peuvent utiliser les renseignements personnels sur les athlètes qui se trouvent dans la base de données de l’AMA que dans le cadre d’activités antidopage et mettre à jour les accords existants conclus avec les fédérations afin qu’ils tiennent compte de cette directive.
Pour en savoir davantage
L’enquête sur Bureau en gros rappelle aux entreprises qu’elles doivent effacer toutes les données personnelles des appareils électroniques retournés
Une enquête sur Bureau en gros Canada, terminée en janvier 2026, a révélé que l’entreprise n’avait pas effacé tous les renseignements personnels d’utilisateurs stockés sur les ordinateurs portables retournés qu’elle a ensuite remis en vente.
Les conclusions de l’enquête étaient comparables à celles d’une vérification auprès de Bureau en gros menée en 2011 par le Commissariat. À ce moment, l’entreprise s’était engagée à améliorer ses pratiques, notamment en testant divers moyens d’effacer les données. Toutefois, la plus récente enquête a révélé que certains des mêmes problèmes persistent 15 ans plus tard.
La plus récente enquête a révélé un certain nombre de lacunes dans les politiques, procédures et formations internes de Bureau en gros, qui ont fait en sorte que les renseignements personnels stockés sur les ordinateurs portables retournés n’étaient pas protégés adéquatement.
Le Commissariat a recommandé à Bureau en gros de mettre au point des procédures et des normes claires pour le nettoyage des appareils conformément aux directives des fabricants en matière de réinitialisation et de nettoyage des données. Il a également recommandé à Bureau en gros d’améliorer son programme de formation destiné aux employés et de faire appel à un tiers indépendant pour effectuer une vérification ponctuelle des appareils retournés.
Bureau en gros s’est engagée à mettre en œuvre les recommandations du Commissariat.
Pour en savoir davantage
Les outils automatisés de téléchargement de données doivent être associés à des mécanismes de renvoi aux échelons supérieurs pour répondre aux demandes d’accès aux renseignements personnels
Le Commissariat a constaté une tendance selon laquelle des entreprises se tournent vers des outils automatisés de téléchargement de données pour répondre aux demandes d’accès aux renseignements personnels.
Ces outils sont offerts sur un éventail de plateformes en ligne, comme les médias sociaux et les applications de rencontre. Ils permettent aux utilisateurs de télécharger en un seul clic leurs renseignements personnels détenus par une entreprise.
Un certain nombre d’individus se sont plaints au Commissariat du fait que les outils automatisés ne leur donnent pas accès à tous les renseignements que les entreprises ont recueillis à leur sujet. De plus, les individus ont eu de la difficulté à obtenir une réponse satisfaisante de la part des entreprises sur la façon d’accéder aux renseignements manquants ou sur la raison pour laquelle certains éléments étaient manquants.
Il est raisonnable que les entreprises utilisent des outils automatisés de téléchargement de données dans le cadre de leur processus de réponse aux demandes de renseignements. Toutefois, elles doivent fournir des précisions sur la façon de transmettre une demande d’accès à un échelon supérieur lorsque les résultats fournis par l’outil automatisé ne sont pas satisfaisants.
Les entreprises devraient également fournir à leurs employés des modèles de réponses et des formations à jour afin que ceux qui répondent aux questions des individus insatisfaits des résultats fournis par l’outil automatisé puissent les rediriger comme il se doit au bureau de la protection des renseignements personnels de l’entreprise.
Une plateforme de services numériques intègre des outils pour permettre aux professionnels de la santé et du bien-être de mieux gérer le cycle de vie des renseignements personnels
Le Commissariat a reçu une plainte d’un individu contre l’application Jane, qui offre aux professionnels de la santé et du bien-être des services d’infonuagique, de clavardage et de prise de rendez-vous.
La partie plaignante a indiqué que l’application ne lui donnait pas la possibilité de supprimer ou de désactiver son profil d’utilisateur auprès d’un professionnel avec qui elle ne faisait plus affaire, ce qui faisait en sorte que ses renseignements personnels, y compris son numéro de carte de crédit, restaient inutilement disponibles en ligne. Au départ, l’équipe de l’application a invité la partie plaignante à présenter des demandes distinctes auprès de chaque professionnel de la santé, invoquant de possibles exigences légales relatives à la conservation des renseignements sur la santé. Toutefois, la LPRPDE permet à une personne de retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable.
À la suite de discussions préliminaires avec le Commissariat, l’entreprise exploitant l’application Jane a pris des mesures proactives pour régler la situation. Elle a commencé à répondre directement aux demandes de suppression des renseignements de cartes de crédit et a intégré à l’application un mécanisme permettant aux individus de demander la suppression de leurs comptes. Les demandes sont maintenant automatiquement acheminées aux professionnels concernés afin qu’ils prennent les mesures nécessaires, et l’équipe de Jane assure un suivi sur demande lorsque c’est nécessaire. De plus, l’entreprise met en place des mesures de protection pour les comptes inactifs et offre des fonctions de production de rapports améliorées pour aider les professionnels de la santé à gérer le retrait des dossiers conformément à leurs exigences de conservation.
Compte tenu de la mise en œuvre de ces mesures, le Commissariat considère que la plainte est résolue.
Il était inapproprié de faire du consentement à la publication de photos d’enfants une condition de service
Un individu a déposé une plainte auprès du Commissariat contre une école privée de natation qui exigeait que les parents ou les tuteurs souhaitant inscrire leur enfant à des cours de natation signent un formulaire d’autorisation qui permettait à l’école de prendre des photos et des vidéos de leur enfant et de les publier en ligne.
L’enquête a permis de conclure que cette condition de service était inappropriée et que les parents devraient pouvoir choisir librement s’ils autorisent ou non l’établissement à prendre des photos de leur enfant. L’école de natation avait soutenu que le fait de devoir faire le suivi des personnes qui avaient donné leur consentement ou non représenterait un fardeau qui nuirait à ses opérations, et que la collecte et la publication des images constituaient un besoin opérationnel raisonnable pour montrer aux clients potentiels à quoi s’attendre des leçons de natation.
Selon la LPRPDE, une organisation ne peut pas exiger d’un individu qu’il autorise la collecte, l’utilisation ou la communication de renseignements personnels autres que ceux qui sont nécessaires pour réaliser les « fins légitimes et explicitement indiquées ». Le Commissariat a conclu que la collecte de photos et de vidéos d’enfants dans ce contexte n’était pas nécessaire pour fournir les leçons de natation. Le Commissariat a également indiqué que les renseignements personnels en question – des images d’enfants en maillot de bain – étaient de nature sensible. Par conséquent, conformément à l’orientation du Commissariat en matière de consentement, il a été recommandé que l’école demande un consentement positif en ce qui a trait à la collecte et à la publication d’images d’enfants en ligne. À la suite de cette recommandation, l’établissement a modifié son processus d’inscription, ce qui a permis de résoudre la plainte.
Pour en savoir davantage
Une enquête sur Loblaw mène à l’amélioration des procédures pour répondre aux préoccupations en matière de protection de la vie privée
En mars 2026, le Commissariat a présenté les conclusions de son enquête sur le programme de fidélité PC Optimum de Loblaw. Plusieurs parties plaignantes ont soutenu que l’entreprise n’avait pas supprimé leur compte PC Optimum après que celles-ci en avaient fait la demande, ou qu’elle n’avait pas donné suite à leurs demandes de suppression.
L’enquête a révélé que, bien que Loblaw ait mis en place des mécanismes permettant aux clients de demander la suppression de leur compte ou de soulever des préoccupations en matière de protection de la vie privée, le traitement des demandes prenait un temps déraisonnable. De plus, l’entreprise n’avait pas donné suite à certaines demandes de renseignements liées à la protection de la vie privée.
L’enquête a également révélé que Loblaw conservait l’historique des achats des membres du programme PC Optimum après la suppression de leur compte et que le retrait d’identifiants personnels, comme le nom et l’adresse courriel, était une mesure insuffisante pour limiter le risque de réidentification des individus.
Au cours de l’enquête, Loblaw a pris des mesures afin qu’à l’avenir, les demandes de renseignements liées à la protection de la vie privée des individus soient traitées dans les meilleurs délais. L’entreprise a également accepté de mettre en œuvre la recommandation du Commissaire qui vise à s’assurer que le processus de dépersonnalisation de l’entreprise soit revu par un tiers indépendant et que toute mesure nécessaire pour atténuer les risques soit mise en œuvre.
Pour en savoir davantage
Bell s’engage à modifier ses pratiques afin de donner un accès approprié aux renseignements des comptes partagés
Une enquête sur une plainte contre Bell Canada a mis au jour des problèmes liés à l’accès aux renseignements personnels dans le cas de comptes partagés, particulièrement à la suite de la dissolution d’une relation.
Dans cette affaire, la partie plaignante et son ex-partenaire avaient précédemment partagé un compte pour leur téléphone cellulaire respectif. L’ex-partenaire était titulaire du compte tandis que la partie plaignante était un utilisateur autorisé.
Après la dissolution de la relation, et avec l’accord de la partie plaignante, l’ex-partenaire lui a retiré son statut d’utilisateur autorisé du compte.
La partie plaignante a ensuite présenté à Bell une demande d’accès aux registres des appels et des messages textes de sa ligne téléphonique pour la période durant laquelle elle était un utilisateur autorisé du compte. Bell a refusé de fournir le registre demandé sans le consentement écrit du titulaire du compte, indiquant qu’elle considérait que ces données étaient des renseignements personnels appartenant uniquement au titulaire du compte.
L’enquête a révélé que Bell avait contrevenu à l’article 4.9 du neuvième principe figurant dans la LPRPDE en refusant à la partie plaignante l’accès à ses renseignements personnels, et au paragraphe 8(3) de cette même loi en prenant plus de 30 jours pour répondre à la demande.
Les registres liés au numéro de téléphone de la partie plaignante constituaient des renseignements personnels qui la concernent, puisque celle-ci était propriétaire et utilisateur autorisé de la ligne téléphonique. Bien que ces renseignements aient aussi pu constituer des renseignements personnels de l’ex-partenaire en sa qualité de titulaire du compte, les intérêts en matière de protection de la vie privée de la partie plaignante étaient plus grands.
Le Commissariat a formulé plusieurs recommandations, que Bell a accepté de mettre en œuvre afin d’améliorer ses procédures internes et ses communications publiques.
Pour en savoir davantage
Atteintes à la vie privée
Introduction
En 2025-2026, le Commissariat a reçu 451 signalements d’atteintes à la vie privée de la part d’institutions fédérales ayant touché 48 159 Canadiennes et Canadiens et 696 signalements d’atteintes transmis par les entreprises ayant touché 20 328 495 Canadiennes et Canadiens. Le Commissariat a reçu un total de 1 147 signalements d’atteintes. Dans l’ensemble, le nombre d’atteintes a été légèrement inférieur à celui enregistré à l’exercice précédent, au cours duquel 1 301 atteintes avaient été signalées au Commissariat tant par des entreprises que par des institutions fédérales. Toutefois, le nombre total de comptes canadiens touchés en 2025-2026 a légèrement augmenté, passant de 20 087 391 en 2024-2025 à 20 376 654 en 2025-2026.
Parmi les signalements transmis au Commissariat, 94 % des atteintes sous le régime de la LPRP et 58 % des atteintes sous le régime de la LPRPDE ont été évaluées comme étant susceptibles de causer un risque réel de préjudice grave.
En ce qui concerne les institutions fédérales, le traitement inadéquat des renseignements (par exemple des erreurs dans la saisie des données ou l’étiquetage ou encore des correspondances mal acheminées) a été à l’origine de 368 atteintes signalées au titre de la LPRP, ce qui représente le type d’atteintes le plus courant sous le régime de cette loi au cours des trois derniers exercices. Viennent ensuite les cyberincidents (39), le furetage des employés (22) et les vulnérabilités en matière de sécurité (19).
Le plus grand nombre d’atteintes signalées dans le secteur public (69 %) provenaient d’Emploi et Développement social Canada, la plupart étant attribuables à la perte de passeports (86 %). Viennent ensuite au deuxième rang les atteintes signalées par l’Agence du revenu du Canada (ARC). Celles-ci représentaient 11 % des signalements transmis au Commissariat et ont fait l’objet d’une enquête terminée en mai 2026. Elles portaient notamment sur l’utilisation non autorisée de renseignements sur les contribuables par un tiers.
Les accès non autorisés constituent 78 % des atteintes signalées au Commissariat par des entreprises sous le régime de la LPRPDE en 2025-2026. Plus des deux tiers de ces atteintes (68 %) découlaient d’un incident de cybersécurité. Les attaques par piratage psychologique (13 %) et l’utilisation abusive par les employés de leurs droits d’accès (8 %) ont été les deux autres causes les plus courantes d’accès non autorisé.
Comme par les années passées, le secteur des services financiers a été à l’origine du plus grand nombre de signalements d’atteinte (24 %). Les autres secteurs qui ont connu un nombre élevé d’atteintes liées à un accès non autorisé sont ceux des télécommunications (15 %); des services (8 %), par exemple les agences de recouvrement et d’évaluation du crédit, les établissements et services d’enseignement, les services d’enquête et de sécurité, les services immobiliers, et les autres services (agences de placement, agences de voyages, entreprises de réparation); et de la vente et du détail (8 %).
Les atteintes en chiffres
| Institution | Nombre |
|---|---|
| Emploi et Développement social Canada | 311 |
| Agence du revenu du Canada | 48 |
| Immigration, Réfugiés et Citoyenneté Canada | 27 |
| Affaires mondiales Canada | 12 |
| Gendarmerie royale du Canada | 11 |
| Secteur | Nombre |
|---|---|
| Finances | 172 |
| Télécommunications | 91 |
| Assurances | 62 |
| Services | 53 |
| Ventes et détail | 52 |
Intervention en cas d’atteinte
Dans le cadre de sa transformation, le Commissariat s’est efforcé de traiter plus rapidement les atteintes présentant un risque élevé, d’atténuer les risques pour les individus et, dans la mesure du possible, de résoudre les incidents sans avoir à mener d’enquêtes officielles complètes, lesquelles peuvent s’avérer longues et coûteuses pour le Commissariat, pour l’organisation touchée et possiblement pour les parties plaignantes.
Il veut ainsi faire en sorte que la nature et l’étendue d’une atteinte soient établies rapidement et que les mesures appropriées soient prises pour y remédier.
Lorsqu’une organisation s’engage à mettre en œuvre certaines mesures pour assurer la protection adéquate de la vie privée dans des délais précis jugés acceptables par le Commissaire, le Commissariat peut conclure une entente de conformité avec l’organisation. Les engagements qui y sont pris font alors l’objet d’une surveillance continue par le Commissariat, et ce, jusqu’à ce que le Commissaire soit convaincu qu’ils ont tous été tenus.
Voici un aperçu de certaines des initiatives de consultation menées par le Commissariat en 2025-2026 à la suite d’atteintes à la vie privée.
PowerSchool s’engage à renforcer ses mesures de sécurité après une cyberattaque ayant touché des millions de personnes
À la suite d’une cyberattaque qui a touché des millions d’élèves, de parents et d’éducateurs au Canada, l’entreprise de logiciels de technologies éducatives PowerSchool a collaboré avec le Commissariat et s’est engagée à prendre des dispositions pour renforcer adéquatement ses mesures de sécurité.
Dans le contexte de cette atteinte, un pirate informatique a obtenu des données concernant des élèves et des éducateurs actuels et anciens ainsi que des parents dans plusieurs provinces et territoires. Les données compromises incluaient notamment des noms, des coordonnées, des dates de naissance et, dans certains cas, des renseignements médicaux et des numéros d’assurance sociale.
Peu de temps après avoir pris connaissance de l’atteinte, le Commissariat a communiqué avec l’organisation afin de veiller à ce qu’elle prenne les mesures appropriées pour réagir à l’incident, y compris limiter les répercussions de l’atteinte et aviser les individus et les organisations touchés. En juillet 2025, à la suite d’échanges avec le Commissariat, PowerSchool s’est engagée à prendre des mesures supplémentaires pour renforcer ses contrôles de sécurité. Elle a notamment indiqué qu’elle allait améliorer ses outils de surveillance et de détection et faire appel à une entreprise externe d’évaluation de la sécurité accréditée et indépendante qui évaluera l’efficacité des nouvelles mesures de sécurité mises en œuvre pour protéger les renseignements. Le Commissariat continuera de faire des suivis auprès de PowerSchool jusqu’à ce que le Commissaire soit convaincu que l’entreprise a respecté les engagements pris à la suite de l’atteinte.
Pour en savoir davantage
Nova Scotia Power signe une lettre de conformité sur le renforcement de ses mesures de protection de la vie privée après une atteinte à la sécurité des données
En mai 2025, Nova Scotia Power a avisé le Commissariat que ses systèmes avaient été touchés par une atteinte à la sécurité des données.
Le Commissariat a également reçu de nombreuses plaintes et demandes de renseignements de la part de clients de Nova Scotia Power au sujet de l’atteinte, ce qui a incité le Commissaire Dufresne à ouvrir une enquête.
Nova Scotia Power a déterminé qu’environ 375 000 clients actuels et 540 000 anciens clients ont été touchés par l’atteinte. Parmi les renseignements personnels compromis figuraient des noms, des numéros de téléphone, des adresses courriel et postales, des dates de naissance, des numéros de permis de conduire et des numéros d’assurance sociale de même que l’historique des comptes (données sur les paiements et la facturation, historique de crédit et numéros de comptes bancaires).
Nova Scotia Power a pris des mesures pour réduire les répercussions de l’atteinte et atténuer les risques futurs, notamment en repérant les comptes compromis et en réinitialisant les identifiants de ceux-ci et en améliorant ses mesures de sécurité. L’entreprise a informé les individus touchés et a proposé des services de surveillance du crédit et de protection de l’identité.
En mars 2026, Nova Scotia Power a signé une lettre de conformité dans laquelle elle s’engage à prendre des mesures supplémentaires pour atténuer adéquatement les risques pour les renseignements personnels des clients. L’enquête du Commissaire demeurera ouverte jusqu’à ce qu’il soit convaincu que Nova Scotia Power a respecté tous ses engagements.
Pour en savoir davantage
Voici un aperçu de certaines des enquêtes liées à des atteintes fermées par le Commissariat en 2025-2026 :
Loi sur la protection des renseignements personnels
Le Commissariat conclut son enquête sur une cyberattaque ayant touché les données des employés d’Affaires mondiales Canada
Le Commissariat a enquêté sur une atteinte à la sécurité des données survenue à Affaires mondiales Canada (AMC) et découlant d’une cyberattaque d’un réseau interne. Un auteur de menace a exploité des appareils utilisés par AMC et a réussi à accéder au réseau du Ministère, ce qui lui a permis d’intercepter le trafic du réseau privé virtuel (RPV) et d’exfiltrer les renseignements personnels d’employés.
Au cours de l’enquête, le Commissariat a appris que Services partagés Canada (SPC) et le Centre canadien pour la cybersécurité jouaient des rôles distincts dans le contexte de cette atteinte. SPC administre et gère l’infrastructure du RPV d’AMC, ce qui comprenait dans cette affaire les dispositifs compromis, et est généralement responsable de veiller au bon fonctionnement du RPV. Le Centre canadien pour la cybersécurité participe aux activités de surveillance et de détection visant l’infrastructure du gouvernement du Canada et, dans le cadre de cet incident, a été le premier à remarquer l’activité suspecte sur le réseau d’AMC.
Le Commissariat a examiné les renseignements fournis par les trois parties relativement aux dispositifs et aux protocoles du RPV qui étaient utilisés au moment de l’attaque, ainsi que les capacités de surveillance et de détection employées par AMC. Notre évaluation a permis d’établir qu’il y avait des lacunes à cet égard. L’enquête a révélé qu’une fois l’atteinte confirmée, AMC a immédiatement pris des mesures et a réussi à la contenir, à rectifier la situation et à atténuer ses répercussions. Le Ministère a aussi pris plusieurs autres mesures pour atténuer le risque que d’autres atteintes se produisent, et il a apporté des améliorations concrètes et pris des engagements pour améliorer sa situation en matière de sécurité et ainsi mieux protéger les renseignements personnels qui relèvent de lui à l’avenir. Cela dit, le Commissariat était aussi d’avis que des structures ou des processus de communication plus clairement définis entre les institutions auraient probablement permis de détecter l’atteinte plus rapidement.
Le Commissariat a donc recommandé à AMC de mettre en place une entente écrite avec SPC et d’autres partenaires, le cas échéant, afin de préciser les pouvoirs décisionnels ainsi que les rôles et responsabilités, de définir le processus d’échange des renseignements, et de cerner les mécanismes d’atténuation et de résolution des problèmes. Le Commissariat a également recommandé au Ministère, lorsque celui-ci fera rapport sur la mise en œuvre de la recommandation mentionnée ci-dessus, de faire le point sur les autres améliorations apportées à la cybersécurité ainsi que sur les mesures de modernisation prises à la suite de l’atteinte. AMC a accepté les deux recommandations.
Des atteintes à la sécurité des données à l’Agence des services frontaliers du Canada soulignent l’importance des mesures contre la communication interne excessive par inadvertance de renseignements des employés
Dans deux cas distincts d’atteintes survenues à l’ASFC qui ont fait l’objet d’une enquête par le Commissariat, des renseignements personnels concernant des employés ont été communiqués accidentellement.
Dans le premier cas, les renseignements personnels de plus de 18 000 employés de l’ASFC ont été communiqués à 70 employés de l’organisation lorsqu’ils ont été inclus par inadvertance dans une feuille de calcul visant à faciliter l’établissement des horaires de travail du groupe.
L’enquête interne que l’ASFC a menée sur l’incident a permis de découvrir que quatre incidents similaires s’étaient déjà produits. En réponse à ces derniers, l’ASFC a veillé à réduire le risque de préjudice pour les employés touchés et à mettre en œuvre de nouvelles procédures ainsi qu’une surveillance plus étroite pour traiter les causes sous-jacentes des incidents. Le Commissariat estime que ces mesures permettront d’éviter que de telles situations se reproduisent à l’avenir.
Dans le cas de la deuxième atteinte sur laquelle le Commissariat a fait enquête, des renseignements sensibles, dont la demande de mesures d’adaptation d’une personne travaillant à l’ASFC, ont accidentellement été rendus accessibles à d’autres employés en raison d’une mauvaise configuration des autorisations relatives à un dossier du système de gestion de l’information de l’ASFC. Cette erreur a fait en sorte que des titres de documents contenant des renseignements personnels ont été révélés.
L’ASFC a corrigé les autorisations en question et s’est engagée à effectuer un examen plus large des autorisations relatives aux dossiers. Elle a également pris des mesures pour mieux faire connaître les conventions d’appellation des documents auprès de ses employés. Toutefois, elle n’a pas voulu s’engager à rendre obligatoire la formation sur la gestion des autorisations et à en faire le suivi, comme le Commissariat l’avait recommandé.
Pour en savoir davantage
- Communication non autorisée de renseignements personnels des employés de l’Agence des services frontaliers du Canada extraits du portail du Système administratif d’entreprise
- Communication non autorisée de renseignements personnels des employés dans le système de gestion de l’information de l’ASFC
L’incident survenu à BGRS souligne l’importance d’avoir des mesures de contrôle de la sécurité uniformes pour tous les éléments d’actifs informationnels
Le Commissariat a ouvert des enquêtes en vertu de la LPRP et de la LPRPDE après avoir reçu un signalement d’atteintes à la vie privée conjoint de Services globaux de relogement Brookfield (BGRS), une entreprise de gestion de réinstallation, et de Sirva Canada LP, une entreprise de transport de biens ménagers, toutes deux affiliées à la même société mère, Sirva Worldwide Inc. Le rapport indiquait qu’une atteinte aux systèmes des deux entreprises avait compromis les renseignements personnels de fonctionnaires anciens et actuels qui avaient eu recours aux services de réinstallation depuis 1999.
Parmi les renseignements personnels compromis se trouvaient un large éventail de renseignements biographiques, des documents d’identité ainsi que des numéros d’assurance sociale. Dans certains cas, des renseignements médicaux personnels et des données financières, comme de l’information sur les comptes bancaires et des numéros de carte de crédit, ont également été compromis, exposant les individus à divers préjudices potentiels. Les enquêtes ont permis de conclure que l’atteinte avait touché environ 27 000 individus au Canada.
L’enquête menée au titre de la LPRPDE visait à établir si Sirva avait mis en œuvre des mesures appropriées pour protéger adéquatement les renseignements personnels qui relevaient d’elle et si l’entreprise veillait à conserver les renseignements personnels uniquement pour la durée nécessaire.
L’enquête a révélé que Sirva n’avait pas mis en place certaines mesures de protection techniques et organisationnelles nécessaires ni les procédures requises pour s’assurer qu’elle ne conservait pas les renseignements personnels des individus au Canada plus longtemps que nécessaire.
L’enquête menée au titre de la LPRP visait à établir si Services publics et Approvisionnement Canada (SPAC) et le SCT, compte tenu de leur rôle dans la gestion des contrats avec BGRS et Sirva, avaient mis en place des mesures de protection contractuelles appropriées et surveillaient adéquatement le respect par les entrepreneurs de leurs obligations contractuelles concernant la protection des renseignements personnels des employés qui avaient recours aux services de réinstallation.
Bien que l’enquête ait révélé que les institutions avaient prévu dans les contrats des exigences de sécurité et des mesures de protection normalisées, le Commissariat a constaté qu’il n’y avait pas suffisamment de surveillance proactive exercée pour veiller au respect par BGRS et Sirva des clauses des contrats. En ce qui concerne la conservation et le retrait de documents, l’enquête a révélé que cet élément de la plainte n’était pas fondé.
Bien que Sirva, SPAC et le SCT aient amélioré leurs pratiques, le Commissariat a formulé des recommandations visant à combler les lacunes relevées dans le cadre des enquêtes, et les parties les ont acceptées. Le Commissariat a entre autres recommandé que Sirva apporte des changements techniques en vue d’assurer une protection adéquate de toutes les données, qu’elle élabore des politiques et des guides pratiques pour aider le personnel de sécurité à gérer les atteintes à la vie privée tout au long de leur cycle de vie, et qu’elle applique ses politiques de conservation à tous les renseignements personnels stockés sur ses systèmes et qu’elle veille au respect de ces politiques. En ce qui concerne SPAC, le Commissariat a recommandé que le Ministère s’assure que les mises à jour apportées au contrat avec BGRS figurent également dans le contrat mis à jour avec Sirva, et que SPAC et le SCT demandent tous deux aux entrepreneurs de réaliser des évaluations techniques et que celles-ci soient par la suite effectuées chaque année.
Loi sur la protection des renseignements personnels et les documents électroniques
Une atteinte survenue chez 23andMe sert de mise en garde pour toutes les organisations
En juin 2025, le Commissaire Dufresne et le Commissaire à l’information du Royaume-Uni, John Edwards, ont annoncé les conclusions de leur enquête conjointe sur 23andMe, une entreprise qui vend des services de dépistage génétique directement aux consommateurs de partout dans le monde. L’enquête faisait suite à une attaque par bourrage d’identifiants qui a touché près de 7 millions de clients dans le monde entier, dont près de 320 000 Canadiennes et Canadiens.
Les renseignements personnels contenus dans les comptes des clients et auxquels le pirate informatique a eu accès comprenaient des renseignements très sensibles sur la santé, la race et l’origine ethnique, ainsi que des renseignements au sujet de membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre. Une grande partie de ces renseignements provenait de l’ADN des individus.
L’enquête a révélé que 23andMe n’avait pas mis en œuvre des mesures de sécurité appropriées pour protéger les données personnelles très sensibles contre tout accès non autorisé et n’avait pas mis en place des systèmes efficaces pour surveiller les cybermenaces ciblant les renseignements sensibles de ses clients, les détecter ou y réagir.
L’enquête a mis en lumière la nécessité pour toutes les organisations de veiller à prendre des mesures proactives pour se protéger contre les cyberattaques, notamment l’authentification multifacteur, des exigences minimales rigoureuses relatives aux mots de passe, des vérifications des mots de passe compromis et une surveillance adéquate pour détecter toute activité anormale.
Pour en savoir davantage
Un incident de cybersécurité survenu chez Ticketmaster Canada rappelle l’importance de la gestion des identifiants
En 2024, le Commissariat a lancé une enquête sur Ticketmaster Canada Holdings ULC après avoir reçu une plainte d’un individu qui affirmait que l’entreprise n’avait pas mis en place des mesures adéquates pour protéger ses renseignements personnels, ce qui avait permis à un tiers non autorisé d’y accéder.
Bien que Ticketmaster Canada avait mis en place certaines mesures de protection, l’enquête, qui s’est terminée en mars 2026, a révélé plusieurs lacunes qui ont permis à un auteur de menace d’obtenir les identifiants d’un compte de service pour accéder à des renseignements personnels relevant de l’organisation.
Les renseignements personnels compromis comprenaient des noms et des coordonnées ainsi que, dans certains cas, des dates de naissance et des numéros de passeport. Parmi les principales lacunes relevées, on compte le partage d’identifiants de compte avec plus d’individus que nécessaire et des mesures de surveillance et de détection insuffisantes.
Le Commissariat a recommandé que Ticketmaster Canada prenne des mesures pour mieux protéger les renseignements personnels qui relèvent d’elle, par exemple, en mettant en œuvre des mesures plus rigoureuses pour protéger les identifiants. Il a également recommandé à l’entreprise de moderniser ses processus liés aux avis en cas d’atteinte.
Après avoir reçu les recommandations du Commissariat, Ticketmaster Canada a démontré qu’elle avait pris un certain nombre de mesures pour améliorer sa situation en matière de sécurité, notamment en améliorant la surveillance des menaces suspectes connues et en mettant en œuvre des mesures et des politiques plus rigoureuses pour protéger les identifiants. L’entreprise a également démontré qu’elle dispose de politiques qui sont conformes aux exigences prévues dans la LPRPDE pour réagir en temps opportun aux atteintes et a indiqué qu’elle avait déployé des efforts pour respecter ses obligations en matière d’avis dans ce dossier. Le Commissariat a finalement conclu que les questions relatives aux mesures de protection et aux avis en cas d’atteinte étaient résolues.
Devant les tribunaux
En 2025-2026, le Commissariat a été partie à plusieurs litiges.
Commissaire à la protection de la vie privée du Canada c. 9219-1568 Québec Inc. et al. (T-702-25)
En 2024, une enquête du Commissariat a révélé qu’Aylo (anciennement MindGeek), qui exploite nombre des sites Web pornographiques les plus populaires du monde, dont Pornhub et Youporn, a enfreint la LPRPDE en ne déployant pas les efforts raisonnables pour s’assurer d’obtenir un consentement éclairé de la part de chaque personne qui figure dans le contenu intime téléversé sur ses sites.
Le 27 février 2025, le Commissariat a déposé auprès de la Cour fédérale, conformément à l’article 15 de la LPRPDE, un avis de demande (dossier T-702-25) en vue d’obtenir une ordonnance enjoignant à Aylo de mettre en œuvre des mesures claires et précises pour s’assurer qu’un consentement éclairé est obtenu directement de tous les individus qui apparaissent dans les images et vidéos intimes téléversées sur ses sites Web.
Bien qu’Aylo ait modifié certaines de ses pratiques en matière de protection des renseignements personnels et certains de ses mécanismes de vérification du consentement pendant et après l’enquête du Commissariat, la demande indique que les pratiques de l’entreprise ne garantissent toujours pas l’obtention d’un consentement éclairé de la part de toutes les personnes apparaissant dans les vidéos.
La Cour fédérale a le pouvoir, entre autres, de rendre des ordonnances exécutoires exigeant qu’une organisation revoie ou modifie ses pratiques et qu’elle se conforme à la loi.
En mai 2025, le Commissariat a signifié sa preuve par affidavit à Aylo.
En septembre 2025, Aylo a signifié sa preuve par affidavit au Commissariat.
En octobre 2025, la Clinique d’intérêt public et de politique d’Internet du Canada et le Fonds d’action et d’éducation juridiques pour les femmes ont obtenu l’autorisation d’intervenir dans l’instance.
Commissaire à la protection de la vie privée du Canada c. Facebook, Inc. (A-129-23 et CSC 41538)
En 2019, une enquête sur Facebook menée par le Commissariat a révélé que Facebook contrevenait à la LPRPDE en omettant, d’une part, d’obtenir un consentement éclairé des utilisateurs pour communiquer leurs renseignements personnels et, d’autre part, de protéger ces renseignements.
En 2020, le Commissariat a déposé auprès de la Cour fédérale un avis de demande en vertu de l’article 15 de la LPRPDE en vue d’obtenir une ordonnance enjoignant à Facebook de se conformer à la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
En 2023, la Cour fédérale a rejeté la demande du Commissariat. Le Commissariat a porté en appel la décision devant la Cour d’appel fédérale (A-129-23).
En septembre 2024, la Cour d’appel fédérale a accueilli l’appel du Commissariat avec dépens et a déclaré que les pratiques de protection des renseignements personnels de Facebook entre 2013 et 2015 avaient contrevenu à la LPRPDE. La Cour d’appel fédérale a demandé au Commissariat et à Facebook de l’aviser, dans un délai de 90 jours, s’ils avaient conclu une entente sur les modalités de l’ordonnance réparatoire, à défaut de quoi la Cour donnerait des directives supplémentaires.
En novembre 2024, Facebook a demandé l’autorisation de porter cette décision en appel devant la Cour suprême du Canada (CSC 41538). La Cour suprême du Canada a entendu l’affaire le 19 mars 2026 et elle n’a pas encore rendu de jugement.
Association canadienne des libertés civiles c. Canada (Procureur général), 2026 ONSC 783 (CV-14-504139-00)
L’Association canadienne des libertés civiles (ACLC) a contesté la constitutionnalité de l’alinéa 7(3)c.1) et des paragraphes 9(2,1) à 9(2,4) de la LPRPDE, en affirmant qu’ils contreviennent à l’alinéa 2b) et aux articles 7 et 8 de la Charte canadienne des droits et libertés. L’ACLC a soutenu que ces dispositions permettent la communication de renseignements personnels à des institutions fédérales sans surveillance, responsabilité et mesures de sécurité adéquates. En guise de réparation, l’ACLC a demandé entre autres à la Cour de rendre un jugement déclaratoire visant à supprimer ces dispositions de la LPRPDE afin qu’elles ne soient plus en vigueur.
Le Commissariat a obtenu le statut d’intervenant dans le cadre de cette procédure afin de pouvoir expliquer son rôle de surveillance et son expérience en matière d’application des dispositions en cause. Le Commissariat a signifié et déposé son mémoire en octobre 2025. En décembre 2025, l’affaire a été entendue dans le cadre d’une audience de trois jours à la Cour supérieure de justice de l’Ontario, à Toronto, où les conseillers juridiques du Commissariat ont présenté des observations de vive voix.
Le 10 février 2026, la Cour a rejeté la demande de l’ACLC, principalement au motif qu’elle était liée par la jurisprudence établie en appel selon laquelle les dispositions de la LPRPDE en matière de communication ne mettent pas en cause l’article 8 de la Charte, car elles n’autorisent pas les fouilles, les perquisitions ou les saisies. De plus, la Cour a conclu que l’article 7 ne constitue pas un motif supplémentaire d’invalidité et que les dispositions de veto prévues aux paragraphes 9(2,1) à 9(2,4) de la LPRPDE ne contreviennent pas à l’alinéa 2b) de la Charte.
La Cour a indiqué que, si elle n’avait pas été liée par les précédents, elle serait grandement préoccupée par le fait que le manque de surveillance, de responsabilité et de transparence dans le cadre de la LPRPDE rendrait constitutionnellement suspect le processus de collecte de renseignements. L’ACLC a porté la décision en appel.
S. c. Commissaire à la protection de la vie privée du Canada (T-2142-24)
Le Commissariat a été désigné comme défendeur dans cette demande de contrôle judiciaire qui conteste la décision du Commissariat selon laquelle ce dernier n’avait pas l’autorité nécessaire pour faire enquête sur une plainte concernant l’accès à des renseignements relatifs à l’emploi détenus par une organisation de compétence provinciale. Aucune décision n’a été rendue pour l’instant.
Annexes
Annexe 1 : Définitions
Types de plaintes
Accès
À la suite d’une demande officielle d’accès à l’information, l’institution ou l’organisation aurait refusé à une ou à plusieurs personnes l’accès aux renseignements personnels qu’elle détient à leur sujet.
Avis de prorogation
Sous le régime de la Loi sur la protection des renseignements personnels (LPRP), l’institution n’aurait pas donné une justification appropriée pour la prorogation, aurait fait la demande de prorogation après le délai initial de 30 jours ou aurait fixé l’échéance à plus de 60 jours après la date de réception de la demande.
Collecte
L’institution ou l’organisation aurait recueilli des renseignements personnels non nécessaires ou les aurait recueillis par des moyens inéquitables ou illicites.
Consentement
Sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement valable de la personne en cause ou, pour le motif qu’elle fournit un bien ou un service, a exigé que la personne consente à une collecte, à une utilisation ou à une communication déraisonnable de renseignements personnels.
Conservation (et retrait)
L’institution ou l’organisation n’aurait pas conservé des renseignements personnels selon le calendrier de conservation pertinent – les renseignements auraient été détruits trop rapidement ou conservés trop longtemps.
Correction ou annotation (accès)
L’institution ou l’organisation n’aurait pas corrigé des renseignements personnels ou, en cas de désaccord avec les corrections demandées, n’aurait pas annoté le dossier pour en faire état.
Correction ou annotation (délais)
Sous le régime de la LPRP, l’institution n’aurait pas corrigé les renseignements personnels ou n’aurait pas annoté le dossier en conséquence dans les 30 jours suivant la réception de la demande de correction.
Délais
L’institution n’aurait pas répondu à une demande dans les délais prescrits par la LPRP.
Détermination des fins de la collecte des renseignements
Sous le régime de la LPRPDE, une organisation n’a pas déterminé les fins de la collecte de renseignements personnels avant la collecte ou au moment de celle-ci.
Exactitude
L’institution ou l’organisation n’aurait pas pris toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés sont exacts, à jour et complets.
Frais
L’institution ou l’organisation aurait exigé indûment des frais pour répondre à une demande d’accès à des renseignements personnels.
Langue
En réponse à une demande présentée au titre de la LPRP, l’institution n’aurait pas fourni les renseignements personnels dans la langue officielle choisie par le demandeur.
Mesures de protection
Sous le régime de la LPRPDE, une organisation n’a pas protégé par des mesures de protection appropriées les renseignements personnels qu’elle détient.
Non-respect des principes
Sous le régime de la LPRPDE, une organisation n’a pas mis en place des procédures ou des politiques permettant à une personne de porter plainte à l’égard du non-respect de la Loi ou elle a enfreint ses propres procédures et politiques.
Répertoire
InfoSource (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur le même sujet – qu’elle possède) ne décrirait pas de façon adéquate le fonds de renseignements personnels d’une institution.
Responsabilité
Sous le régime de la LPRPDE, une organisation ne s’est pas acquittée de ses responsabilités à l’égard des renseignements personnels en sa possession ou sous sa garde ou elle n’a pas désigné une personne responsable de s’assurer qu’elle se conforme à la Loi.
Transparence
Sous le régime de la LPRPDE, une organisation n’a pas rendu facilement accessibles aux demandeurs des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
Utilisation et communication
L’institution ou l’organisation aurait utilisé ou communiqué des renseignements personnels sans le consentement de la personne concernée en cause ou les aurait utilisés ou communiqués de façon non conforme aux usages et aux communications prévus par la loi.
Décisions
Abandonnée
Sous le régime de la LPRP : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Diverses raisons peuvent entraîner l’abandon d’un dossier, mais ce ne peut être à la demande du Commissariat. Par exemple, il est possible que la partie plaignante ne veuille plus poursuivre la démarche ou que l’on ne puisse trouver ses coordonnées afin qu’elle fournisse des renseignements supplémentaires essentiels pour en arriver à une conclusion.
Sous le régime de la LPRPDE : L’enquête a pris fin sans qu’une conclusion n’ait été publiée. Le commissaire peut mettre fin à l’enquête à sa discrétion pour un motif prévu au paragraphe 12.2(1) de la LPRPDE.
Fondée
L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE.
Fondée et résolue
L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE, mais elle a par la suite pris des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.
Fondée et conditionnellement résolue
L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE. L’institution ou l’organisation s’est engagée à prendre des mesures correctives satisfaisantes approuvées par le Commissariat.
Hors du champ d’application
On a établi qu’aucune des lois fédérales sur la protection des renseignements personnels ne s’applique à l’institution ou à l’organisation ou ne régit l’objet de la plainte. Par conséquent, le Commissariat ne rend pas de conclusion.
Non fondée
L’enquête n’a pas mis au jour des éléments de preuve suffisants pour conclure que l’institution ou l’organisation a enfreint la LPRP ou la LPRPDE.
Résolue
Sous le régime de la LPRP, l’enquête a révélé que la plainte découle essentiellement d’une mauvaise communication, d’un malentendu, etc., entre les parties, et/ou l’institution s’est engagée à prendre des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.
Réglée
Le Commissariat a aidé à négocier en cours d’enquête une solution qui convient à toutes les parties en cause et n’a rendu aucune conclusion.
Règlement rapide
La situation a été corrigée à la satisfaction de la partie plaignante dès le début du processus d’enquête. Le Commissariat n’a pas rendu de conclusion.
Refus d’enquêter
Sous le régime de la LPRPDE, le commissaire a refusé d’amorcer l’examen d’une plainte, car il estime :
- que le plaignant aurait d’abord dû épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement offerts;
- que la plainte pourrait avantageusement être instruite selon d’autres procédures prévues par le droit fédéral ou provincial;
- que la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance, comme le prévoit le paragraphe 12(1) de la LPRPDE.
Retrait
Sous le régime de la LPRPDE, la partie plaignante a retiré sa plainte volontairement ou ne pouvait plus être jointe dans les faits. Le Commissariat ne rend pas de conclusion.
Annexe 2 : Tableaux statistiques
Tableaux statistiques relatifs à la LPRP
| Type de plainte | Total | Pourcentage |
|---|---|---|
| Accès | 467 | 22 % |
| Accès | 466 | 100 % |
| Correction ou annotation | 1 | 0 % |
| Protection des renseignements personnels | 253 | 12 % |
| Exactitude | 5 | 2 % |
| Collecte | 30 | 12 % |
| Conservation et retrait | 6 | 2 % |
| Utilisation et communication | 212 | 84 % |
| Délais | 1 452 | 67 % |
| Avis de prorogation | 0 | 0 % |
| Délais | 1 452 | 100 % |
| Total | 2 172 |
| Institution intimée | Total | Pourcentage |
|---|---|---|
| Administration canadienne de la sûreté du transport aérien | 3 | 0 % |
| Affaires mondiales Canada | 97 | 4 % |
| Agence canadienne d’inspection des aliments | 6 | 0 % |
| Agence d’évaluation d’impact du Canada | 1 | 0 % |
| Agence de la consommation en matière financière du Canada | 2 | 0 % |
| Agence de la santé publique du Canada | 2 | 0 % |
| Agence de promotion économique du Canada atlantique | 1 | 0 % |
| Agence des services frontaliers du Canada | 152 | 7 % |
| Agence du revenu du Canada | 99 | 5 % |
| Agence spatiale canadienne | 1 | 0 % |
| Agriculture et Agroalimentaire Canada | 12 | 1 % |
| Anciens Combattants Canada | 24 | 1 % |
| Autorité du pont Windsor-Détroit | 2 | 0 % |
| Banque de développement du Canada | 3 | 0 % |
| Banque du Canada | 2 | 0 % |
| Bibliothèque et Archives Canada | 17 | 1 % |
| Bureau du commissaire au renseignement du Canada | 1 | 0 % |
| Bureau du Conseil privé | 8 | 0 % |
| Centre d’analyse des opérations et déclarations financières du Canada | 4 | 0 % |
| Centre de la sécurité des télécommunications Canada | 11 | 1 % |
| Centre national des Arts | 2 | 0 % |
| Comité d’arbitrage de la GRC | 1 | 0 % |
| Commissariat à l’information du Canada | 3 | 0 % |
| Commissariat aux langues officielles | 1 | 0 % |
| Commission canadienne de sûreté nucléaire | 5 | 0 % |
| Commission canadienne des droits de la personne | 2 | 0 % |
| Commission civile d’examen et de traitement des plaintes relatives à la GRC | 5 | 0 % |
| Commission de l’assurance-emploi du Canada | 1 | 0 % |
| Commission de l’immigration et du statut de réfugié du Canada | 4 | 0 % |
| Commission de la fonction publique du Canada | 6 | 0 % |
| Commission des libérations conditionnelles du Canada | 3 | 0 % |
| Conseil de la radiodiffusion et des télécommunications canadiennes | 1 | 0 % |
| Conseil de recherches en sciences naturelles et en génie du Canada | 1 | 0 % |
| Conseil des arts du Canada | 4 | 0 % |
| Conseil national de recherches Canada | 1 | 0 % |
| Élections Canada / Bureau du directeur général des élections | 2 | 0 % |
| Emploi et Développement social Canada | 32 | 1 % |
| Environnement et Changement climatique Canada | 20 | 1 % |
| Exportation et développement Canada | 1 | 0 % |
| Gendarmerie royale du Canada | 292 | 13 % |
| Immigration, Réfugiés et Citoyenneté Canada | 293 | 13 % |
| Innovation, Sciences et Développement économique Canada | 14 | 1 % |
| Ministère de la Défense nationale | 111 | 5 % |
| Ministère de la Justice | 17 | 1 % |
| Musée canadien pour les droits de la personne | 1 | 0 % |
| Office de surveillance des activités en matière de sécurité nationale et de renseignement | 4 | 0 % |
| Office des transports du Canada | 2 | 0 % |
| Office national du film du Canada | 2 | 0 % |
| Ombudsman de la Défense nationale et des Forces canadiennes | 1 | 0 % |
| Parcs Canada | 2 | 0 % |
| Passeport Canada | 2 | 0 % |
| Patrimoine canadien | 5 | 0 % |
| Pêches et Océans Canada | 7 | 0 % |
| Régie de l’énergie du Canada | 1 | 0 % |
| Relations Couronne-Autochtones et Affaires du Nord Canada | 9 | 0 % |
| Ressources naturelles Canada | 5 | 0 % |
| Santé Canada | 15 | 1 % |
| Secrétariat du Conseil du Trésor du Canada | 9 | 0 % |
| Sécurité publique Canada | 8 | 0 % |
| Service Canada | 3 | 0 % |
| Service canadien d’appui aux tribunaux administratifs | 3 | 0 % |
| Service canadien du renseignement de sécurité | 468 | 22 % |
| Service correctionnel du Canada | 197 | 9 % |
| Service des poursuites pénales du Canada | 3 | 0 % |
| Services aux Autochtones Canada | 35 | 2 % |
| Services de bien-être et moral des Forces canadiennes pour les biens non publics et du Personnel des fonds non publics, Forces canadiennes | 1 | 0 % |
| Services partagés Canada | 3 | 0 % |
| Services publics et Approvisionnement Canada | 66 | 3 % |
| Société canadienne d’hypothèques et de logement | 1 | 0 % |
| Société canadienne des postes | 14 | 1 % |
| Société Radio-Canada | 8 | 0 % |
| Statistique Canada | 3 | 0 % |
| Transports Canada | 21 | 1 % |
| Tribunal des anciens combattants (révision et appel) | 2 | 0 % |
| VIA Rail Canada | 1 | 0 % |
| Total | 2 172 |
| Types de plaintes | Réglée rapidement |
Abandonnée |
Hors du champ d’application |
Non fondée |
Résolue |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée – Présomption de refus |
Fondée et résolue |
Retrait |
Total |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accès | 200 | 24 | 1 | 114 | 7 | 17 | 2 | 2 | 5 | 32 | 0 | 404 |
| Accès | 199 | 24 | 1 | 114 | 7 | 15 | 2 | 2 | 5 | 32 | 0 | 401 |
| Correction ou annotation | 1 | 0 | 0 | 0 | 0 | 2 | 0 | 0 | 0 | 0 | 0 | 3 |
| Protection des renseignements personnels | 169 | 36 | 2 | 39 | 3 | 8 | 13 | 4 | 0 | 17 | 0 | 291 |
| Exactitude | 2 | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 4 |
| Collecte | 9 | 13 | 1 | 2 | 1 | 2 | 0 | 0 | 0 | 0 | 0 | 28 |
| Conservation et retrait | 1 | 0 | 0 | 1 | 0 | 0 | 0 | 2 | 0 | 1 | 0 | 5 |
| Utilisation et communication | 157 | 23 | 1 | 35 | 2 | 6 | 13 | 2 | 0 | 15 | 0 | 254 |
| Délais | 606 | 0 | 0 | 6 | 0 | 0 | 85 | 208 | 23 | 38 | 0 | 966 |
| Avis de prorogation | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Délais | 606 | 0 | 0 | 6 | 0 | 0 | 85 | 208 | 23 | 38 | 0 | 966 |
| Total | 975 | 60 | 3 | 159 | 10 | 25 | 100 | 214 | 28 | 87 | 0 | 1 661 |
| Décision | Nombre | Délai de traitement moyen (en mois) |
|---|---|---|
| Réglée rapidement | 975 | 2 |
| Toutes les autres enquêtes | ||
| Abandonnée | 60 | 4 |
| Hors du champ d’application | 3 | 3 |
| Non fondée | 159 | 6 |
| Résolue | 10 | 6 |
| Réglée | 25 | 6 |
| Fondée | 100 | 2 |
| Fondée et conditionnellement résolue | 214 | 3 |
| Fondée – Présomption de refus | 28 | 5 |
| Fondée et résolue | 87 | 6 |
| Retrait | 0 | 0 |
| Total | 1 661 | |
| Moyenne générale pondérée | 3 | |
| Institution | Total | % | Perte | Autre | Vol | Accès non autorisé | Communication non autorisée |
|---|---|---|---|---|---|---|---|
| Affaires mondiales Canada | 12 | 3 % | 6 | - | - | 2 | 4 |
| Agence des services frontaliers du Canada | 2 | 0 % | - | - | - | - | 2 |
| Agence du revenu du Canada | 48 | 11 % | 3 | - | - | 38 | 7 |
| Agence spatiale canadienne | 1 | 0 % | - | - | - | 1 | - |
| Anciens Combattants Canada | 1 | 0 % | - | - | - | - | 1 |
| Autorité du pont Windsor-Détroit | 1 | 0 % | - | - | - | 1 | - |
| Autorité portuaire de Montréal | 1 | 0 % | - | - | - | 1 | - |
| Banque du Canada | 1 | 0 % | - | - | - | - | 1 |
| Commission de l’immigration et du statut de réfugié du Canada | 1 | 0 % | - | - | - | - | 1 |
| Commission des champs de bataille nationaux | 1 | 0 % | - | - | - | 1 | - |
| Conseil de recherches en sciences humaines du Canada | 1 | 0 % | - | - | - | - | 1 |
| Emploi et Développement social Canada | 311 | 69 % | 297 | - | 3 | 3 | 8 |
| Environnement et Changement climatique Canada | 1 | 0 % | - | - | - | - | 1 |
| Gendarmerie royale du Canada | 11 | 2 % | 7 | - | - | 2 | 2 |
| Immigration, Réfugiés et Citoyenneté Canada | 27 | 6 % | 22 | - | 4 | - | 1 |
| Innovation, Sciences et Développement économique Canada | 1 | 0 % | - | - | - | - | 1 |
| Manitoba Hydro | 1 | 0 % | - | - | - | - | 1 |
| Ministère de la Défense nationale | 7 | 2 % | - | - | - | 5 | 2 |
| Secrétariat du Conseil du Trésor du Canada | 2 | 0 % | - | - | 1 | - | 1 |
| Service canadien du renseignement de sécurité | 2 | 0 % | - | - | - | - | 2 |
| Service correctionnel du Canada | 8 | 2 % | - | - | - | 3 | 5 |
| Services aux Autochtones Canada | 1 | 0 % | - | - | - | - | 1 |
| Services publics et Approvisionnement Canada | 2 | 0 % | - | - | - | - | 2 |
| Société canadienne des postes | 3 | 1 % | - | - | - | - | 3 |
| Tribunal des anciens combattants (révision et appel) | 4 | 1 % | - | - | - | - | 4 |
| Total | 451 | 335 | 0 | 8 | 57 | 51 | |
| Nombre de comptes touchés au Canada | 48 159 | 563 | 0 | 1 204 | 28 309 | 18 083 |
Tableaux statistiques relatifs à la LPRPDE
| Type de plainte | Nombre | Proportion de l’ensemble des plaintes acceptées |
|---|---|---|
| Accès | 112 | 12 % |
| Responsabilité | 0 | 0 % |
| Exactitude | 21 | 2 % |
| Fins appropriées | 4 | 0 % |
| Non-respect des principes | 68 | 7 % |
| Collecte | 36 | 4 % |
| Consentement | 47 | 5 % |
| Correction ou annotation | 3 | 0 % |
| Frais | 2 | 0 % |
| Détermination des fins de la collecte des renseignements | 0 | 0 % |
| Transparence | 1 | 0 % |
| Conservation | 81 | 9 % |
| Mesures de protection | 78 | 8 % |
| Délais | 48 | 5 % |
| Utilisation et communication | 419 | 46 % |
| Total | 920 |
| Industrie ou secteur | Nombre | Proportion de l’ensemble des plaintes acceptées |
|---|---|---|
| Hébergement | 51 | 6 % |
| Construction | 1 | 0 % |
| Divertissement | 17 | 2 % |
| Secteur financier | 118 | 13 % |
| Aliments et boissons | 13 | 1 % |
| Gouvernement | 7 | 1 % |
| Santé | 6 | 1 % |
| Individuel | 1 | 0 % |
| Assurances | 24 | 3 % |
| Internet | 291 | 32 % |
| Secteur manufacturier | 2 | 0 % |
| Organismes sans but lucratif | 4 | 0 % |
| Non précisé | 1 | 0 % |
| Services professionnels | 66 | 7 % |
| Édition (sauf Internet) | 29 | 3 % |
| Location | 3 | 0 % |
| Ventes et détail | 63 | 7 % |
| Services | 79 | 9 % |
| Télécommunications | 32 | 3 % |
| Transport | 42 | 5 % |
| Services publics | 70 | 8 % |
| Total | 920 |
| Types de plaintes | Réglée rapidement |
Refus d’enquêter |
Fin de l’examen (article12.2) |
Hors du champ d’application |
Non fondée |
Résolue |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait |
Total |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accès | 42 | 1 | 5 | 2 | 3 | 1 | 12 | 4 | 1 | 2 | 11 | 84 |
| Responsabilité | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 2 |
| Exactitude | 7 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 2 | 10 |
| Fins appropriées | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 0 | 3 | 5 |
| Non-respect des principes | 2 | 0 | 0 | 0 | 1 | 0 | 10 | 0 | 0 | 0 | 7 | 20 |
| Collecte | 22 | 0 | 0 | 1 | 1 | 1 | 4 | 0 | 0 | 0 | 3 | 32 |
| Consentement | 19 | 1 | 3 | 0 | 1 | 1 | 5 | 0 | 2 | 1 | 9 | 42 |
| Correction ou annotation | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 2 |
| Frais | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 |
| Transparence | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 2 | 3 |
| Conservation | 23 | 0 | 2 | 4 | 1 | 1 | 12 | 0 | 0 | 1 | 9 | 53 |
| Mesures de protection | 13 | 1 | 4 | 0 | 1 | 0 | 3 | 1 | 3 | 2 | 4 | 32 |
| Délais | 41 | 0 | 0 | 1 | 3 | 0 | 0 | 1 | 0 | 3 | 0 | 49 |
| Utilisation et communication | 131 | 1 | 91 | 2 | 7 | 7 | 38 | 2 | 4 | 19 | 35 | 337 |
| Total | 302 | 4 | 105 | 10 | 18 | 11 | 87 | 9 | 10 | 28 | 88 | 672 |
| Décision | Nombre | Délai de traitement moyen (en mois) |
|---|---|---|
| Réglée rapidement | 302 | 5 |
| Autres règlements | ||
| Refus d’enquêter | 4 | 4 |
| Fin de l’examen (article 12.2) | 105 | 8 |
| Hors du champ d’application | 10 | 9 |
| Non fondée | 18 | 13 |
| Résolue | 11 | 4 |
| Réglée | 87 | 4 |
| Fondée | 9 | 22 |
| Fondée et conditionnellement résolue | 10 | 28 |
| Fondée et résolue | 28 | 20 |
| Retrait | 88 | 9 |
| Total | 672 | |
| Moyenne générale pondérée | 7 | |
| Industrie ou secteur | Total | % | Perte | Autre | Vol | Accès non autorisé | Communication non autorisée |
|---|---|---|---|---|---|---|---|
| Hébergement | 9 | 1 % | - | - | 1 | 8 | - |
| Agriculture, foresterie, chasse et pêche | 4 | 1 % | - | 1 | - | 3 | - |
| Construction | 6 | 1 % | - | - | - | 6 | - |
| Divertissement | 5 | 1 % | - | 1 | - | 2 | 2 |
| Secteur financier | 172 | 25 % | 6 | 2 | 5 | 128 | 31 |
| Aliments et boissons | 6 | 1 % | 1 | - | - | 5 | - |
| Gouvernement | 14 | 2 % | - | - | 2 | 8 | 4 |
| Santé | 39 | 6 % | - | - | 4 | 23 | 12 |
| Assurances | 62 | 9 % | 4 | 1 | 3 | 35 | 19 |
| Internet | 35 | 5 % | - | - | 1 | 31 | 3 |
| Secteur manufacturier | 37 | 5 % | - | - | - | 34 | 3 |
| Extraction pétrolière et gazière | 2 | 0 % | - | - | - | 2 | - |
| Organismes sans but lucratif | 33 | 5 % | - | 2 | 1 | 16 | 14 |
| Services professionnels | 40 | 6 % | 1 | - | 2 | 36 | 1 |
| Édition (sauf Internet) | 9 | 1 % | - | - | - | 9 | - |
| Location | 2 | 0 % | - | - | - | 2 | - |
| Ventes et détail | 52 | 7 % | - | 1 | - | 47 | 4 |
| Services | 53 | 8 % | - | - | 2 | 46 | 5 |
| Télécommunications | 91 | 13 % | - | - | - | 82 | 9 |
| Transportation | 18 | 3 % | - | - | - | 14 | 4 |
| Services publics | 7 | 1 % | 1 | - | - | 5 | 1 |
| Total | 696 | 13 | 8 | 21 | 542 | 112 | |
| Nombre de comptes touchés au Canada | 20 328 495 | 6 127 | 492 | 16 327 | 20 235 305 | 70 244 |
Annexe 3 : Lois essentiellement similaires
Conformément au paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat à la protection de la vie privée du Canada est tenu de déposer chaque année devant le Parlement un rapport « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la LPRPDE.
En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de la partie 1 de ladite loi à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur d’une province qui a adopté une loi provinciale « essentiellement similaire » à la partie 1 de la LPRPDE.
Le 3 août 2002, Industrie Canada (maintenant connu sous le nom d’Innovation, Sciences et Développement économique Canada) a publié le Processus de détermination du caractère « essentiellement similaire » d’une loi provinciale par le gouverneur en conseil. On y présente la politique et les critères utilisés pour décider si une loi provinciale sera considérée comme essentiellement similaire. Conformément à la politique, les lois essentiellement similaires :
- fournissent un mécanisme de protection des renseignements personnels conforme et équivalent à celui de la LPRPDE;
- intègrent les 10 principes de l’annexe 1 de la LPRPDE;
- fournissent un mécanisme indépendant et efficace de surveillance et de recours ainsi que des pouvoirs d’enquête;
- restreignent la collecte, l’utilisation et la communication de renseignements personnels à des fins appropriées ou légitimes.
Les organisations assujetties aux lois provinciales réputées essentiellement similaires sont exemptées de la partie 1 de la LPRPDE en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’intérieur de la province en cause.
La LPRPDE continue toutefois de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels liée aux activités d’entreprises fédérales dans la province en cause ainsi qu’à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur de cette province.
Les lois provinciales considérées comme essentiellement similaires à la partie 1 de la LPRPDE sont les suivantes :
- Loi sur la protection des renseignements personnels dans le secteur privé du Québec;
- Personal Information Protection Act de la Colombie-Britannique;
- Personal Information Protection Act de l’Alberta;
- Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (dépositaires de renseignements sur la santé);
- Loi sur l’accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick (dépositaires de renseignements sur la santé);
- Personal Health Information Act de Terre-Neuve-et-Labrador (dépositaires de renseignements sur la santé);
- Personal Health Information Act de la Nouvelle-Écosse (dépositaires de renseignements sur la santé).
Annexe 4 : Rapport de la commissaire spéciale à la protection de la vie privée
En ma qualité de commissaire spéciale à la protection de la vie privée, mon rôle consiste à examiner des cas où des individus ont demandé à avoir accès à des renseignements détenus par le Commissariat à la protection de la vie privée du Canada et que celui-ci refuse la demande ou, encore, où il est soutenu que le Commissariat a traité les renseignements personnels d’une personne d’une manière inappropriée. Le Commissariat est lui-même assujetti à la Loi sur la protection des renseignements personnels (LPRP), dont il surveille la conformité. Ces cas pourraient faire naître le droit de déposer une plainte à la commissaire spéciale à la protection de la vie privée.
Au cours de l’exercice visé par le présent rapport, soit du 1er avril 2025 au 31 mars 2026, j’ai traité 33 plaintes :
- Plaintes déposées l’année précédente qui n’étaient pas encore réglées : 1
- Nouvelles plaintes – Enquêtes terminées : 12
- Nouvelles plaintes – Enquêtes actives : 3
- Plaintes et demandes de renseignements redirigées : 17
Alors que l’enquête commencée l’an dernier n’a pu être achevée en raison de contraintes de temps, bon nombre d’enquêtes sur des plaintes déposées cette année ont été menées à bien. La plupart d’entre elles concernaient des cas où les individus n’étaient pas satisfaits de la réponse donnée à une demande d’accès à l’information. Comme je l’ai mentionné dans des rapports annuels antérieurs, dans bien des situations, le Commissariat n’était pas autorisé à accorder l’accès en raison d’une exemption stricte et limitative à la communication au sujet des enquêtes sur les plaintes. Ces dossiers concernent des affaires où la partie plaignante n’était pas satisfaite du résultat d’une enquête sur une plainte et estimait que des questions demeuraient sans réponse. Je n’examine pas la façon dont les décisions ont été prises. Néanmoins, ces examens sont nécessaires, car ils permettent de vérifier que le droit d’accès aux renseignements personnels et le droit à la vie privée sont toujours respectés et ils demeurent un bon moyen de sensibiliser à plus grande échelle la manière dont la LPRP s’applique au Commissariat.
Un cas intéressant s’est présenté cette année lorsqu’une plainte a été déposée au sujet d’une demande de prolongation générale du délai de traitement par le Commissariat pour 53 demandes reçues en 22 jours. Selon la LPRP, les individus ont le droit d’avoir accès à leurs renseignements personnels en temps opportun, généralement dans un délai de 30 jours, mais l’article 15 autorise la prorogation du délai dans certaines conditions. Les avis de prorogation pour obtenir un délai supplémentaire de 30 jours étaient basés sur le fait que l’observation du délai initial aurait entravé le fonctionnement du Commissariat. Le Commissariat a indiqué que le nombre total et le rythme de réception des demandes correspondaient à ce qu’il recevait habituellement en une année. Cette plainte a mis en évidence une augmentation spectaculaire de la charge de travail, qui a entraîné des pressions opérationnelles sans précédent. Par conséquent, j’ai conclu que les prorogations étaient justifiées, et je n’ai relevé aucune preuve de partialité. Plus important encore, cette affaire illustrait le principe général de caractère raisonnable pour les individus qui demandent des renseignements et la nécessité de maintenir l’intégrité du processus d’accès à l’information en général.
Une autre plainte intéressante dont j’ai été saisie a donné lieu à une remise en question de la définition de « renseignements personnels ». Un individu a demandé l’accès aux métadonnées sur son activité numérique contenues dans les systèmes informatiques du Commissariat. Cette affaire a nécessité des recherches approfondies dans la jurisprudence au sujet de l’interprétation de l’article 3, afin d’établir si les métadonnées constituaient effectivement des « renseignements personnels ». Selon mon analyse, les métadonnées en cause ne concernaient pas l’individu, car elles ne correspondaient pas au concept de « protection de la vie privée » et aux valeurs que ce concept est censé protéger.
Enfin, j’ai aussi été appelée à aider le Commissariat dans le cadre d’une enquête sur une plainte qui nécessitait une délégation de pouvoirs étendus. Il s’agissait d’une enquête sur une plainte à l’égard de la réponse d’une institution fédérale à une demande d’accès à des renseignements personnels. Encore une fois, ce travail s’est avéré à la fois intéressant et gratifiant, car il m’a donné l’occasion de rendre service.
D’autres affaires ne nécessitaient ni enquête ni conclusions écrites, mais devaient plutôt être redirigées au bon endroit. Dans ces cas-là, je prends le temps de répondre afin d’expliquer à la personne plaignante pourquoi je ne peux pas me saisir de son affaire, et je la redirige vers l’organisme de surveillance provincial ou fédéral compétent. Je suis heureuse de pouvoir offrir ce service public utile.
Je me réjouis sincèrement de poursuivre cet important travail dans l’année à venir.
Le tout respectueusement soumis,
Anne E. Bertrand, c.r.
La commissaire spéciale à la protection de la vie privée
- Date de modification :