Allocution prononcée par le Commissaire à la protection de la vie privée à la réunion de la communauté de l’accès à l’information et de la protection des renseignements personnels à l’occasion de la Semaine de la protection des données

Le 26 janvier 2026
Ottawa (Ontario)
Présentation virtuelle

Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi.)

---

Bonjour. Je suis ravi de pouvoir me joindre à vous aujourd’hui.

Je ne vois pas de meilleure façon de donner le coup d’envoi de la Semaine de la protection des données que d’être ici parmi d’autres champions et championnes de la protection de la vie privée.

Je me réjouis à l’idée de discuter des possibilités et des facteurs à considérer en matière de protection des données qui nous attendent pour l’année à venir, laquelle devrait encore une fois se révéler importante pour la protection de la vie privée.

En tant que professionnels de la protection de la vie privée au sein de vos organisations, vous êtes les mieux placés pour aider à promouvoir une culture où la protection des données est mise de l’avant en tant que catalyseur et avantage stratégique pour une organisation.

Dans ce monde de plus en plus numérique, votre expertise collective et vos valeurs partagées en tant que fonctionnaires seront essentielles pour préserver la confiance que les Canadiennes et les Canadiens accordent aux institutions, aux programmes et aux services du gouvernement fédéral.

La mise en place de cadres solides en matière de protection des données permet aux Canadiennes et aux Canadiens de savoir que leurs renseignements sont protégés, aujourd’hui et à l’avenir.

Cette année, le thème choisi par le Commissariat pour la Semaine de la protection des données est « Prioriser la protection de la vie privée dès la conception ».

Nous tenons à souligner l’importance de tenir compte de la protection de la vie privée au tout début d’un nouveau programme ou d’une nouvelle initiative et d’intégrer des mesures de protection dès le départ au lieu de devoir corriger la situation après coup.

En créant une culture qui intègre dès le départ la protection et la sécurité des données, vous pourrez contribuer à « pérenniser » votre organisation, vos services et vos systèmes de gestion de l’information et de technologie de l’information.

La Semaine de la protection des données est une occasion pour les organisations de réfléchir à la meilleure façon de gérer et de protéger les renseignements personnels. Ainsi, les individus pourront profiter en toute confiance des avantages de l’innovation et contribuer à l’économie numérique, sachant que leurs données sont protégées.

Je vais présenter aujourd’hui certaines des mesures prises par le Commissariat pour favoriser cette culture de la protection de la vie privée dans le cadre de nos travaux visant à faire progresser mes priorités stratégiques. Je vous expliquerai également comment vous pouvez promouvoir la protection de la vie privée dès la conception au sein de vos organisations.

Le point sur les priorités stratégiques

Au cours de la dernière année, le Commissariat a réalisé des progrès importants pour faire avancer mes trois priorités stratégiques, soit optimiser l’incidence des efforts du Commissariat, tenir compte des répercussions sur la vie privée des technologies comme l’intelligence artificielle (IA) et défendre le droit à la vie privée des enfants.

Optimiser l’incidence des efforts du Commissariat

En ce qui concerne ma première priorité, lorsque j’ai pris la parole à cette même occasion l’année dernière, j’ai parlé de la mise en œuvre d’un nouveau plan de transformation visant à simplifier les processus du Commissariat pour les rendre plus intégrés, plus souples et plus stratégiques, de manière à maximiser l’incidence de nos efforts pour la population canadienne.

Aujourd’hui, un an plus tard, je peux dire que, même si les travaux sont toujours en cours, j’ai déjà pu constater l’émergence et la mise en œuvre d’idées novatrices, une plus grande synergie dans notre travail et de nombreuses solutions créatives pour gérer les pressions auxquelles nous sommes confrontés en raison de l’augmentation du nombre de plaintes et du manque de ressources.

À titre d’exemple, nous modernisons le processus de réception des plaintes et le formulaire en ligne, et nous trouvons des moyens plus rapides et plus efficaces de régler les plaintes.

Ce ne sont pas tous les dossiers qui requièrent la tenue d’une enquête complète qui exige beaucoup de ressources. Parfois, il existe d’autres moyens plus efficaces d’obtenir les résultats escomptés, comme la mobilisation proactive et le règlement rapide des plaintes, l’envoi de lettres de conformité, et les interactions et la surveillance soutenues.

Nous apprenons aussi d’autrui et découvrons des pratiques exemplaires, ce qui contribue à façonner les conseils et l’orientation que nous donnons aux organisations.

Ainsi, le Commissariat cherche actuellement à obtenir des avis sur ses processus de consultation et d’orientation. Bien que cet exercice soit destiné au secteur privé, il permettra également d’étayer nos conseils aux institutions publiques.

Je mets une grande importance sur la collaboration avec les parties prenantes à l’échelle nationale et mondiale, ainsi qu’entre les autres organismes de réglementation, afin de mieux protéger et promouvoir le droit à la vie privée.

Depuis octobre, je copréside le groupe de commissaires et d’ombuds à l’information et à la protection de la vie privée du fédéral, des provinces et des territoires, en collaboration avec Caroline Maynard, la Commissaire à l’information du Canada.

En juin dernier, alors que le Canada assurait la présidence du G7, j’ai accueilli ici, dans la région de la capitale nationale, la Table ronde des autorités de protection des données et de la vie privée du G7.

En septembre, j’ai eu l’honneur d’être élu président de l’Assemblée mondiale pour la protection de la vie privée, le forum international qui regroupe plus de 130 autorités de protection des données et de la vie privée du monde entier.

Mon élection au poste de président est une reconnaissance du leadership du Canada sur la scène internationale en matière de protection de la vie privée. La présence du Canada à la table des principaux forums internationaux sur la protection de la vie privée, comme l’Assemblée mondiale pour la protection de la vie privée, contribue non seulement à protéger la vie privée au Canada et partout dans le monde, mais également à promouvoir les intérêts du Canada dans l’économie mondiale.

Compte tenu de la portée mondiale de la protection des données, la coopération stratégique entre les organismes de réglementation de la protection de la vie privée et d’autres autorités, ainsi que la collaboration avec des parties prenantes externes, notamment la société civile, l’industrie et les institutions publiques, permettront aux membres de l’Assemblée mondiale pour la protection de la vie privée de maximiser leurs efforts collectifs et leur incidence ainsi que leur capacité à exercer un leadership à l’échelle mondiale en matière de protection des données pour le bien des individus et des organisations.

Tenir compte des répercussions sur la vie privée des technologies comme l’IA

Tenir compte des répercussions sur la vie privée des technologies comme l’IA a aussi été au cœur de nos travaux à l’échelle nationale, internationale et avec les autres organismes de réglementation.

Par l’intermédiaire de déclarations communes, de résolutions, de recherches, d’une enquête conjointe sur OpenAI qui est en cours et d’une enquête récemment élargie sur la plateforme de média social X à la suite de reportages signalant des images hypertruquées à caractère sexuel générées par l’IA, nous continuons à approfondir notre compréhension de la technologie et à promouvoir son développement et son utilisation responsables.

À ce sujet, il convient de noter qu’en tant que membre du Groupe de travail sur l’éthique et la protection des données dans le secteur de l’IA de l’Assemblée mondiale pour la protection de la vie privée, j’ai parrainé la rédaction d’une résolution sur la surveillance humaine des décisions prises à l’aide de l’IA. Celle-ci a été adoptée en septembre 2025.

Dans cette résolution, il est demandé aux organisations qui utilisent l’IA pour prendre des décisions d’adopter des technologies et des processus permettant une surveillance humaine adéquate, en particulier lorsque ces décisions peuvent avoir une incidence sur les droits et libertés fondamentaux d’un individu.

De plus, j’ai été l’un des 20 signataires internationaux d’une déclaration commune sur la gouvernance fiable des données pour l’IA, qui demande que les principes de protection des données soient intégrés dans la conception des systèmes d’IA et que des structures solides de gouvernance des données soient mises en place.

À l’instar de nombreuses organisations fédérales, le Commissariat explore les possibilités d’utiliser l’IA dans le cadre de son travail. Ce faisant, nous cherchons également à donner l’exemple en montrant comment la protection de la vie privée peut donner lieu à une innovation sûre, sécuritaire et responsable.

Conformément aux principes de la protection de la vie privée dès la conception, notre équipe chargée des technologies a mis au point un outil d’IA interne appelé PrivIA, que nous avons commencé à tester à l’échelle du Commissariat à l’automne.

Je suis très enthousiaste à l’égard de notre solution d’IA interne et des possibilités qu’elle offre. Cette initiative est importante pour de nombreuses raisons, notamment parce qu’elle nous permet de mieux comprendre cette technologie que nous réglementons, tout en nous aidant à accomplir notre travail de façon optimale.

Défendre le droit à la vie privée des enfants

Prioriser la protection de la vie privée dès la conception et collaborer, voilà deux principes qui viennent également appuyer une grande partie de nos efforts liés à ma troisième priorité, soit celle de défendre le droit à la vie privée des enfants.

L’été dernier, à l’occasion de la Table ronde des autorités de protection des données et de la vie privée du G7, nous avons publié une déclaration commune sur l’innovation responsable et l’importance de prioriser la protection de la vie privée pour protéger les enfants.

Nous avons souligné dans cette déclaration l’importance de la protection de la vie privée dès la conception, qui est un facteur essentiel pour renforcer la confiance du public, assurer la réussite économique et favoriser la croissance sociale. Nous avons également insisté sur le fait que la protection de l’intérêt supérieur des enfants est un élément clé de l’innovation responsable.

Peu après avoir été l’hôte de la Table ronde des autorités de protection des données et de la vie privée du G7, j’ai accueilli de jeunes leaders du pays, des universitaires, des fonctionnaires, des représentants de la société civile, des parties prenantes de l’industrie ainsi que des autorités de protection des données du monde entier à l’occasion d’un symposium visant à aborder les principaux enjeux liés à la protection de la vie privée des enfants, aujourd’hui et dans l’avenir.

Cet événement consistait en un panel réunissant de jeunes Canadiens et de jeunes Canadiennes qui ont parlé en toute franchise de leurs expériences et préoccupations en matière de protection de la vie privée. Il a aussi donné lieu à des discussions instructives relativement à l’incidence de l’IA sur les jeunes, aux mécanismes de conception trompeuse et aux technologies éducatives.

Durant le symposium, j’ai lancé un Conseil des jeunes dont l’objectif est de permettre aux jeunes de faire connaître leurs points de vue et leurs expériences de même que leurs solutions pour relever les défis liés à la protection de la vie privée auxquels ils sont confrontés. Ce Conseil aidera aussi en partie à orienter les efforts déployés par le Commissariat pour mieux protéger la vie privée des enfants à l’ère numérique.

Le Conseil est maintenant établi, et j’ai hâte de rencontrer les membres en personne en février, lorsqu’ils mettront au point leur plan de travail.

En novembre, j’ai publié une résolution conjointe avec mes homologues provinciaux et territoriaux sur la protection de la vie privée des enfants au moyen de l’utilisation responsable de technologies éducatives dans les salles de classe.

Le Commissariat travaille également à la rédaction de lignes directrices sur le contrôle de l’âge et d’un code sur la protection des renseignements personnels des enfants afin d’offrir aux organisations des conseils juridiques et pratiques sur le traitement des renseignements personnels des enfants. En septembre 2025, nous avons publié les résultats de l’enquête sur TikTok menée conjointement avec le Québec, la Colombie-Britannique et l’Alberta.

Prioriser la protection de la vie privée dès la conception

Comme vous êtes les champions et les championnes de la protection de la vie privée dans vos organisations, j’aimerais profiter de cette occasion pour parler des outils qui sont à votre disposition et qui peuvent vous aider à prioriser la protection de la vie privée dès la conception, à soutenir l’innovation et à promouvoir une culture de la protection de la vie privée au sein de vos institutions.

Évaluations des facteurs relatifs à la vie privée

Les évaluations des facteurs relatifs à la vie privée, ou EFVP, font partie des meilleurs outils permettant d’examiner et d’atténuer les risques liés à la vie privée dès le début d’une initiative. Une EFVP peut contribuer à réduire les risques, à diminuer les coûts, à renforcer la confiance et à stimuler l’innovation, ce qui permet de positionner votre organisation en tant que chef de file dans un contexte numérique qui évolue rapidement.

Je suis ravi de constater que le nombre d’EFVP que le Commissariat reçoit de la part d’organismes gouvernementaux ne cesse d’augmenter chaque année. À titre d’exemple, on est passé de 81 EFVP en 2020-2021 à 138 EFVP en 2024-2025.

Entre avril et décembre 2025, nous avons reçu 123 EFVP.

Il est important de noter que nous constatons une augmentation du nombre d’EFVP provenant des plus petites institutions, ce qui est une bonne nouvelle.

La réalisation de ces évaluations et la mise en œuvre des mesures d’atténuation contribueront à renforcer vos initiatives, car elles vous permettront de cerner les problèmes potentiels et de corriger la situation avant qu’ils ne surviennent.

Vous pouvez désormais transmettre plus facilement et en toute sécurité vos EFVP en ligne simultanément au Commissariat et au Secrétariat du Conseil du Trésor à partir de notre site Web. Le formulaire mis à jour permet d’envoyer des documents de niveau Protégé B ou inférieur. Les institutions peuvent aussi ajouter plus facilement des documents à une évaluation déjà présentée et les associer à celle-ci.

Passation de marchés avec des tiers

La protection de la vie privée dès la conception s’avère aussi importante lors de la passation de marchés avec des tiers. Lorsqu’un contrat comprend la collecte de renseignements personnels, les considérations devraient comprendre une analyse de la Loi sur la protection des renseignements personnels et des instruments de politique du SCT en matière de protection de la vie privée. La prise en compte des facteurs relatifs à la protection de la vie privée dès le début d’une initiative menée avec un tiers permet de régler plus facilement les questions qui peuvent survenir à ce sujet.

En ce qui concerne la passation de marchés et l’approvisionnement, les responsables de la protection de la vie privée doivent être consultés afin de garantir que la protection de la vie privée soit intégrée dès le début.

Il est important de s’interroger sur la façon dont un entrepreneur protégerait les renseignements personnels qu’il détient et gérerait une atteinte à la sécurité des données, et sur les pouvoirs dont votre institution a besoin pour mener des audits sur les pratiques d’un tiers en matière de protection de la vie privée.

Il est également important de préciser que les renseignements personnels ne seront conservés que pendant la période nécessaire à l’atteinte de l’objectif pour lequel ils ont été recueillis.

Il pourrait y avoir d’autres éléments à prendre en considération selon les circonstances, comme d’autres lois applicables, des accords commerciaux internationaux et la mise en œuvre de nouvelles technologies.

Nous encourageons également les institutions à communiquer avec les fournisseurs tiers au sujet des évaluations que ceux-ci pourraient avoir réalisées sur les effets de leurs produits sur la vie privée et au sujet des assurances que ceux-ci peuvent donner quant à la conformité juridique de leurs produits. Ces précautions sont d’autant plus importantes pour les nouvelles technologies et les programmes qui ont recours à des renseignements de nature très sensible.

Tendances en matière de plaintes et d’atteintes

Avant de conclure, je tiens à parler brièvement des tendances en matière de plaintes et d’atteintes.

Rien qu’au cours de la première moitié du présent exercice, le Commissariat a vu une augmentation de 40 pour cent du nombre de plaintes au titre de la Loi sur la protection des renseignements personnels comparé à la même période l’an dernier, et une augmentation de 62 pour cent comparé à la moyenne des deux derniers exercices.

Le nombre de plaintes concernant le délai de réponse est en hausse de 129 pour cent, plus que tout autre type de plainte. Ce chiffre tient compte de l’augmentation de 138 pour cent des plaintes liées au Décret d’extension no 3, qui permet aux ressortissants étrangers de demander accès aux renseignements personnels les concernant et relevant d’une institution fédérale.

Durant la même période, le Commissariat a reçu 245 signalements d’atteintes, touchant près de 38 000 personnes. Cela représente environ 41 signalements d’atteintes par mois.

Au cours des trois dernières années, le type d’atteinte le plus courant a été la perte de renseignements personnels.

Le Commissariat a procédé à un examen des activités liées aux atteintes à la vie privée dans les institutions fédérales l’an dernier. Nous avons constaté que certaines atteintes substantielles ne sont pas déclarées et, qui plus est, d’autres encore passent fort probablement tout à fait inaperçues au sein de nombreuses institutions.

Bon nombre des institutions faisant l’objet de notre examen ont reconnu que leurs employés, surtout les travailleurs de première ligne, ne comprennent pas toujours pleinement ce qui constitue un renseignement personnel ou les obligations qui leur incombent au titre de la Loi sur la protection des renseignements personnels.

Le signalement des atteintes est obligatoire depuis de nombreuses années. Toutefois, nous avons constaté que les procédures de détection et d’examen des atteintes de nombreuses institutions pourraient être améliorées, et que certaines de ces institutions n’avaient aucune procédure en place.

Nous avons également constaté que certaines institutions ne disposaient pas des outils appropriés pour évaluer le risque de préjudice ou de dommage pour les individus, et se concentraient plutôt sur le risque pour l’institution. De plus, notre examen a confirmé que les mesures de protection technologiques mises en place pour les nouveaux systèmes ne sont pas toujours aussi robustes qu’elles pourraient l’être.

Je vous encourage à tirer parti des outils qui peuvent vous aider à cet égard.

Par exemple, l’outil d’autoévaluation des risques d’atteinte à la vie privée, qui se trouve sur le site Web du Commissariat, peut aider les institutions à évaluer si une atteinte est susceptible de poser un risque réel de préjudice grave pour les individus et doit donc être signalée.

La trousse d’outils pour la gestion des atteintes à la vie privée du Secrétariat du Conseil du Trésor est une autre ressource pratique pour gérer les atteintes à la vie privée.

Je profite de l’occasion pour vous rappeler que le mercredi 28 janvier, le Secrétariat du Conseil du Trésor tient un événement dans le cadre de la Journée de la protection des données auquel participeront le Commissariat à la protection de la vie privée du Canada et le Centre canadien pour la cybersécurité. Ces derniers discuteront des façons de gérer les atteintes à la vie privée, notamment la prévention, la réaction en cas d’atteinte et les moyens pour instaurer la confiance. L’événement consistera en une séance informative où l’on offrira de nombreux conseils utiles aux institutions. Je vous encourage vivement à y assister!

Conclusion

La protection de la vie privée dès la conception est un travail d’équipe. Pour qu’elle soit efficace, nous devons tous collaborer.

Pour la communauté de la protection des renseignements personnels, il s’agit notamment de travailler de concert avec les équipes des services juridiques, avec les collègues de la gestion de l’information et de la technologie de l’information ainsi qu’avec les spécialistes de l’approvisionnement et des marchés.

Il faut aussi communiquer régulièrement avec les collègues chargés de modifier des programmes et des services existants ou d’en concevoir de nouveaux, ou qui présentent des innovations.

En transmettant vos connaissances en matière de protection de la vie privée, vous pouvez aider l’ensemble des membres de votre organisation à mieux comprendre et à mieux gérer dès le départ les facteurs à prendre en compte, les risques et les obligations liés à la protection de la vie privée.

Cela permettra d’instaurer une culture de la protection de la vie privée, et de promouvoir la protection de la vie privée dès la conception et l’innovation responsable dans toutes les organisations.

En tant que championnes et champions de la protection de la vie privée dans vos organisations, vous êtes aux premières loges pour diriger, concevoir et protéger les systèmes gouvernementaux qui contiennent les renseignements personnels sensibles des Canadiennes et des Canadiens.

Dans l’environnement numérique actuel axé sur les données, votre travail est plus important et utile que jamais.

Alors que nous célébrons la Semaine de la protection des données, je tiens à vous remercier pour votre travail et votre engagement à protéger le droit fondamental à la vie privée des Canadiennes et des Canadiens.