Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Lettre au Comité permanent de la science et de la recherche de la Chambre des communes au sujet de l’étude de ce dernier sur les répercussions de l’arrangement préliminaire conjoint Canada-Chine sur le secteur canadien des véhicules électriques

Le 21 avril 2026

PAR COURRIEL

Salma Zahid, députée
Présidente
Comité permanent de la science et de la recherche
Chambre des communes
131, rue Queen, 6e étage
Ottawa (Ontario)  K1A 0A6

Madame la Présidente,

La présente fait suite à ma comparution devant le Comité permanent de la science et de la recherche du 16 avril 2026, dans le cadre de votre étude sur les effets de l’arrangement préliminaire conjoint Canada-Chine sur le secteur des véhicules électriques.

Lors de ma comparution, on m’a demandé si le gouvernement du Canada était tenu d’informer ses citoyens des risques en matière de vie privée et de sécurité que posent les véhicules électriques. Je suis heureux de présenter ce qui suit en réponse à cette demande. Je profite aussi de l’occasion pour exposer plus en détail mes recommandations visant la réforme législative de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Obligations en matière de transparence en ce qui concerne les risques posés par les véhicules électriques

En général, le gouvernement a la responsabilité d’assurer la sécurité et la sûreté des véhicules automobiles au Canada. Je crois comprendre que le processus de traitement des risques de cybersécurité associés aux véhicules connectés, quelle que soit leur origine, est une responsabilité partagée entre plusieurs ministères et organismes du gouvernement du Canada. Le 13 avril 2026, le gouvernement a déposé une réponse à la question inscrite au Feuilleton Q-882 dans laquelle on soulignait le rôle que jouent Sécurité publique Canada, le Centre canadien pour la cybersécurité et Transports Canada lorsqu’il s’agit de traiter les risques de cybersécurité associés aux véhicules connectés et automatisésNote de bas de page 1.

Dans les cas où une entité étrangère effectue un investissement pour acquérir une entreprise existante ou en établir une nouvelle au Canada, un processus d’examen pour des motifs de sécurité nationale peut être entrepris au titre de la Loi sur Investissement Canada. Ce processus est dirigé par le ministre de l’Industrie en consultation avec le ministre de la Sécurité publique du Canada.

J’ai pris connaissance de l’engagement de transparence en matière de sécurité nationale du gouvernement du Canada, qui prévoit d’informer les Canadiennes et les Canadiens sur les enjeux stratégiques ayant une incidence sur la sécurité nationale, ainsi que sur les efforts que le gouvernement déploie et les plans qu’il envisage à l’heure actuelle pour y faire faceNote de bas de page 2. Le ministère de la Sécurité publique serait mieux placé pour expliquer comment ces engagements permettent d’assurer la transparence à l’égard des Canadiennes et des Canadiens sans communiquer des renseignements susceptibles de compromettre la sécurité du Canada ou celle de la population.

En ce qui concerne la communication des risques qu’un produit ou un service, comme un véhicule connecté, pose pour la vie privée, les organisations ont la responsabilité, au titre de la LPRPDE, de tenir les individus informés de leurs politiques et pratiques relatives à la gestion des renseignements personnels. Conformément aux Lignes directrices pour l’obtention d’un consentement valable du CommissariatNote de bas de page 3, pour obtenir un consentement pour la collecte, l’utilisation ou la communication de renseignements personnels, les organisations doivent généralement mettre davantage l’accent sur les risques de préjudice et les autres conséquences qui seraient associés à un véhicule particulier.

Comme je l’ai mentionné pendant ma comparution, la LPRPDE n’interdit pas aux organisations canadiennes de transférer des renseignements personnels à des organisations situées en Chine ou dans toute autre juridiction. Au titre de la LPRPDE, les organisations doivent faire preuve de transparence au sujet de leurs pratiques de traitement des données. Si les renseignements personnels recueillis par l’intermédiaire d’un véhicule électrique sont envoyés dans une autre juridiction, l’organisation devrait aviser les clients que leurs renseignements pourraient être accessibles aux tribunaux, aux organismes d’application de la loi et aux agences de sécurité nationale de cette autre juridiction.

Un exemple des attentes du Commissariat en ce qui concerne la transparence et la circulation transfrontalière des données se trouve dans le rapport d’enquête du 23 septembre 2025, dans lequel le Commissariat et ses homologues provinciaux de la Colombie-Britannique, de l’Alberta et du Québec ont publié les conclusions de leur enquête conjointe sur TikTok Pte Ltd. Le rapport fait état des recommandations visant à amener l’entreprise à se conformer aux obligations en matière de consentement, de transparence et de fins appropriées des lois pertinentes. TikTok Pte Ltd. a accepté de collaborer avec nos organisations et s’est engagée, entre autres, à mettre en œuvre diverses mesures comme l’amélioration de ses communications sur la protection de la vie privée qui traitent de la collecte et de l’utilisation des renseignements biométriques et précisent que les renseignements peuvent être traités en Chine, notamment au moyen d’avis bien visibles présentés au moment d’obtenir le consentement de ses utilisateurs.

Recommandations pour moderniser la LPRPDE

Pendant ma déclaration, j’ai souligné que la circulation transfrontalière des données peut poser des risques pour la vie privée, en exposant potentiellement les renseignements personnels à des règles juridiques et à des degrés de protection différents. J’ai mentionné que la LPRPDE devrait contenir des dispositions qui traitent expressément de la circulation transfrontalière des données afin que les renseignements personnels des Canadiennes et des Canadiens soient adéquatement protégés avant qu’ils soient communiqués à l’extérieur du pays.

J’ai recommandé ce qui suit :

  • Comme le fait la loi québécoise, la LPRPDE devrait exiger que les organisations effectuent une évaluation des facteurs relatifs à la vie privée afin d’établir que les renseignements bénéficieront d’un degré de protection comparable à celui offert par la LPRPDE, en prenant en compte, entre autres, le cadre légal de protection des données de l’autre juridiction.
  • La LPRPDE devrait prévoir des outils précis pour faire en sorte que les organisations assurent un « degré comparable de protection » lorsque des renseignements personnels traversent les frontières, comme des clauses contractuelles types, des codes de pratique, des programmes de certification et des règles d’entreprise contraignantes.
  • Comme de nombreux flux de données transfrontaliers mettent en cause des fournisseurs de services étrangers, la LPRPDE devrait exiger que tous les fournisseurs de services protègent les renseignements personnels et signalent les atteintes à la vie privée au Commissariat.

Ces recommandations font partie de mes sept recommandations prioritaires pour la réforme de la LPRPDE qui, à mon avis, auraient la plus grande incidence sur le renforcement des mesures de protection de la vie privée et le respect du droit à la vie privée au Canada :

  1. Pouvoirs d’application de la loi : Renforcer les pouvoirs d’application de la loi du Commissaire à la protection de la vie privée en lui donnant le pouvoir d’émettre des ordonnances exécutoires, d’imposer des sanctions administratives pécuniaires et de mener des vérifications proactives.
  2. Droit fondamental à la vie privée : Reconnaître la protection de la vie privée comme un droit fondamental dans l’énoncé d’objet ainsi que dans un préambule intégré à la LPRPDE.
  3. Défense du droit à la vie privée des enfants : Améliorer la protection du droit à la vie privée des enfants en reconnaissant explicitement l’intérêt supérieur de l’enfant et en confiant au Commissariat la responsabilité d’élaborer un code de pratique sur la protection des renseignements personnels des enfants.
  4. Dépersonnalisation : Promouvoir l’innovation en incluant un cadre pour la dépersonnalisation et l’anonymisation.
  5. Droit à la suppression et au déréférencement : Veiller à ce que les individus gardent le contrôle de leurs renseignements personnels en leur accordant un droit explicite et clair au déréférencement et à la suppression de leurs renseignements personnels.
  6. Protection de la vie privée dès la conception et évaluations des facteurs relatifs à la vie privée : Améliorer la responsabilité en obligeant les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des évaluations des facteurs relatifs à la vie privée pour les activités à risque élevé.
  7. Circulation transfrontalière des données : Promouvoir le commerce international en établissant des règles et des exigences précises pour protéger les renseignements personnels qui sont transmis à l’étranger.

J’espère que ces renseignements seront utiles aux membres du Comité. N’hésitez pas à communiquer avec moi si vous avez des questions ou si vous souhaitez obtenir d’autres précisions.

Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.

Le Commissaire,

(Document original signé par)


Philippe Dufresne

c.c. : Cédric Taquet, Greffier du Comité

Date de modification :