Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches des enjeux consolidées au sujet du projet de loi C-15

Table des matières

Opinions sur les changements à la LPRPDE proposés dans le projet de loi C-15

Portabilité des données ou mobilité des données

Droit de données des consommateurs en Australie

Portabilité des données en Californie

Portabilité des données prévue par le RGPD

Portabilité des données au Québec

Portabilité des données au Royaume-Uni

Données dérivées ou inférées dans d’autres lois sur la mobilité des données

Dispositions sur les données des tiers et des titulaires d’un compte commun dans d’autres lois sur la mobilité des données

Normes/interopérabilité dans d’autres lois sur la mobilité des données

Mobilité des données et soins de santé

Mobilité des données et services bancaires axés sur les consommateurs

Loi sur les services bancaires axés sur les consommateurs

Engagement avec le ministère des Finances et l’Agence de la consommation en matière financière du Canada sur les services bancaires axés sur les consommateurs

Collaboration avec le Bureau de la concurrence

Opinions sur les changements à la LPRPDE proposés dans le projet de loi C-15

Notes d’allocution

  • Le projet de loi C-15 modifierait la Loi sur la protection des renseignements personnels et les documents électroniques pour établir un régime de cadres de mobilité des données presque identique à celui proposé précédemment dans le projet de loi C-27 (article 72). Tout comme dans le cas du projet de loi C-27, je soutiens ces changements, car ils permettront aux individus de mieux contrôler leurs renseignements personnels.
  • Je suis également d’avis que l’établissement d’un rôle consultatif pour le Commissariat à la protection de la vie privée permettrait de renforcer le régime de cadres de mobilité des données proposé dans le projet de loi C-15.
  • Certaines lois sur la portabilité des données accordent aux individus le droit de recevoir leurs renseignements personnels dans un format structuré, couramment utilisé et lisible par machine.
  • Bien qu’un tel droit puisse être accordé en modifiant les dispositions sur la mobilité du projet de loi C-15, il pourrait également être raisonnablement prévu dans le droit général d’accès de la Loi (article 4.9 de l’annexe 1), qui exige que les entreprises informent les individus de l’existence de renseignements personnels qui les concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers et leur permettent de les consulter.

Contexte

  • Tout comme le projet de loi C-15 (article 389, section 1.2), l’article 72 de l’ancien projet de loi C-27 aurait exigé que, « [sous] réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont assujetties à un cadre de mobilité des données ». Le projet de loi C-27 aurait également permis au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels au titre de l’article 72.
  • Dans ses observations écrites sur le projet de loi C-27, le Commissariat à la protection de la vie privée a précédemment recommandé :
    • que l’article 72 soit élargi afin d’inclure tous les renseignements personnels au sujet d’un individu, y compris ceux dérivés ou inférés;
    • qu’un rôle clair de consultation ou d’approbation soit établi pour le Commissariat en ce qui concerne les cadres de mobilité des données.
  • Les cadres de portabilité des données prévus par de nombreuses lois sur la portabilité des données d’autres juridictions (Québec, Union européenne, Royaume-Uni) ne s’appliquent pas aux données dérivées ou inférées. Dans d’autres cas (Californie et Australie), les lois ne prévoient pas le transfert de ces renseignements à une autre organisation.

Responsable : PRAP

Portabilité des données ou mobilité des données

Notes d’allocution

  • La portabilité des données et la mobilité des données sont des concepts complémentaires :
    • La portabilité des données désigne généralement la capacité (ou le droit) d’un individu à transférer une partie ou l’ensemble de ses renseignements personnels d’une entreprise ou d’un service à un autre.
    • La mobilité des données, quant à elle, désigne parfois la capacité d’un individu à demander à une entreprise ou à un service de transférer une partie ou l’ensemble de ses renseignements personnels ailleurs en son nom, et elle concerne notamment les systèmes, les normes et la gouvernance qui facilitent ces transferts.
  • Les deux concepts sont liés au droit à la protection des renseignements, dans le sens où ils portent sur le degré de contrôle que les individus peuvent exercer sur leurs données.

Contexte

  • Comme le projet de loi C-27, le projet de loi C-15 (article 389, section 1.2) modifierait la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour prévoir la création de cadres de mobilité des données (des précisions à leur sujet seront fournies dans les règlements).
  • L’article 10.5 proposé de la LPRPDE permettrait au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels au titre de ces cadres, notamment des règlements prévoyant des mesures de sécurité ainsi que des moyens techniques pour assurer l’interopérabilité, précisant les organisations assujetties à un cadre et prévoyant des exceptions à l’obligation de communiquer des renseignements personnels.
  • Les alinéas et sous-alinéas de l’article 10.5 couvrent de nombreux éléments souvent associés au droit à la portabilité des données, notamment la nécessité de mettre en place des mesures de sécurité adaptées à la sensibilité des renseignements pouvant être transférés et la nécessité d’assurer l’interopérabilité technique pour veiller à ce que les données soient fournies dans un format structuré, couramment utilisé et lisible par machine.
  • L’article 10.6 proposé, qui précise que les règlements pris en vertu de l’article 10.5 peuvent traiter différemment les catégories d’activités, de renseignements ou d’organisations, suggère que les cadres de mobilité des données pourraient être établis secteur par secteur (comme en Australie, où les règles propres à un secteur qui concernent les données des consommateurs doivent être définies avant toute communication).

Responsable : PRAP

Droit de données des consommateurs en Australie

Notes d’allocution

  • Le Consumer Data Right (ou CDR) de l’Australie est semblable au droit à la mobilité des données prévu dans le projet de loi C-15, car il ne s’applique qu’à des secteurs précis désignés par règlement.
  • Pour le moment, les institutions de dépôt autorisées, les prêteurs non bancaires, le secteur de l’énergie et le secteur des télécommunications sont assujettis au CDR de l’Australie.
  • Comme le prévoit le projet de loi C-15 pour le Canada, le ministre australien responsable peut également établir des règles concernant les secteurs désignés.
  • Bien qu’au sens des instruments législatifs relatifs au CDR, les renseignements dérivés soient considérés comme des données visées par le CDR, les instruments n’exigent pas la communication de ces renseignements aux consommateurs.
  • La législation australienne prévoit également des rôles de supervision et de consultation pour le Commissaire à l’information de l’Australie. Le projet de loi C-15 ne prévoit pas de rôles similaires pour le Commissaire à la protection de la vie privée.

Contexte

  • L’article 56AC de la Competition and Consumer Act 2010 (CCA) de l’Australie définit la portée des pouvoirs réglementaires permettant de désigner des secteurs comme étant assujettis au Consumer Data Right (CDR – droit de données des consommateurs).
  • L’article 56BA de la CCA autorise le ministre australien à adopter des règles relatives aux données des consommateurs pour les secteurs désignés, y compris le secteur bancaire et le secteur des télécommunications. L’article 56BB précise que ces règles peuvent notamment porter sur la communication, la collecte, l’utilisation, la protection, la production de rapports, la tenue des dossiers et la vérification.
  • L’alinéa 56AI(1)b) de la CCA précise que les données visées par le CDR comprennent les renseignements dérivés entièrement ou partiellement des renseignements concernant un consommateur auquel s’appliquent les instruments législatifs relatifs au CDR, mais le paragraphe 56BD(1) indique que la communication de ces renseignements n’est pas obligatoire.
  • Au titre des articles 56AF et 56BR de la CCA, le Commissaire à l’information de l’Australie doit analyser les instruments proposant de désigner un secteur et en faire rapport ou déclarer les mesures prises et analyser toute règle proposée sur les données sur les consommateurs.
  • Au titre de l’article 56GA de la CCA, le Commissaire à l’information peut mener des consultations ou fournir des conseils sur toute question liée au fonctionnement du CDR.

Responsable : Services juridiques

Portabilité des données en Californie

Notes d’allocution

  • La California Consumer Privacy Act (ou CCPA) définit des exigences relatives à la portabilité des données pour ce qui est des renseignements personnels concernant un consommateur qu’une entreprise recueille.
  • Les entreprises doivent fournir ces renseignements directement aux consommateurs ou peuvent les transférer à une autre entité à la demande des consommateurs, et les renseignements doivent être fournis dans un format facile à comprendre pour le consommateur moyen.
  • Il convient de noter que la CCPA ne s’applique qu’à certaines entreprises (par exemple, les entreprises dont les recettes brutes annuelles dépassent 25 millions de dollars).
  • Contrairement au projet de loi C-15, les exigences relatives à la portabilité des données énoncées dans la CCPA comprennent des inférences concernant une personne générées par l’entreprise ou obtenues par celle-ci auprès d’une autre source.

Contexte

  • Les exigences relatives à la portabilité de la Californie (paragraphe 1798.110[b] et division 1798.130[a][3]B][iii], CCPA) s’appliquent aux renseignements concernant un consommateur qu’une entreprise recueille (article 1798.110, CCPA).
  • Les entreprises sont tenues de fournir les renseignements personnels précis obtenus auprès des consommateurs dans un format facile à comprendre pour le consommateur moyen et, dans la mesure où cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine. Les renseignements peuvent également être transmis à une autre entité à la demande du consommateur sans entrave (1798.130[a][3]B][iii], CCPA).
  • La California Consumer Privacy Act (CCPA – loi sur la protection de la vie privée des consommateurs de la Californie) ne s’applique qu’aux entreprises qui recueillent des renseignements auprès des consommateurs en Californie et qui correspondent à au moins une des situations suivantes : 1) a des recettes brutes annuelles dépassant 25 millions de dollars; 2) achète, vend ou transmet les renseignements personnels d’au moins 100 000 consommateurs ou ménages par an; 3) 50 % ou plus de ses recettes annuelles proviennent de la vente ou du transfert des renseignements personnels des consommateurs (sous-alinéas 1798.140[d]1][A] à [C]).
  • Les exigences relatives à la portabilité des données comprennent des inférences concernant une personne générées par l’entreprise ou obtenues par celle-ci auprès d’une autre source (avis 20-303 du California Office of the Attorney General, mars 2022).
  • En outre, la définition de « renseignements personnels » dans la CCPA comprend expressément les renseignements inférés (sous-alinéa 1798.140[v]1][K], CCPA).

Responsable : Services juridiques

Portabilité des données prévue par le RGPD

Notes d’allocution

  • Le Règlement général sur la protection des données (ou RGPD) de l’UE prévoit un droit général à la portabilité des données. En vertu de l’article 20, les individus peuvent recevoir les renseignements personnels les concernant qu’ils ont transmis à un responsable du traitement des données et demander que ces renseignements soient transférés à un autre responsable.
  • Le droit prévu par le RGPD doit être respecté par tous les responsables assujettis au RGPD. En revanche, le projet de loi C-15 limite l’application de son droit proposé à la mobilité des données aux organisations assujetties, par règlement, à un cadre de mobilité des données.
  • Ni le droit dans le RGPD ni le droit proposé dans le projet de loi C-15 ne s’appliquent aux renseignements personnels inférés ou dérivés.

Contexte

  • Le projet de loi C-15 n’est pas très précis pour ce qui est de la portée et de l’application du droit; la plupart des détails à ce sujet figureront dans les règlements, qui n’ont pas encore été publiés.
  • Le droit prévu par le Règlement général sur la protection des données (RGPD) s’applique aux renseignements observés sur un individu (c’est-à-dire l’historique de recherche, l’historique de localisation, etc.), mais ne s’applique pas aux renseignements inférés à propos d’un individu (c’est-à-dire les recommandations personnalisées, les données liées au profilage, etc.).
  • Le droit à la portabilité des données prévu par le RGPD s’applique lorsque l’individu concerné par des renseignements a consenti à leur traitement ou lorsque ce dernier est nécessaire à l’exécution d’un contrat (alinéa 20[1]a]). Il ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (article 20[3]).
  • Le droit prévu par le RGPD ne définit pas d’exigences de sécurité, mais les obligations générales de sécurité énoncées à l’alinéa 5(1)f) s’appliqueraient.
  • Lorsque des renseignements personnels de tiers sont recueillis à la suite d’une demande au titre de l’article 20 du RGPD, un autre fondement juridique pour le traitement des renseignements doit être défini (par exemple, les raisons d’intérêt légitime prévues par l’alinéa 6[1]f] du RGPD).
  • La Loi sur les données de l’UE, entrée en vigueur le 12 septembre 2025, accorde aux utilisateurs de « produits connectés et de services connexes » (c’est-à-dire l’Internet des objets) un droit à la portabilité des données pour les renseignements à caractère personnel et non personnel qu’ils génèrent lorsqu’ils utilisent ces produits et services.
  • Le RGPD continue de s’appliquer à toutes les activités de traitement des données personnelles effectuées au titre de la Loi sur les données. En cas de divergence, le RGPD prévaut.

Responsable : Services juridiques

Portabilité des données au Québec

Notes d’allocution

  • La Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) du Québec prévoit un droit à la mobilité des données limité aux renseignements personnels recueillis auprès du requérant.
  • Ce droit ne s’applique pas aux renseignements personnels inférés, mais s’applique aux renseignements personnels recueillis indirectement auprès d’un individu ou générés en fonction de ses activités (par exemple, historique des achats, antécédents de voyage, habitudes de conduite).
  • Contrairement au projet de loi C-15, le droit prévu par la loi du Québec s’applique de façon générale à toutes les organisations assujetties à cette loi. Il n’est pas limité aux organisations assujetties à un cadre de mobilité des données.
  • Au Québec, le droit de mobilité des données ne s’applique également qu’aux renseignements personnels stockés dans un format électronique.

Contexte

  • L’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) stipule qu’« [à] moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé ». Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. »
  • Les directives de la Commission d’accès à l’information du Québec indiquent que le droit ne s’appliquerait pas aux catégories suivantes de renseignements personnels :
    • Les renseignements personnels en format papier;
    • Les renseignements créés ou inférés par une organisation par l’analyse et l’observation ou obtenus par des algorithmes et des corrélations;
    • Les renseignements informatisés qu’un organisme public ou une entreprise obtient par des tiers;
    • Le niveau de risque associé à un individu par sa compagnie d’assurance.
  • La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels du Québec prévoit un droit identique (article 84).

Responsable : Services juridiques

Portabilité des données au Royaume-Uni

Notes d’allocution

  • Au titre de l’article 20 du General Data Protection Regulation (ou GDPR) du Royaume-Uni, le pays bénéficie du même droit à la portabilité des données que celui prévu dans le Règlement général sur la protection des données de l’UE.
  • Le droit prévu par le GDPR doit être respecté par tous les responsables du traitement des données assujettis au GDPR. En revanche, le projet de loi C-15 limite l’application de son droit proposé à la mobilité des données aux organisations assujetties, par règlement, à un cadre de mobilité des données.
  • Ni le droit prévu par le GDPR ni le droit proposé dans le projet de loi C-15 ne s’appliquent aux renseignements personnels inférés.
  • La Data (Use and Access) Act (ou DUAA) du Royaume-Uni, adoptée en juin 2025, élargit la portée potentielle de la portabilité des données au Royaume-Uni pour que celle-ci s’applique aux données des clients et des entreprises, notamment les renseignements à caractère personnel et non personnel.
  • La DUAA confère au secrétaire d’État et au Trésor du Royaume-Uni de vastes pouvoirs réglementaires permettant de déterminer la portée et l’application du droit élargi à la portabilité des données.
  • Aucun règlement de ce genre n’a été adopté pour l’instant, donc il est difficile de formuler des commentaires sur l’application pratique de la DUAA.

Contexte

  • Le Règlement général sur la protection des données (RGPD) de l’UE a été intégré dans les lois nationales du Royaume-Uni par l’intermédiaire du General Data Protection Regulation (GDPR). Comme le droit prévu par le GDPR est identique au droit prévu par le RGPD, il est possible de trouver de plus amples renseignements sur le droit dans la fiche d’enjeux « Portabilité des données prévue par le RGPD ».
  • La Data (Use and Access) Act (DUAA – loi sur les données [utilisation et accès]) s’applique aux données des entreprises et des consommateurs, appelées communément les données intelligentes. La définition de ces données est large et comprend les renseignements relatifs aux biens, aux services et au contenu numérique (article 1).
  • La DUAA confère au secrétaire d’État et au Trésor du Royaume-Uni de vastes pouvoirs réglementaires permettant de donner accès à ces données et d’autoriser le transfert des données (articles 2 à 5).
  • Il est possible qu’à l’avenir, les règlements pris en vertu de la DUAA puissent constituer le fondement juridique pour mettre en œuvre la portabilité des données dans les secteurs des finances, de l’énergie, des télécommunications ou des transports.

Responsable : Services juridiques

Données dérivées ou inférées dans d’autres lois sur la mobilité des données

Notes d’allocution

  • Les lois sur la portabilité des données de certaines juridictions, comme le Québec, l’Union européenne et le Royaume-Uni, ne s’appliquent pas aux données dérivées ou inférées. Les lois d’autres juridictions, comme la Californie et l’Australie, sont plus inclusives.
  • Je reconnais qu’il peut être approprié de faire en sorte que les données dérivées ou inférées ne puissent pas faire l’objet d’une communication obligatoire à d’autres entités en vertu du Cadre canadien sur les services bancaires axés sur les consommateurs.
  • Cependant, à mon avis, le droit d’accès et de correction des individus prévu par la Loi sur la protection des renseignements personnels et les documents électroniques devrait s’appliquer aux données dérivées ou inférées qui constituent des « renseignements personnels », et ces données devraient être assujetties à un droit de suppression en vertu de toute loi fédérale révisée sur la protection de la vie privée dans le secteur privé.

Contexte

  • Le droit à la mobilité des données proposé dans le projet de loi C-15 ne s’appliquerait qu’aux renseignements personnels recueillis auprès d’un individu (LPRPDE, article 10.4). La Loi sur les services bancaires axés sur les consommateurs (LSBAC) ne s’appliquerait pas aux « données dérivées » (paragraphe 10[2]).
  • L’article 2 de la LSBAC définit les « données dérivées » ainsi : « Données relatives à un consommateur, à un produit ou à un service qui sont améliorées par une entité participante afin d’accroître de manière importante leur utilité ou leur valeur commerciale. »
  • Le régime australien du droit de données des consommateurs s’applique à certains renseignements dérivés, notamment certains renseignements considérablement modifiés dans le contexte des systèmes bancaires ouverts, mais leur communication ne peut pas être exigée (Competition and Consumer Act 2010, articles 55AI et 56BD; désignation des institutions de dépôt autorisées, articles 5, 7, 10).
  • Au sens de la California Consumer Privacy Act (sous-alinéa 1798.140[v]1][K]), les inférences tirées d’autres types de renseignements personnels énumérés dans ce sous-alinéa permettant de créer le profil d’un utilisateur sont considérées comme des renseignements personnels. Le droit à la portabilité des données prévu par le paragraphe 1798.110(b) peut donc s’appliquer aux renseignements inférés.
  • Pour ce qui est du droit à la portabilité des données prévu par les articles 20 du Règlement général sur la protection des données de l’UE et du General Data Protection Regulation du Royaume-Uni, l’Article 29 Data Protection Working Party (groupe de travail « Article 29 » sur la protection des données) de l’Union européenne et l’Information Commissioner’s Office (commissariat à l’information) du Royaume-Uni ont chacun expliqué qu’il ne s’applique généralement pas aux données dérivées ou inférées.
  • Le droit à la portabilité des données du Québec exclut expressément les renseignements créés ou inférés à partir des renseignements personnels d’une personne (Loi sur la protection des renseignements personnels dans le secteur privé, article 27).

Responsable : Services juridiques

Dispositions sur les données des tiers et des titulaires d’un compte commun dans d’autres lois sur la mobilité des données

Notes d’allocution

  • La question de la communication des données de tiers au titre des lois sur la portabilité des données a été traitée de diverses manières par d’autres juridictions.
  • À mon avis, le Canada doit trouver une solution canadienne à cette question, qui garantit l’obtention d’un consentement valable en tout temps et tient compte de la nature des données et du contexte dans lequel les données sont transmises.
  • Le projet de loi C-15 n’aborde pas directement la question des données de tiers, mais les règlements pris en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques et de la Loi sur les services bancaires axés sur les consommateurs peuvent le faire.
  • Je m’attends à ce que le Commissariat à la protection de la vie privée soit consulté lors de l’élaboration de ces règlements, auquel cas nous serions heureux de discuter de ce à quoi ressemble un consentement valable.

Contexte

  • L’article 10.5 proposé de la Loi sur la protection des renseignements personnels et les documents électroniques permettrait au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels conformément au droit proposé à la mobilité des données prévu par l’article 10.4.
  • La Loi sur les services bancaires axés sur les consommateurs permettrait au gouverneur en conseil de prendre des règlements concernant le consentement explicite qu’une entité participante doit obtenir pour transférer des données et la manière dont une entité participante peut utiliser les données des consommateurs (alinéas 178k] et m]).
  • Le régime australien du droit de données des consommateurs comprend des règles spéciales qui s’appliquent à la communication de données relatives aux comptes communs, notamment des règles autorisant les titulaires de tels comptes à déterminer lequel des titulaires doit fournir son consentement pour permettre la communication des données ou à décider si la communication des données est tout simplement interdite (règles liées au droit de données des consommateurs, articles 4A.4 à 4A.15).
  • Les articles 20 du Règlement général sur la protection des données de l’Union européenne (UE) et du General Data Protection Regulation du Royaume-Uni indiquent que le droit à la portabilité des données prévu par chacun des articles ne doit pas porter atteinte aux droits et libertés d’autrui. L’Article 29 Data Protection Working Party de l’UE (groupe de travail « Article 29 » sur la protection des données) de l’UE et l’Information Commissioner’s Office (commissariat à l’information) du Royaume-Uni ont chacun expliqué qu’en pratique, il faudrait peut-être mettre en place des restrictions pour limiter le traitement des données de tiers lorsque ceux-ci n’ont pas consenti à un traitement supplémentaire.
  • Selon la Loi sur la protection des renseignements personnels dans le secteur privé, à moins qu’il ne s’agisse d’un cas d’urgence, on « doit refuser de donner communication à une personne d’un renseignement personnel la concernant lorsque sa divulgation révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers » (article 40).

Responsable : Services juridiques

Normes/interopérabilité dans d’autres lois sur la mobilité des données

Notes d’allocution

  • Les lois sur la portabilité des données dans d’autres juridictions ont adopté diverses approches d’élaboration de normes techniques pour le transfert de données ainsi que des règles communes, telles que des mesures de sécurité.
  • La Loi sur les services bancaires axés sur les consommateurs proposée dans le projet de loi C-15 prévoit une norme technique unique élaborée par un organisme de normalisation désigné par le ministre des Finances (article 125) et des mesures de sécurité obligatoires décrites dans les règlements (paragraphe 79[1] et alinéa 178g]).
  • Cependant, contrairement au fonctionnement prévu par la législation australienne, la Loi sur les services bancaires axés sur les consommateurs proposée n’exige pas actuellement que le Commissariat à la protection de la vie privée soit consulté lors de l’élaboration de la norme technique ou des règlements visant à protéger la sécurité.
  • Le Commissariat serait heureux de fournir une expertise en matière de protection de la vie privée afin d’appuyer l’élaboration des normes et des règlements canadiens.

Contexte

  • Dans le cadre du régime australien du droit de données des consommateurs (qui s’applique à des secteurs autres que les systèmes bancaires ouverts), un organisme de normalisation des données (au sein du Trésor) est responsable de l’élaboration des normes techniques, et le trésorier est responsable d’établir des règles communes. Ils doivent tous deux consulter l’Office of the Information Commissioner of Australia (commissariat à l’information de l’Australie) (Competition and Consumer Act 2010, articles 56FA à 56FS et 56BA à 56BR; règles liées au droit de données des consommateurs, sous-alinéa 8.9[2]b][iii]).
  • Dans le contexte des systèmes bancaires ouverts, l’Autorité bancaire européenne, en coopération avec la Banque centrale européenne, est responsable d’élaborer des projets de normes techniques réglementaires aux fins d’adoption par la Commission européenne (Directive sur les services de paiement [PSD2], paragraphe 95[4] et article 98). Les organismes de réglementation du secteur financier des états membres transposent ensuite ces normes dans leur contexte national (PSD2, paragraphe 115[1]).
  • Au Royaume-Uni, Open Banking Limited (une entité créée par l’industrie) élabore des normes de données et de sécurité sous la supervision de la Competition and Markets Authority (autorité de concurrence et de marchés) (ordre d’enquête sur le marché de services bancaires aux particuliers, 2017, article 10), bien qu’elle soit censée être remplacée par une « future entité » dirigée par l’industrie et supervisée par un comité mixte d’organismes de réglementation. La Financial Conduct Authority (autorité de surveillance des pratiques financières) est également responsable d’établir des normes techniques (Payment Services Regulations 2017, article 106A). De manière plus générale, la Data (Use and Access) Act de 2025 envisage des règlements prévoyant des « organismes d’interface » de normalisation pour divers mécanismes de données intelligentes (les systèmes bancaires ouverts sont l’un de ces mécanismes) (article 7).

Responsable : Services juridiques

Mobilité des données et soins de santé

Notes d’allocution

  • Dans le secteur de la santé, la mobilité des données est étroitement liée à l’interopérabilité des systèmes d’information sur la santé. Autrement dit, il s’agit de la capacité des renseignements sur la santé à circuler de façon harmonieuse entre différents systèmes et différentes organisations et technologies.
  • Il peut être difficile de réglementer les données sur la santé, car diverses lois provinciales et fédérales sur la protection des renseignements personnels peuvent s’appliquer, mais les initiatives récentes reconnaissent la nécessité d’harmoniser davantage les démarches d’amélioration de l’interopérabilité.
  • J’appuie les mesures visant à moderniser les soins de santé numériques de manière à protéger la vie privée des Canadiennes et des Canadiens. Mes homologues provinciaux et territoriaux et moi-même avons déjà publié une résolution conjointe encourageant les gouvernements à remplacer les courriels et les télécopies non chiffrés par des solutions de rechange numériques plus modernes, plus sécurisées et plus interopérables.

Contexte

  • Dans les provinces et les territoires, l’interopérabilité des données sur la santé est un domaine qui continue de se développer. Les progrès sont inégaux, l’Alberta, la Colombie-Britannique et la Nouvelle-Écosse ayant récemment mis en place des plateformes pour améliorer l’accès des patients à leurs données sur la santé.
  • Inforoute Santé du Canada et l’Institut canadien d’information sur la santé mènent des initiatives visant à améliorer l’interopérabilité, notamment en établissant des normes techniques pour les données sur la santé et en plaidant pour des modifications législatives.
  • En 2023-2024, le gouvernement fédéral a versé 49,4 milliards de dollars aux provinces et territoires pour qu’ils améliorent les services de santé, notamment en adoptant des normes et des politiques communes en matière de données.
  • En 2024, le gouvernement fédéral a déposé le projet de loi C-72, la Loi visant un système de soins de santé connecté au Canada, qui aurait exigé que les fournisseurs de technologies de l’information sur la santé assurent l’interopérabilité de leurs services et aurait interdit aux fournisseurs de bloquer les données en adoptant une pratique ou en accomplissant un acte qui empêche, décourage ou entrave l’utilisation ou l’échange de données sur la santé ou l’accès à celles-ci.
  • Le projet de loi C-72 visait à accélérer la mise en œuvre de la Feuille de route commune de l’interopérabilité pancanadienne, élaborée par Inforoute Santé du Canada et approuvée par les gouvernements fédéral, provinciaux et territoriaux (sauf le Québec) en 2023. Il décrit un plan quinquennal pour améliorer les soins de santé connectés grâce à l’interopérabilité commune et aux normes de données. Cependant, le projet de loi est finalement mort au Feuilleton en janvier 2025.

Responsable : PRAP

Mobilité des données et services bancaires axés sur les consommateurs

Notes d’allocution

  • Le projet de loi C-15 prévoit la création de « cadres de mobilité des données » en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, qui exigeraient que les organisations assujetties communiquent à d’autres organisations les renseignements personnels qu’elles recueillent auprès d’individus à la demande de ceux-ci.
  • Dans des documents explicatifs publiés après la présentation du budget, le ministère des Finances a indiqué que les dispositions sur les services bancaires axés sur les consommateurs dans le projet de loi C-15 constitueront la « première version » d’un tel cadre.
  • Lorsque le gouvernement ira de l’avant avec d’autres cadres de mobilité des données propres à des secteurs, je m’attends à ce que le Commissariat à la protection de la vie privée soit consulté sur les règlements connexes qui portent sur la collecte, l’utilisation et la communication des renseignements personnels.

Contexte

  • L’article 10.4 proposé de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) prévoit que, sous réserve des règlements, une organisation, à la demande de l’individu auprès duquel elle a recueilli des renseignements personnels, communique dès que possible tous ces renseignements à une organisation désignée. Cette exigence ne s’applique que si les deux organisations sont assujetties à un cadre de mobilité des données.
  • L’article 10.5 proposé de la LPRPDE permet au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels au titre de l’article 10.4, notamment des règlements prévoyant des mesures de sécurité ainsi que des moyens techniques pour assurer l’interopérabilité, précisant les organisations assujetties à un cadre de mobilité des données et prévoyant des exceptions à l’obligation générale de communiquer des renseignements personnels (par exemple, pour protéger des renseignements commerciaux exclusifs ou confidentiels).
  • Le régime australien du droit de données des consommateurs s’applique au secteur bancaire et au secteur de l’énergie et devrait s’appliquer aux secteurs des télécommunications et des prêts non bancaires (désignation du droit de données des consommateurs [institutions de dépôt autorisées] de 2019; désignation du droit de données des consommateurs [secteur de l’énergie] de 2020; désignation du droit de données des consommateurs [secteur des télécommunications] de 2022; désignation du droit de données des consommateurs [prêteurs non bancaires] de 2022).
  • Avant d’étendre l’application du régime à d’autres secteurs, le gouvernement australien doit consulter l’Office of the Information Commissioner of Australia (commissariat à l’information de l’Australie) au sujet de l’incidence probable que cela aurait sur la vie privée des consommateurs ou la confidentialité de leurs renseignements (Competition and Consumer Act 2010, paragraphe 56AD[3]).

Responsable : PRAP

Loi sur les services bancaires axés sur les consommateurs

Notes d’allocution

  • Même si beaucoup d’éléments seront précisés dans les règlements, je soutiens généralement la Loi sur les services bancaires axés sur les consommateurs et je suis heureux de voir qu’elle prévoirait plusieurs mesures de protection de la vie privée, notamment l’obligation d’obtenir un consentement exprès (paragraphe 85[1]), des restrictions quant à l’utilisation des données (paragraphe 85[6]), une norme technique (article 125), un modèle d’accréditation (articles 15, 17, 19, 31 et 32) et une interdiction du grattage d’écran (article 171).
  • Je suis également encouragé de constater que le Cadre canadien des services bancaires axés sur les consommateurs précise que les entités participantes doivent se conformer aux lois sur la protection des renseignements personnels en vigueur.
  • Je crois que la Loi sur les services bancaires axés sur les consommateurs pourrait encore être améliorée de certaines façons, notamment en prévoyant une coopération entre les organismes de réglementation, en garantissant l’obtention d’un consentement valable et en renforçant les mesures d’authentification des consommateurs.

Contexte

  • Le projet de loi C-15, la Loi no 1 d’exécution du budget de 2025, adopterait une nouvelle Loi sur les services bancaires axés sur les consommateurs (LSBAC) au titre de la partie 5, section 9 (article 224) et abrogerait (article 246) la LSBAC existante adoptée par le projet de loi C-69 (44-1), la Loi no 1 d’exécution du budget de 2024. La supervision du régime de services bancaires axés sur les consommateurs serait confiée à la Banque du Canada (article 4).
  • Un document du ministère des Finances intitulé « Budget 2025 : Cadre canadien des services bancaires axés sur les consommateurs » stipule ce qui suit : « En ce qui concerne la protection de la vie privée, les entités participantes sont déjà tenues de se conformer aux cadres législatifs existants. »
  • Des lois similaires de l’Australie et de la Nouvelle-Zélande prévoient des dispositions précisant expressément les rôles des organismes de réglementation de la protection de la vie privée et de la législation sur la protection des renseignements personnels (Competition and Consumer Act 2010, articles 56BR et 56EQ; Customer and Product Data Act 2025, articles 51 et 52).
  • À l’heure actuelle, au titre des dispositions de la LSBAC sur le consentement exprès, un consommateur n’aurait pas besoin d’être informé des risques liés au transfert de ses données, bien que des règlements puissent exiger la fourniture de tels renseignements (paragraphe 85[4] et alinéas 178k] et l]).
  • Pour le moment, la LSBAC ne prévoit pas la manière dont une entité participante serait tenue de confirmer l’authentifiant d’un consommateur avant de transmettre des données, mais des précisions à ce sujet pourraient également être ajoutées aux règlements (paragraphe 92[1] et alinéa 178t]).

Responsable : PRAP

Engagement avec le ministère des Finances et l’Agence de la consommation en matière financière du Canada sur les services bancaires axés sur les consommateurs

Notes d’allocution

  • Je collabore avec le ministère des Finances et l’Agence de la consommation en matière financière du Canada aux initiatives sur les services bancaires axés sur les consommateurs depuis que le précédent gouvernement a annoncé son intention d’en examiner les avantages potentiels dans le cadre du budget de 2018.
  • Bien que le Commissariat à la protection de la vie privée ne se soit pas prononcé sur des propositions législatives précises, je suis heureux de voir que certains de nos conseils ont été pris en compte, notamment l’obligation par le régime d’obtenir un consentement exprès et d’établir un modèle d’accréditation.
  • Comme je l’ai souligné à maintes reprises, le Commissariat à la protection de la vie privée se réjouit d’avoir l’occasion de collaborer avec d’autres organismes de réglementation, y compris la Banque du Canada, pour veiller à ce que le cadre proposé soit mis en œuvre de manière à protéger et à promouvoir le droit à la vie privée des Canadiennes et des Canadiens.

Contexte

  • Le projet C-15 propose de transférer la responsabilité de la surveillance des services bancaires axés sur les consommateurs de l’Agence de la consommation en matière financière du Canada (ACFC) à la Banque du Canada. Le ministère des Finances établira le cadre stratégique et législatif global pour ces services, tandis que la Banque du Canada sera responsable de la surveillance, de la mise en œuvre et de la supervision du cadre. L’ACFC supervise les entités financières sous réglementation fédérale et promeut la littératie financière.
  • En février 2019, le Commissariat à la protection de la vie privée (le Commissariat) a envoyé une présentation au ministère des Finances en réponse à sa consultation sur le bien-fondé des services bancaires axés sur les consommateurs. Il y soulignait l’importance d’avoir des lois strictes sur la protection des renseignements personnels pour renforcer la confiance des consommateurs à l’égard de l’économie numérique et favoriser leur participation à celle-ci.
  • En décembre 2020, le Commissariat a participé à quatre réunions du comité consultatif dirigées par le ministère des Finances, qui abordaient divers sujets, notamment la protection de la vie privée et des données. Entre 2021 et 2024, il a rencontré régulièrement des fonctionnaires de niveau opérationnel du ministère des Finances pour discuter du développement du cadre, tout particulièrement des aspects liés à la protection des renseignements personnels.
  • En mars 2025, le Commissaire a rencontré la Commissaire de l’ACFC, Shereen Miller, et a réitéré sa volonté de collaborer par rapport à des initiatives connexes, comme la publication de directives et le traitement des atteintes à la sécurité.

Responsable : PRAP

Collaboration avec le Bureau de la concurrence

Notes d’allocution

  • Le Commissariat à la protection de la vie privée collabore avec le Bureau de la concurrence pour faire appliquer la Loi canadienne anti-pourriel et présente les pratiques exemplaires en matière d’élaboration de politiques et les travaux actuels.
  • Les deux organisations sont cofondatrices du Forum canadien des organismes de réglementation numérique, un groupe créé en juin 2023 pour renforcer le transfert de renseignements et la collaboration sur des questions liées à la politique numérique.
  • Tout comme le Bureau, je soutiens les services bancaires axés sur les consommateurs, car ils pourraient aider les individus à transférer leurs renseignements personnels en toute sécurité, promouvoir le choix des consommateurs, profiter aux petites et moyennes organisations et accroître la concurrence, bien que certaines améliorations ciblées puissent être apportées.

Contexte

  • Dans son mémoire sur le projet de loi C-27, le Commissariat à la protection de la vie privée (le Commissariat) a recommandé de renforcer la capacité du Commissaire à collaborer avec des organisations nationales, comme le Bureau de la concurrence, afin d’améliorer la coordination et l’efficacité lors du traitement des affaires soulevant des questions de protection de la vie privée.
  • En cette troisième année d’existence du Forum canadien des organismes de réglementation numérique, le Bureau de la concurrence et le Commissariat élaborent un article sur les mécanismes de conception numérique et la manière dont ils s’appliquent à leur mandat respectif.
  • En mars 2024, le Bureau de la concurrence a envoyé une réponse à la consultation publique du ministère des Finances visant à renforcer le secteur financier canadien. Il y recommandait d’adopter un cadre des services bancaires axés sur les consommateurs dès que possible, car il :
    • offrirait aux individus un moyen de transférer, d’une manière sécurisée, leurs renseignements d’une organisation à une autre;
    • pourrait aider à réduire les coûts de transfert pour les consommateurs;
    • réduirait les obstacles à l’entrée dans le marché que rencontrent les nouveaux entrants et les petites et moyennes organisations, augmentant ainsi la concurrence.

Responsable : PRAP

Table des matières

Opinions sur les changements à la LPRPDE proposés dans le projet de loi C-15

Portabilité des données ou mobilité des données

Droit de données des consommateurs en Australie

Portabilité des données en Californie

Portabilité des données prévue par le RGPD

Portabilité des données au Québec

Portabilité des données au Royaume-Uni

Données dérivées ou inférées dans d’autres lois sur la mobilité des données

Dispositions sur les données des tiers et des titulaires d’un compte commun dans d’autres lois sur la mobilité des données

Normes/interopérabilité dans d’autres lois sur la mobilité des données

Mobilité des données et soins de santé

Mobilité des données et services bancaires axés sur les consommateurs

Loi sur les services bancaires axés sur les consommateurs

Engagement avec le ministère des Finances et l’Agence de la consommation en matière financière du Canada sur les services bancaires axés sur les consommateurs

Collaboration avec le Bureau de la concurrence

Date de modification :