Fiches des enjeux consolidées d’une session d’information générale (ETHI)

Renseignements généraux sur l’organisation

---

Rôle et mandat du Commissariat à la protection de la vie privée et pouvoirs du Commissaire

Notes d’allocution

• Le Commissariat a pour mission de protéger et de promouvoir le droit à la vie privée des personnes.
• En tant qu’agent du Parlement, j’agis de manière indépendante pour assurer le respect de la Loi sur la protection des renseignements personnels (LPRP), qui régit le traitement des renseignements personnels par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
• En plus de veiller au respect de la LPRP et de la LPRPDE, le Commissariat donne des conseils au Parlement, collabore avec des partenaires nationaux et internationaux, finance de la recherche sur la protection de la vie privée, rédige des documents d’orientation à l’intention des Canadiennes et des Canadiens ainsi que des organisations et informe la population au moyen d’activités de communication et de sensibilisation.
• À l’heure actuelle, les recommandations que je formule dans le cadre de mes enquêtes ne sont pas contraignantes. Contrairement à la commissaire à l’information et à certains commissaires provinciaux à la protection de la vie privée, je n’ai pas le pouvoir de rendre des ordonnances exécutoires.

Contexte

• Le Commissaire à la protection de la vie privée travaille indépendamment de toute autre entité du gouvernement pour examiner les plaintes déposées par des individus (en vertu de l’article 29 de la LPRP et de l’article 11 de la LPRPDE). Il peut aussi prendre l’initiative d’une enquête s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question (paragraphe 29(3) de la LPRP et paragraphe 11(2) de la LPRPDE) et publier un rapport de conclusions.
• La LPRPDE ne s’applique pas dans les provinces qui ont édicté des lois essentiellement similaires, sauf dans le cadre d’une entreprise fédérale ou encore de l’échange de renseignements personnels d’une province à l’autre ou d’un pays à l’autre.
• Actuellement, le Commissaire doit résoudre les plaintes par la négociation et la persuasion. Cependant, si les parties ne collaborent pas, le Commissaire est habilité à assigner des témoins, à faire prêter serment et à exiger la production de preuves.
• Dans certaines circonstances, lorsque la question reste non résolue, le Commissaire peut intenter une poursuite devant la Cour fédérale (en vertu des articles 14 et 15 de la LPRPDE et de l’article 41 de la LPRP – uniquement dans les cas de refus de communication).

RESPONSABLE : PRAP

---

Priorités stratégiques 2024-2027

Notes d’allocution

• Mon plan stratégique et les trois priorités en matière de protection de la vie privée sur lesquelles il repose servent de feuille de route pour maintenir la confiance et favoriser l’innovation, tout en protégeant le droit fondamental à la vie privée à l’ère numérique.
• Nos trois priorités stratégiques sont (1) protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, (2) faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, ainsi que (3) défendre le droit à la vie privée des enfants.
• Ces priorités stratégiques sont celles où le Commissariat peut avoir le plus d’incidence. Il s’agit aussi de domaines où résident les plus grands risques pour la vie privée si l’on ne s’y attaque pas. Ces priorités stratégiques orienteront les activités du Commissariat jusqu’en 2027.

Contexte

• La première priorité est de veiller à ce que les activités du Commissariat soient efficaces et efficientes et à ce qu’elles aient des retombées concrètes.
  • P. ex. le plan de transformation (lancé en janvier 2025 et mis en œuvre en avril 2025) a restructuré les fonctions du Commissariat afin que celui-ci réponde rapidement et efficacement aux enjeux émergents et mène ses activités de conformité de façon plus stratégique.
• La deuxième priorité consiste à renforcer notre capacité à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l’intelligence artificielle (IA) et de l’IA générative, et à favoriser les innovations technologiques respectueuses de la vie privée.
  • P. ex. la collaboration au sein de la Table ronde des autorités de protection des données et de la vie privée du G7, qui a mené à la publication de déclarations sur le rôle des autorités de protection des données et de la vie privée dans la promotion d’une IA digne de confiance ainsi que sur l’IA adaptée aux enfants.
• La troisième priorité consiste à promouvoir et à protéger le droit à la vie privée des enfants ainsi qu’à comprendre et à reconnaître les caractéristiques propres à la vie privée des jeunes afin qu’ils puissent profiter de la technologie sans que leur bien-être et leur vie privée soient compromis.
  • P. ex. la recherche ciblée, la sensibilisation des jeunes, le lancement d’un conseil jeunesse et la prise en compte de cette priorité dans la tenue de nos activités d’application de la loi, entre autres auprès de TikTok et de PowerSchool.

RESPONSABLE : PRAP

---

Établissement de l’ordre des priorités du Commissariat

Notes d’allocution

• Les enjeux et les risques pour la vie privée auxquels nous sommes collectivement confrontés comme société, tant dans le secteur public que dans le secteur privé, sont vastes et complexes. Compte tenu des niveaux de ressources actuels, il est impossible pour le Commissariat de répondre à tous les besoins. Je dois donc faire des choix et établir un ordre de priorité.
• L’an dernier, j’ai publié le plan stratégique du Commissariat, qui définit trois priorités stratégiques qui guideront notre travail jusqu’en 2027. Selon nous, les priorités présentées ci-haut sont celles où l’on peut avoir le plus d’incidence. Il s’agit aussi de domaines où résident les plus grands risques pour la vie privée si on ne s’y attaque pas.
• Dans le cadre de la récente transformation du Commissariat, j’ai également centralisé les fonctions liées aux renseignements opérationnels afin que le Commissariat puisse tirer parti de ceux-ci et d’un cadre solide de gestion des risques pour prendre des décisions clés et faire des choix stratégiques.
• De plus, les fonctionnaires du Commissariat se rencontrent régulièrement pour discuter des enjeux émergents afin que nous soyons en mesure d’intervenir plus rapidement et de façon plus proactive. Lorsque nous déterminons les mesures à prendre, nous tenons compte de facteurs tels que la conformité aux priorités stratégiques du Commissariat, l’optimisation des ressources du Commissariat, les risques pour le droit à la vie privée des Canadiennes et des Canadiens et l’obtention de résultats optimaux pour les Canadiennes et les Canadiens.

Contexte

• Les trois priorités stratégiques du Commissariat sont : (1) protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, (2) faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, ainsi que (3) défendre le droit à la vie privée des enfants.
• La fonction centralisée liée aux renseignements opérationnels vise à tirer parti de l’information et des données pour orienter à la fois les activités de promotion et les activités d’application de la loi, que ce soit pour fournir des orientations ciblées, faire de la sensibilisation ou traiter des questions de conformité dans le secteur public ou privé.
• De hauts fonctionnaires de l’ensemble du Commissariat se réunissent chaque mois pour discuter des enjeux émergents et faire des recommandations au Commissaire quant aux mesures à prendre.

RESPONSABLE : PRAP

---

Structure et transformation du Commissariat

Notes d’allocution

• Au cours des derniers mois, le Commissariat a connu une réorganisation et une transformation majeures qui visent à simplifier ses activités et à lui permettre de se concentrer sur l’obtention de meilleurs résultats pour les Canadiennes et les Canadiens.
• La nouvelle structure nous permettra de faire ce qui suit :
  • accorder une importance encore plus grande à nos priorités stratégiques;
  • répondre plus rapidement et plus efficacement aux enjeux émergents grâce à une mobilisation plus proactive des organisations;
  • faire évoluer notre approche des enquêtes afin de promouvoir la conformité;
  • harmoniser davantage nos travaux et l’ensemble de nos activités.
• En vigueur depuis le 1er avril 2025, la nouvelle structure fait en sorte que le travail du Commissariat, notamment ses activités de conformité, est efficace et efficient, qu’il a des retombées concrètes et qu’il permet de répondre aux nombreux nouveaux défis qui se dressent en matière de protection de la vie privée.

Contexte

• La transformation du Commissariat favorise la collaboration et la cohésion et simplifie nos processus, ce qui permettra d’adopter des approches plus intégrées, plus flexibles et plus stratégiques qui maximiseront l’incidence de nos activités sur la population canadienne.
• La transformation correspond à la première priorité stratégique du Commissariat, soit « protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés ».
• La nouvelle structure recadre la fonction de conformité comme un continuum. Ainsi, le Commissariat pourra mettre davantage l’accent sur la mobilisation des organisations, de façon proactive et réactive, afin de favoriser la conformité, d’assouplir les frontières structurelles entre les deux lois fédérales sur la protection des renseignements personnels et d’entreprendre certaines activités et interventions dans un but précis.
• L’objectif est de résoudre le plus grand nombre de cas possible au moyen de la mobilisation précoce et du processus de règlement rapide ainsi que de concentrer nos enquêtes approfondies sur des problèmes ou des incidents prioritaires.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Ressources budgétaires du Commissariat

Notes d’allocution

• Le financement total proposé pour le Commissariat dans le Budget principal des dépenses de 2025-2026 est de 38,4 millions de dollars.
• Ce montant représente une hausse de 4,4 millions de dollars par rapport à l’exercice précédent; elle est attribuable au financement supplémentaire résultant du renouvellement des conventions collectives, aux rajustements au régime d’avantages sociaux des employés (1,1 million de dollars) et au financement temporaire reçu dans le cadre du Budget de 2023 (3,3 millions de dollars).
• Ce financement temporaire a permis au Commissariat de réduire l’arriéré des plaintes et d’entreprendre des enquêtes plus approfondies sur les atteintes à la vie privée, mais nous aurons besoin d’une solution permanente si nous voulons traiter dans leur ensemble le volume et la complexité des problèmes de protection de la vie privée dans le contexte actuel.
• Voilà pourquoi j’ai recommandé qu’au minimum, le financement temporaire destiné à la réduction de l’arriéré des plaintes et aux enquêtes sur les atteintes à la vie privée soit transformé en financement permanent.
• Nous utilisons ces fonds pour protéger et promouvoir le droit à la vie privée, notamment en enquêtant sur les plaintes, en évaluant la conformité, en fournissant des conseils et des recommandations et en travaillant en collaboration avec les parties prenantes d’autres administrations.

Contexte

• Le Budget principal des dépenses de 2025-2026 du Commissariat, qui s’élève à 38,4 millions de dollars, est réparti comme suit (le budget de 2023-2024 est présenté aux fins de comparaison) :
  

  Dépenses budgétaires	2024-2025		2025-2026
  	M$	%	M$	%
  Dépenses liées au personnel (incluant le RASE)	28,3	83	31,0	81
  Dépense de fonctionnement	5,2	15	6,9	18
  Programme des contributions	0,5	2	0,5	1
  Niveaux de référence totaux	34,0	100	38,4	100

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Adoption de l’IA au Commissariat

Notes d’allocution

• En octobre 2024, le Commissariat a lancé sa stratégie interne en matière d’IA afin de donner l’exemple d’une mise en œuvre de l’IA qui place la protection de la vie privée au premier plan au gouvernement du Canada, de développer une expertise pratique en matière d’IA au sein du Commissariat et d’aider le personnel à améliorer l’efficience grâce à une utilisation responsable de l’IA.
• Le Commissariat a investi dans des serveurs d’IA internes sécurisés et très performants. Nous souhaitons faire part de notre expérience à d’autres ministères afin de promouvoir les principes de protection de la vie privée dès la conception et le respect des obligations découlant des lois et des politiques.
• La première version de notre service d’IA interne, qui est axée sur des cas d’utilisation à faible risque, comme la synthèse de l’information, sera offerte à notre personnel cette année. Nous prévoyons l’étendre à d’autres cas d’utilisation ultérieurement.
• Cette initiative soutient la deuxième priorité stratégique du Commissariat, qui concerne les répercussions des progrès technologiques rapides sur la protection de la vie privée, en particulier dans le domaine de l’IA.

Contexte

• Les employés du Commissariat ont pour instruction de ne pas utiliser ChatGPT pour des tâches liées à leur travail ni sur des appareils du Commissariat, sauf s’ils doivent l’évaluer dans le cadre d’une enquête.
• L’accès aux services en ligne de DeepSeek a été bloqué sur les appareils du Commissariat, conformément à la directive du dirigeant principal de l’information du gouvernement du Canada, et nous continuons de surveiller l’apparition de nouvelles cybermenaces et de nous y adapter.
• D’autres services sont permis, mais leur utilisation doit respecter nos politiques d’utilisation acceptable et les lignes directrices relatives aux technologies assistées par l’IA.
• La première version de l’IA interne du Commissariat n’est pas entraînée au moyen de données internes, ne recueillera aucun renseignement personnel, ne fournira pas de capacités de recherche et de prise de décision automatisée et ne sera pas utilisée pour offrir des services externes aux Canadiennes et aux Canadiens.
• Le Commissariat a appliqué les principes de protection de la vie privée dès la conception de cette solution; il a notamment réalisé une évaluation des facteurs relatifs à la vie privée (EFVP) afin que les risques soient établis et gérés de manière adéquate.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Expertise et formation du personnel du Commissariat

Notes d’allocution

• La portée du contexte opérationnel du Commissariat est vaste et exige des connaissances dans des domaines comme la protection de la vie privée, la technologie de l’information, les finances, la sécurité nationale et le droit.
• Nous nous efforçons de recruter des employés d’horizons divers qui possèdent les connaissances et les compétences qui nous aideront à atteindre les objectifs ambitieux que nous nous sommes fixés dans notre plan stratégique. Nous veillons aussi à former nos employés dans des domaines clés, comme la protection de la vie privée des enfants, les technologies émergentes et la sécurité des technologies de l’information.
• Nous renforçons également notre fonction d’analyse de la technologie en embauchant des gens qui ont une expertise en matière d’IA et d’IA générative, des domaines dans lesquels nos besoins en matière de formation et d’expertise augmentent de façon exponentielle.
• Dans le cadre de la transformation du Commissariat, nous nous sommes engagés à mettre en œuvre un programme de perfectionnement destiné aux employés du groupe professionnel PM, notre groupe professionnel le plus important. Le but ultime de ce programme est de recruter des experts de la protection de la vie privée qui joueront un rôle essentiel dans la réalisation de nos objectifs stratégiques, de leur offrir du perfectionnement et d’assurer leur maintien en poste. Le développement de ce programme sera l’un des points forts de cette année.

Contexte

• Étant donné les pressions croissantes exercées sur le marché du travail, les experts en protection de la vie privée sont très demandés. C’est pourquoi nous cherchons continuellement des moyens d’améliorer le recrutement et la formation de nouveaux talents et de perfectionner les talents internes afin de maintenir les compétences et les connaissances de l’organisation.
• Nous améliorons l’accès au contenu de formation lié à la technologie pour nous assurer que nous suivons la rapide évolution des progrès technologiques et conservons une longueur d’avance sur leurs répercussions sur la vie privée, particulièrement en ce qui concerne l’intelligence artificielle (IA) et l’IA générative.
• L’une des recommandations du plan de transformation du Commissariat était la création et la mise en œuvre d’un programme de perfectionnement destiné aux employés du groupe professionnel PM, qui serait géré par le Secteur de la promotion de la conformité et de l’application de la loi. Nous sommes en train d’établir un contrat afin de pouvoir embaucher un expert-conseil qui nous aidera à mettre ce programme sur pied. Des parties prenantes clés comme la direction et les ressources humaines seront consultées. Ce projet devrait être terminé d’ici l’été 2026.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Laboratoire d’analyse des technologies

Notes d’allocution

• La prise en compte des répercussions des avancées technologiques sur la protection de la vie privée est l’une des priorités stratégiques du Commissariat.
• À cette fin, le Commissariat étudie différentes technologies pour évaluer leurs répercussions potentielles sur la protection de la vie privée.
• Le Commissariat dispose d’une équipe d’analystes des technologies de l’information qui mettent à profit leur vaste expertise technologique pour examiner les logiciels malveillants, les composants matériels, les applications mobiles, les systèmes d’entreprises et les appareils d’Internet des objets dans le but de promouvoir la protection de la vie privée par l’utilisation sûre et sécuritaire des technologies numériques par la population canadienne.
• Le laboratoire d’analyse technologique du Commissariat appuie également les enquêtes de conformité et les recherches liées aux technologies émergentes, notamment l’intelligence artificielle, la biométrie, ainsi que les technologies d’amélioration de la confidentialité.
• En établissant des partenariats stratégiques, en soutenant les autorités provinciales, territoriales, fédérales et internationales chargées de la protection des données dans le développement d’une expertise technologique et en intégrant la prospective technologique dans la prise de décision organisationnelle, la Division de l’analyse de la technologie (DAT) joue un rôle essentiel dans l’optimisation des efforts du Commissariat.

Contexte

• La DAT compte actuellement neuf équivalents temps plein, et la majorité de ses employés ont une formation et de l’expérience dans le domaine de l’informatique.
• Le personnel de la DAT possède une expertise en matière d’informatique judiciaire, d’intervention en cas d’incident, d’essais de pénétration, de rétro-ingénierie des logiciels et du matériel informatique et d’intelligence artificielle, entre autres.
• Durant le dernier exercice (2024-2025), la DAT a soutenu 37 enquêtes de conformité et 37 initiatives de promotion.
• En plus d’appuyer les activités en lien avec le mandat principal du Commissariat, la DAT continue de soutenir diverses fonctions internes de gestion de l’information et de technologie de l’information liées à la cybersécurité, comme des évaluations ponctuelles de la sécurité de divers systèmes du Commissariat.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Modèles de financement des agents du Parlement

Notes d’allocution

• Nous avons plaidé en faveur d’un mécanisme de financement stable à long terme qui reflète le rôle indépendant joué par les agents du Parlement et qui garantit également que leurs services sont correctement financés.
• Il y a actuellement un conflit d’intérêts inhérent au fait que le CPVP examine le respect des lois gouvernementales concernant la protection de la vie privée et qu’il dépend de ce même gouvernement pour son financement.
• Un mécanisme de financement assurant un financement stable et adéquat pour aborder rapidement les problèmes émergents serait préférable au processus actuel.

Contexte

• Les agents du Parlement ont envoyé une lettre au directeur parlementaire du budget, datée du 31 janvier 2019, pour demander une solution de rechange au processus de mécanisme de financement existant.
• Tous les agents du Parlement ne disposent pas du même mécanisme de financement. Le directeur parlementaire du budget, par exemple, a la possibilité de demander des fonds directement aux présidents de la Chambre et au Sénat.
• En 2005, un projet pilote de comité consultatif a été lancé pour mettre à l’essai un nouveau modèle de financement et de surveillance des agents du Parlement.
  • Ce groupe a été créé en réponse aux préoccupations selon lesquelles l’indépendance par rapport au gouvernement pourrait être compromise parce que le Conseil du Trésor détermine le montant des fonds mis à la disposition des agents du Parlement.
• Dans le rapport Corbett de 2008, il a été conclu que le projet pilote était une réussite et qu’il devrait être rendu permanent, étant donné qu’il a atteint l’objectif fondamental de réduire la perception de conflit d’intérêts inhérente au processus préexistant.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Délais d’enquête

Notes d’allocution

• Plus de la moitié des plaintes fermées par le Commissariat au cours du dernier exercice l’ont été par règlement rapide, un processus d’enquête simplifié axé sur une médiation rapide entre les parties.
• Lorsqu’une plainte nécessite un examen plus approfondi, le Commissariat s’efforce de le mener à bien dans un délai d’un an, dans la mesure du possible. Toutefois, certains facteurs peuvent allonger la durée d’une enquête, comme la réactivité des organisations ou le fait que plusieurs entités soient mises en cause.
• Les enquêtes conjointes que j’entreprends avec mes collègues provinciaux, territoriaux et internationaux peuvent s’avérer très fructueuses, mais elles peuvent aussi prendre plus de temps.
• À la fin du dernier exercice, le Commissariat avait considérablement réduit son arriéré d’enquêtes en cours, dépassant même son objectif. C’était la première fois depuis plusieurs années.
• Le Commissariat essaie continuellement d’innover pour améliorer les délais de traitement. C’est avec cet objectif en tête que j’ai lancé en mai dernier un plan de transformation qui regroupe les activités de conformité dans un secteur intégré se présentant sous la forme d’un continuum unique. Ce modèle de service renouvelé vise à améliorer l’efficience et à obtenir de meilleurs résultats pour les Canadiennes et les Canadiens.

Contexte

• À la fin du dernier exercice, l’arriéré des cas (plus de 12 mois) représentait seulement 9 % de toutes les enquêtes en cours du Commissariat, un niveau qui n’avait pas été atteint depuis 2021. La cible est de 10 %.
• Le délai moyen de traitement des 438 plaintes déposées en vertu de la LPRPDE qui ont été fermées au cours du dernier exercice était de 8,8 mois.
• Le délai moyen de traitement des 1 317 plaintes déposées en vertu de la LPRP qui ont été fermées au cours du dernier exercice était de 4,6 mois.
• Les plaintes déposées en vertu de la LPRPDE prennent plus de temps, car elles sont généralement plus complexes et que, souvent, le Commissariat doit d’abord établir s’il a compétence dans l’affaire en question.

RESPONSABLE : SPCAL

---

Frais de litige

Notes d’allocution

• Le Commissariat règle de nombreuses plaintes par règlement rapide ou au moyen de ses conclusions et recommandations d’enquête. Néanmoins, comme je n’ai pas le pouvoir de prendre des ordonnances, la seule façon d’assurer l’application de mes recommandations est parfois de porter l’affaire devant les tribunaux.
• Présenter une demande de nature judiciaire ou répondre à une demande de contrôle judiciaire peut s’avérer très coûteux, malgré les efforts déployés pour utiliser les ressources de manière judicieuse.
• Généralement, les dépenses annuelles du Commissariat liées aux litiges ont varié entre 100 000 $ et 300 000 $ au cours des six derniers exercices, mais, en 2023-2024, elles ont plus que doublé par rapport à l’exercice précédent, atteignant 700 000 $.
• Cette hausse est attribuable à des circonstances uniques, deux cas ayant été portés en Cour fédérale et trois cas en Cour d’appel fédérale.

Contexte

• Dépenses du Commissariat liées aux litiges pour les honoraires des avocats externes, par exercice :
  

  2019-2020	2020-2021	2021-2022	2022-2023	2023-2024	2024-2025
  130 597,50 $	114 930,49 $	212 329,02 $	284 277,14 $	771 381,86 $	137 606,15 $

RESPONSABLE : SERVICES JURIDIQUES

---

Collaboration fédérale, provinciale et territoriale (FPT)

Notes d’allocution

• Il est essentiel que les organismes de réglementation du pays collaborent pour pouvoir relever les défis modernes en matière de protection de la vie privée et optimiser l’incidence de nos efforts pour la population et les organisations canadiennes.
• L’interopérabilité des lois sur la protection des renseignements personnels offre une uniformité aux organisations et des protections communes aux données des individus de partout au Canada.
• Je rencontre régulièrement mes homologues provinciaux et territoriaux pour discuter de questions d’intérêt commun, échanger de l’information et collaborer.
• Nous publions également des résolutions et des déclarations communes pour exprimer un consensus sur des politiques publiques d’intérêt commun ou des préoccupations communes, par exemple les principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée, qui ont été élaborés l’année dernière.
• Pour des activités comme la tenue d’enquêtes conjointes et l’établissement d’orientations destinées aux organisations, le Commissariat à la protection de la vie privée du Canada travaille en étroite collaboration avec les commissariats à la protection de la vie privée du Québec, de la Colombie-Britannique et de l’Alberta, car ils sont soumis à des lois provinciales jugées essentiellement similaires à la Loi sur la protection des renseignements personnels et les documents électroniques.

Contexte

• En mai 2022, le CPVP, de concert avec les commissariats du Québec, de la Colombie-Britannique et de l’Alberta, a conclu un protocole d’entente pour permettre l’échange d’information, la tenue de consultations sur des questions d’application de la loi, les discussions sur des points d’intérêt commun en matière de politiques, et l’élaboration de ressources liées à la sensibilisation du public et à la conformité.
• Le Commissariat a récemment mis à jour son protocole d’entente avec l’Ontario afin de tenir compte des changements législatifs apportés dans cette province et d’ajouter des dispositions relatives aux enquêtes et aux décisions conjointes.
• En novembre 2024, la table fédérale-provinciale-territoriale a adopté deux résolutions en matière de protection de la vie privée, soit Repérer et atténuer les préjudices découlant des mécanismes de conception trompeuse relatifs à la protection de la vie privée et Communication responsable de renseignements en situation de violence conjugale.
• Le Commissariat mène actuellement plusieurs enquêtes conjointes avec les commissariats à la protection de la vie privée provinciaux, notamment sur TikTok, Open AI et Certn.

RESPONSABLE : CRPP

---

Collaboration internationale

Notes d’allocution

• À l’ère du numérique et des données, une coordination à l’échelle mondiale est nécessaire pour assurer la protection de la vie privée. Comme les données personnelles circulent partout dans le monde à une vitesse fulgurante et à grande échelle, la collaboration internationale est essentielle pour composer avec la complexité croissante et la nature mondiale de la protection des données.
• Nous sommes à un moment décisif pour la protection de la vie privée. En collaborant avec ses homologues internationaux, le Commissariat peut faire entendre la voix du Canada et rester à l’avant-garde des efforts mondiaux visant à faire progresser la protection de la vie privée et des données.
• Il faut adopter des approches modernes et des normes communes afin d’assurer une cohérence accrue pour les entreprises qui exercent leurs activités dans différentes juridictions et d’offrir de meilleures mesures de protection aux individus.
• L’un des faits saillants à cet égard est ma récente nomination au poste de président de l’Assemblée mondiale pour la protection de la vie privée, un important forum international consacré à la protection de la vie privée. Font partie de ma vision l’optimisation de nos efforts collectifs pour prendre en compte les répercussions des technologies sur la protection de la vie privée, la protection de la vie privée des jeunes et la circulation des données à l’échelle internationale, le tout dans le but de façonner un avenir propice à l’innovation, où le droit à la vie privée est respecté et où la confiance est renforcée.

Contexte

• Table ronde des autorités de protection des données et de la vie privée du G7 (juin 2025) – Adoption d’une déclaration commune intitulée Promouvoir l’innovation responsable et protéger les enfants en priorisant la protection de la vie privée.
• Assemblée mondiale pour la protection de la vie privée – Nomination du Commissaire au poste de président (septembre 2025). Le Commissariat préside le Groupe de travail sur la protection des données et des autres droits et libertés, le Groupe de travail sur la coopération internationale en matière d’application de la loi et le Groupe de travail sur le citoyen et le consommateur numérique. Il est aussi membre de huit autres groupes de travail, notamment sur l’éthique de l’IA et sur l’éducation numérique.
• Participation du Commissariat : Global Privacy Enforcement Network; Autorités de protection de la vie privée de la zone Asie-Pacifique; Association francophone des autorités de protection des données personnelles; Forum mondial sur les règles relatives aux transferts transfrontaliers de données; groupe de travail de l’OCDE sur la gouvernance des données et la vie privée.
• Le Commissariat est partie à dix protocoles d’entente bilatéraux et à trois protocoles d’entente multilatéraux et il participe à l’accord de coopération de la Coopération économique de la zone Asie-Pacifique pour l’application transfrontalière de la protection de la vie privée, à l’entente de coopération transfrontalière dans l’application des lois de l’AMVP et à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée.
• Conformité avec le Règlement général sur la protection des données (RGPD) (janvier 2024).

RESPONSABLE : CRPP

---

Forum canadien des organismes de réglementation numérique – Deuxième année

Notes d’allocution

• Le Forum canadien des organismes de réglementation numérique est un partenariat entre le Commissariat, le Conseil de la radiodiffusion et des télécommunications canadiennes, le Bureau de la concurrence et la Commission du droit d’auteur.
• Établi en juin 2023, il a pour but de renforcer la collaboration sur les questions relatives aux marchés et aux plateformes numériques.
• J’en ai été le président durant la deuxième année, qui a été axée sur le renforcement des capacités et la collaboration. Notre principale réalisation est la publication récente d’un article sur les médias synthétiques, c’est-à-dire les images, les vidéos, le texte et les enregistrements audio générés artificiellement, généralement à l’aide de technologies d’IA.
• Cette année, le Forum est présidé par Vicky Eatrides, présidente du Conseil de la radiodiffusion et des télécommunications canadiennes.
• Cette année, nous continuerons de renforcer la collaboration en nous engageant auprès de parties prenantes externes; nous organiserons notamment un atelier et publierons une série d’articles sur l’évolution des marchés numériques.

Contexte

• Parmi nos autres réalisations de la deuxième année, mentionnons :
  • l’admission de la Commission du droit d’auteur du Canada à titre de membre permanent du Forum;
  • la tenue d’une table ronde mettant en lumière le travail du Forum pendant sa première année d’existence à l’occasion du Symposium canadien sur la protection de la vie privée de l’International Association of Privacy Professionals à Toronto;
  • la tenue de discussions sur les répercussions de l’IA et sur le rôle des membres dans sa réglementation à l’occasion du Sommet canadien de la concurrence.
• En tant que président, le Commissaire a représenté le Forum à l’activité organisée conjointement par le Réseau international de coopération en matière de réglementation numérique et l’Organisation de coopération et de développement économiques et qui portait sur l’interaction entre les cadres réglementaires numériques. Il y a été question des médias synthétiques et des mécanismes de conception trompeuse et le Forum a signé la déclaration commune faite au terme de l’activité.

RESPONSABLE : PRAP

---

Sensibilisation du public et engagement

Notes d’allocution

• L’une des fonctions importantes du Commissariat est d’informer les gens de leurs droits et du travail que nous menons sur des questions qui touchent leur vie privée et de renseigner les entreprises et les institutions fédérales sur leurs obligations en matière de vie privée.
• Mettre la protection de la vie privée au cœur des priorités, c’est bâtir une économie canadienne résiliente et une société numérique plus sécuritaire et plus enrichissante. La promotion d’une culture de protection de la vie privée, l’adoption de principes de protection de la vie privée dès la conception et l’établissement de normes en matière de protection de la vie privée permettent une innovation responsable.
• À cette fin, les experts du Commissariat et moi-même nous entretenons fréquemment avec diverses parties prenantes, notamment des étudiants, des entreprises, des professionnels de la protection de la vie privée, des institutions fédérales et d’autres organismes de réglementation. Nous créons aussi des ressources pour les individus et les organisations afin de mieux faire connaître et comprendre les enjeux relatifs à la protection de la vie privée. Enfin, nous diffusons des communications proactives.
• Dans le cadre du plan de transformation du Commissariat lancé en janvier dernier, je mets davantage l’accent sur les partenariats stratégiques, la mobilisation et la collaboration afin de maximiser l’incidence de nos efforts.

Contexte

• Nous offrons des ressources aux individus (p. ex. des conseils sur la protection de la vie privée en ligne, sur l’IA, sur la façon de soulever des préoccupations en matière de protection de la vie privée auprès d’une entreprise) et aux enseignants (p. ex. romans graphiques, guides de discussions, vidéos, affiches, plans de cours, présentations).
• Nous proposons aussi des ressources aux entreprises (p. ex. des orientations sur des questions données, des activités de sensibilisation, des vidéos) ainsi qu’aux institutions fédérales (p. ex. des bulletins sur la LPRP, des leçons apprises, des actualités, tendances et renseignements sur la protection de la vie privée).
• Voici un aperçu de nos activités en 2024-2025 :
  • Nous avons prononcé 100 discours devant diverses audiences et nous étions présents à une activité pour les éducateurs.
  • Nous avons publié 48 communiqués, répondu à 137 demandes des médias et enregistré près de trois millions de visites sur notre site Web.
  • Nous avons coordonné le ratissage de 2024 du GPEN et développé des produits sur la conception trompeuse.
  • Nous avons produit des conseils et une campagne radiophonique sur le vol d’identité, mené deux campagnes par courriel auprès du personnel enseignant.
  • Nous avons participé à des campagnes de sensibilisation, notamment en publiant du contenu sur nos médias sociaux (p. ex. pour la Semaine de sensibilisation à la protection de la vie privée, le Mois de la sensibilisation à la cybersécurité, la Semaine de la PME, la Semaine éducation médias et la Semaine de la protection des données).

RESPONSABLE : CRPP

---

Résultats ministériels du Commissariat

Notes d’allocution

• En 2023-2024, nous avons continué notre travail en vue de préparer le Commissariat aux changements prévus dans notre mandat, tout en œuvrant à la réalisation des objectifs de notre Cadre ministériel.
• Nos efforts et l’apport de ressources temporaires nous ont permis de réaliser des progrès modestes tout en continuant à travailler pour atteindre l’ensemble de nos objectifs.
• Conscients des défis opérationnels auxquels nous sommes confrontés, nous avons récemment examiné nos processus et nos structures internes afin d’optimiser nos programmes et nos services et ainsi mieux répondre aux besoins des Canadiennes et des Canadiens.

Contexte

• Le dernier Rapport sur les résultats ministériels vise l’exercice 2023-2024.
• Objectifs atteints : 2
  
  Pourcentage des organisations du secteur privé qui ont une bonne ou une excellente connaissance de leurs obligations en matière de protection de la vie privée – 88 % (cible : au moins 85 %); Pourcentage des organisations fédérales et du secteur privé pour lesquelles les conseils et l’orientation prodigués par le Commissariat sont utiles quant à leur atteinte de la conformité – 72 % (cible : au moins 70 %).
• Objectifs non atteints : 4
  
  Pourcentage de plaintes auxquelles une réponse a été donnée selon les normes de service – 50 % (cible : au moins 75 %); Pourcentage des recommandations officielles du Commissariat appliquées par les ministères et les organismes – 82 % (cible : au moins 85 %); Pourcentage de Canadiens qui lisent l’information communiquée par le Commissariat et la trouvent utile – 68 % (cible : au moins 70 %); Pourcentage d’adoption des recommandations faites par le Commissariat sur les projets de loi et les études qui ont trait à la vie privée – 50 % (cible : au moins 60 %).
• Indicateurs n’ayant pas d’objectif : 2
• Étant donné que les lignes directrices du Commissariat sont fondées sur la loi et qu’elles pourraient rapidement devenir obsolètes à la suite d’une éventuelle transformation du cadre juridique, les deux indicateurs qui mesurent nos conseils offerts aux entreprises et les renseignements fournis aux Canadiens sur les enjeux clés liés à la vie privée n’avaient pas d’objectif.
  • En ce qui concerne les programmes, le Commissariat a atteint 3 de ces objectifs.
  • Les résultats au niveau des conséquences et des programmes sont publiés dans l’InfoBase du GC.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Services offerts à la population canadienne par le Commissariat

Notes d’allocution

• Afin de mieux protéger et promouvoir le droit à la vie privée, le Commissariat met en œuvre la Politique sur les services et le numérique du gouvernement du Canada en modernisant ses programmes et ses services et en les rendant plus faciles à utiliser et mieux adaptés aux besoins des Canadiennes et des Canadiens.
• Le Commissariat a lancé un projet d’optimisation des services numériques pour améliorer la convivialité et l’efficacité de ses services en ligne de demande d’informations et d’admission des plaintes.
• En plus d’améliorer l’expérience client, ce projet permettra d’accroître l’efficacité des processus internes et la capacité du Commissariat à améliorer les autres services qu’il offre aux Canadiennes et aux Canadiens.

Contexte

• Le Commissariat fait rapport sur 11 services qu’il offre à la population canadienne : réponse aux demandes de renseignements; prestation de services consultatifs aux entreprises; gestion des relations avec les médias; réponse aux demandes d’information des parlementaires; supervision du programme des contributions; examen des EFVP; prestation de services-conseils au gouvernement; réception et examen des rapports d’atteinte à la vie privée en vertu de la LPRP; enquête sur les plaintes déposées en vertu de la LPRP; réception et examen des rapports d’atteinte à la vie privée en vertu de la LPRPDE; enquête sur les plaintes déposées en vertu de la LPRPDE.
• Nous avons récemment ajouté les trois services suivants sur lesquels nous ferons rapport à l’avenir : offre d’information en libre-service sur notre site Web; offre d’un outil pour évaluer le risque réel de préjudice découlant d’une atteinte; acceptation des codes de pratique en matière de protection de la vie privée d’organisations canadiennes.
• Nos premières recherches montrent que le formulaire de plainte en ligne actuel fait en sorte que 43 % des plaintes soumises au Commissariat ne relèvent pas de notre compétence ou ne peuvent pas faire l’objet d’une enquête, et qu’il est difficile à utiliser pour les personnes en situation de handicap.
• Nous avons lancé un projet qui optimisera ce service essentiel en le rendant plus facile à utiliser et en améliorant la probabilité que nous recevions des plaintes qui relèvent de notre compétence.
• Nous utiliserons les leçons tirées de ce projet pour renforcer notre capacité à appliquer les techniques numériques modernes en vue d’améliorer nos services.

RESPONSABLE : SECTEUR DE LA GESTION INTÉGRÉE

---

Tendances et statistiques

---

Tendances et statistiques : Atteintes

Notes d’allocution

• Les atteintes sont en hausse constante dans les secteurs public et privé, année après année. Cela comprend les cyberincidents, mais aussi les pertes de documents et le furetage par des membres du personnel.
• Au cours du dernier exercice, le Commissariat a reçu des rapports sur des atteintes qui ont touché près de 21 millions de comptes canadiens.
• La grande majorité des atteintes dans le secteur public et plus de la moitié des atteintes dans le secteur privé signalées au Commissariat l’année dernière posaient un risque réel de préjudice grave pour les personnes dont les renseignements personnels ont été interceptés.
• Le Commissariat constate une augmentation du nombre de cyberincidents touchant des entreprises responsables d’infrastructures essentielles, comme des entreprises de services financiers et des entreprises de télécommunications.
• Durant le dernier exercice, c’est le secteur financier qui a signalé le plus grand pourcentage d’atteintes (30 %) au Commissariat.
• Récemment, des auteurs de menaces ont ciblé les secteurs du transport aérien et de la mode.

Contexte

• Depuis le début de l’exercice 2025-2026, le Commissariat a reçu sensiblement le même nombre de rapports d’atteinte qu’à la même période de l’exercice précédent. Si l’on compare les exercices 2023-2024 et 2024-2025, on constate une augmentation de près de 4 % du nombre de rapports d’atteinte.

  Atteintes à la vie privée signalées au Commissariat
  * En date du 30 juin 2025.

  EXERCICE	LPRPDE	LPRP	Total	% RRPG	Signalement des cyberincidents liés aux infrastructures essentielles et de tous les cyberincidents liés à la LPRPDE
  2025-2026*	166	144	310	76 %	23 / 82 (28 %)
  2024-2025	686	613	1299	72 %	61 / 429 (14 %)
  2023-2024	693	561	1254	65 %	34 / 321 (11 %)
  Total	1545	1318	2863	69 %	118 / 842 (14 %)

• Bien que nous ne puissions pas confirmer si l’augmentation du nombre de rapports d’atteinte est attribuable à une hausse du nombre d’incidents ou au fait que les gens sont plus enclins à signaler une atteinte, nous observons que ce sont souvent les mêmes institutions qui soumettent des rapports, en particulier dans le secteur public.

RESPONSABLE : SPCAL

---

Tendances et statistiques : Plaintes et enquêtes

Notes d’allocution

• L’une des principales fonctions du Commissariat est de recevoir et d’examiner les plaintes concernant les pratiques des institutions fédérales et des entreprises du secteur privé en matière de traitement des renseignements personnels.
• En 2024-2025, nous avons reçu 20 % de plus de plaintes que l’exercice précédent et, depuis le début de l’exercice, le nombre de plaintes a augmenté de manière considérable par rapport à la même période l’an dernier.
• En 2024-2025, nous avons conclu près de 1 800 enquêtes en vertu des deux lois, dont près des trois quarts (73 %) visaient des organisations du secteur public. Ces chiffres sont en hausse par rapport à l’exercice précédent.

Contexte

• Plaintes reçues et acceptées au cours des deux dernières années :

  EXERCICE	Loi sur la protection des renseignements personnels		LPRPDE		Total
  	Reçues	Acceptées	Reçues	Acceptées	Reçues	Acceptées
  2024/2025	1950	1279	1467	446	3417	1725
  2023/2024	1749	1113	1108	446	2857	1559

• Nous acceptons beaucoup moins de plaintes au titre de la LPRPDE qu’au titre de la LPRP. Il y a diverses raisons qui peuvent expliquer le refus d’une plainte, notamment le fait qu’elle ne relève pas de la compétence du Commissariat. Nous devons aussi souvent aviser les plaignants qu’ils doivent d’abord communiquer avec le responsable de la protection de la vie privée de l’organisation.
• Le Commissariat a une plus grande latitude pour enquêter ou non au titre de la LPRP; en outre, de nombreuses plaintes reçues sont de compétence provinciale (p. ex. celles qui touchent les données sur la santé).
• Nous constatons une hausse importante du nombre de plaintes cette année, en particulier en vertu de la LPRPDE : nous avons reçu 80 % de plus de plaintes depuis le début de l’exercice par rapport à 2024-2025.

RESPONSABLE : SPCAL

---

Tendances et statistiques : Services-conseils au gouvernement (LPRP)

Notes d’allocution

• Le Commissariat compte une équipe spécialisée qui fournit aux institutions gouvernementales, qui sont soumises à la LPRP, des conseils et des recommandations sur leurs programmes et leurs activités. Cela se fait par l’examen des EFVP et par l’intermédiaire d’activités de sensibilisation.
• Les EFVP sont une exigence prévue par une directive du Secrétariat du Conseil du Trésor, mais je continue de recommander qu’elles deviennent obligatoires selon la LPRP.
• De façon générale, le Commissariat a noté une augmentation du nombre d’EFVP soumises aux fins d’examen durant le dernier exercice. Nous avons également reçu davantage de demandes de consultation.
• Nous avons organisé de nombreuses séances de sensibilisation à l’intention du secteur public; la demande est forte et le taux de participation est très bon. Nous avons notamment tenu, en collaboration avec le Secrétariat du Conseil du Trésor, des activités virtuelles réussies portant sur la protection de la vie privée dans le cadre de la passation de marchés publics et en milieu de travail.

Contexte

• Volume de travail – Au cours de l’exercice 2024-2025 :
  • Le Commissariat a reçu 138 demandes d’évaluation des facteurs relatifs à la vie privée et 108 demandes de consultation de la part des institutions fédérales, soit une augmentation de près de 16 % par rapport à l’exercice précédent.
  • Il a aussi reçu 658 avis de communication de renseignements personnels au titre de l’alinéa 8(2)m) de la LPRP, ce qui représente également une augmentation d’environ 16 %.
  • Depuis le début de l’exercice 2025-2026, le Commissariat a reçu 91 demandes d’EFVP et de consultation et 267 avis au titre de l’alinéa 8(2)m). Bien que ce chiffre soit inférieur à celui de l’exercice précédent, nous constatons habituellement une augmentation au cours des troisième et quatrième trimestres (à mesure que les projets et les programmes avancent).
• Conseil au Secrétariat du Conseil du Trésor : Nous avons fourni des conseils sur l’orientation du gouvernement central, notamment en ce qui concerne l’IA générative, un nouveau guide sur la LPRP ainsi que de nouvelles directives sur la façon dont les EFVP doivent être effectuées.
• Sensibilisation : Nous avons tenu 18 activités de sensibilisation au cours de l’exercice précédent et 8 séances de sensibilisation ont eu lieu ou sont prévues durant les deux premiers trimestres de l’exercice en cours. On prévoit tenir 12 autres activités au cours des troisième et quatrième trimestres, dont certaines en collaboration avec le Secrétariat du Conseil du Trésor afin de maximiser leur incidence et leur portée.

RESPONSABLE : SPCAL

---

Tendances et statistiques : Services-conseils aux entreprises (LPRPDE)

Notes d’allocution

• Une des principales fonctions de Commissariat consiste à fournir des conseils aux entreprises afin de les aider à respecter leurs obligations en matière de protection de la vie privée au titre de la Loi sur la protection des renseignements personnels et les documents électroniques.
• Alors que le contexte de la protection de la vie privée continue d’évoluer, le Commissariat continuera de collaborer avec les entreprises pour les aider à soutenir l’innovation technologique tout en protégeant la vie privée en tant que droit fondamental.
• Dans le cadre de sa fonction de services-conseils aux entreprises, le Commissariat fournit des conseils aux organisations du secteur privé selon quatre secteurs de programmes : 1) services-conseils 2) sensibilisation 3) activités liées aux atteintes 4) examen et approbation des codes de pratique (fonction ajoutée en 2025).
• Au dernier exercice, plus de la moitié des consultations ont porté sur l’IA, qui fait partie des priorités stratégiques du Commissariat.
• Dans près de 75 % des cas, nous avons offert un soutien de base en matière de protection de la vie privée à de petites et moyennes entreprises, qui jouent un rôle clé dans la croissance économique et la création d’emplois au Canada.
• Cette année, conformément à la première priorité stratégique du Commissariat, soit optimiser l’incidence de nos efforts, nous mettons davantage l’accent sur la prestation de conseils aux entreprises par l’intermédiaire d’une mobilisation plus proactive visant à encourager la conformité volontaire dans les meilleurs délais, sans qu’il soit nécessaire de mener de longues enquêtes qui engagent d’importantes ressources.

Contexte

• En 2024-2025, le Commissariat a mené 15 consultations et 92 activités de promotion (ateliers sur la protection de la vie privée, expositions, présentations, rencontres avec des parties prenantes, séances de promotion ciblées, etc.) dans le secteur privé. En 2024-25, 60 % de nos consultations ont porté sur l’IA.
• Le Commissariat a aussi tiré parti de ses partenariats et organisé des présentations et des ateliers sur la protection de la vie privée par l’intermédiaire de divers centres d’innovation, accélérateurs d’entreprises et chambres de commerce; par exemple, il a collaboré avec 12 partenaires pour joindre plus de 260 entreprises au Canada atlantique, au Manitoba et en Alberta.

RESPONSABLE : SPCAL

---

Loi

Réformer les lois sur la protection des renseignements personnels, c’est dans l’intérêt du Canada

Notes d’allocution

• Les données sont l’une des ressources les plus précieuses du 21e siècle. Elles peuvent favoriser et stimuler l’innovation, et la façon dont elles sont gérées influe sur la capacité du Canada à jouer un rôle de premier plan et à prospérer dans l’économie numérique. Toutefois, nos lois fédérales dans ce domaine ont été établies avant l’avènement de l’économie numérique moderne, et les technologies continuent quant à elles d’évoluer rapidement.
• Dans le contexte de la nouvelle législature, l’adoption de mesures législatives visant à moderniser nos lois fédérales sur la protection de la vie privée pour qu’il soit possible de relever pleinement les défis du monde actuel axé sur les données marquerait une étape importante de la priorisation de la protection de la vie privée.
• Prioriser la protection de la vie privée est dans l’intérêt du Canada, car :
  • Cela permettra aux organisations canadiennes de réussir dans l’économie numérique, d’innover de façon responsable et de gagner la confiance du public;
  • Cela permettra aux Canadiennes et aux Canadiens de profiter en toute confiance des avantages d’une société numérique tout en ayant la certitude que leurs données sont protégées et utilisées de manière responsable;
  • Elle renforce les valeurs démocratiques en protégeant la liberté, la confiance, la dignité et l’autonomie – les éléments mêmes qui rendent possible la participation à la démocratie et à l’économie, ce qui nous unit en tant que Canadiennes et Canadiens.

Contexte

• Une quantité incomparable de renseignements personnels des Canadiennes et des Canadiens sont recueillis, utilisés et communiqués au-delà des frontières, et ce, à une vitesse sans précédent.
• L’adoption croissante de l’intelligence artificielle (IA) et de l’IA générative, le risque de préjudices graves causés par des atteintes à la sécurité des données et la nature de plus en plus complexe de la circulation des données à l’échelle mondiale ont placé la protection des données au cœur des priorités dans l’intérêt du public.
• Selon le plus récent sondage mené par le Commissariat auprès de la population canadienne (2024‑2025) : 91 % des Canadiennes et des Canadiens sont préoccupés par le fait que leurs renseignements personnels puissent être utilisés pour voler leur identité; 88 % des Canadiennes et des Canadiens sont préoccupés par l’utilisation de leurs renseignements personnels pour entraîner des systèmes d’IA; 87 % des Canadiennes et des Canadiens sont préoccupés par la protection de leur vie privée lorsqu’ils utilisent les médias sociaux.

RESPONSABLE : PRAP

---

Recommandations relatives à la réforme de la LPRP

Notes d’allocution

• Au fil des ans, le Commissariat a formulé de nombreuses recommandations visant la modernisation de la LPRP, qui est franchement désuète.
• J’ai retenu sept recommandations prioritaires qui seraient les plus efficaces pour renforcer la protection de la vie privée des Canadiennes et des Canadiens :
  1. Seuil justifiant la collecte : Établir des exigences explicites en matière de nécessité et de proportionnalité pour la collecte de renseignements personnels.
  2. Obligation visant les EFVP : Obliger les ministères à réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) pour les situations qui présentent un risque élevé.
  3. Ordonnances : Conférer au Commissaire à la protection de la vie privée des pouvoirs d’ordonnance contraignants
  4. Pouvoir discrétionnaire de refuser : Conférer au Commissaire à la protection de la vie privée le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter.
  5. Mesures de protection : Imposer une obligation juridique explicite qui vise à protéger les renseignements personnels.
  6. Signalement des atteintes : Imposer une obligation juridique visant le signalement des atteintes à la vie privée.
  7. Pouvoir discrétionnaire de présenter des rapports : Accorder au Commissaire à la protection de la vie privée une plus grande souplesse pour faire rapport publiquement.

Contexte

• Les discussions sur la réforme de la LPRP entre le Commissariat et les fonctionnaires ont commencé en 2016. Le Commissariat a notamment présenté des mémoires au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (Comité ETHI) en 2009 et en 2016 et il a participé aux consultations du ministère de la Justice Canada (2019-2021).
• Au cours de la dernière session parlementaire, nous avons aussi comparu devant plusieurs comités qui examinaient divers aspects de la LPRP et des questions connexes.
• En plus des sept recommandations prioritaires, nous avons regroupé nos précédentes recommandations sur la réforme en une liste de 11 modifications techniques supplémentaires.
• Nous avons transmis ces recommandations au Secrétariat du Conseil du Trésor et au ministère de la Justice Canada et nous serons ravis de travailler avec eux à la mise à jour de la LPRP.

RESPONSABLE : PRAP

---

Recommandations prioritaires relatives à la réforme de la LPRPDE

Notes d’allocution

• J’ai retenu sept recommandations prioritaires relatives à la réforme de la LPRPDE en fonction de leur incidence potentielle sur l’amélioration de la protection de la vie privée et le renforcement du droit à la vie privée au Canada :
  1. Pouvoirs d’application de la loi : Donner au Commissaire à la protection de la vie privée le pouvoir de prendre des ordonnances exécutoires, d’imposer des sanctions administratives pécuniaires et de mener des vérifications proactives.
  2. Droit fondamental à la vie privée : Reconnaître la protection de la vie privée comme un droit fondamental dans l’énoncé d’objet ainsi que dans un préambule intégré à la LPRPDE.
  3. Défense du droit à la vie privée des enfants : Améliorer la protection du droit à la vie privée des enfants en reconnaissant explicitement l’intérêt supérieur de l’enfant et en confiant au Commissariat la responsabilité d’élaborer un code de pratique sur la protection des renseignements personnels des enfants.
  4. Dépersonnalisation : Promouvoir l’innovation en incluant un cadre pour la dépersonnalisation et l’anonymisation.
  5. Droit à la suppression et au déréférencement : Veiller à ce que les individus gardent le contrôle de leurs renseignements personnels en leur accordant un droit explicite et clair au déréférencement et à la suppression de leurs renseignements personnels.
  6. La protection de la vie privée dès la conception et les évaluations des facteurs relatifs à la vie privée (EFVP) : Améliorer la responsabilisation en obligeant les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des EFVP pour les activités à risque élevé.
  7. Circulation transfrontalière des données : Établir des règles et des exigences pour protéger les renseignements personnels qui circulent à l’extérieur du pays.

Contexte

• La mise en œuvre de ces recommandations prioritaires renforcerait les principaux pouvoirs réglementaires, réglerait les problèmes systémiques que nous avons observés, entre autres des risques émergents dans l’économie numérique, et ferait en sorte que la LPRPDE correspondrait davantage aux lois en vigueur dans les autres juridictions.
• En plus des 7 recommandations prioritaires, nous avons ciblé 12 modifications supplémentaires qui visent à améliorer les délais administratifs, les processus et les pouvoirs qui permettront au Commissariat de mener ses enquêtes de façon plus efficace, de traiter de la question de la prise de décision automatisée et de collaborer à l’échelle nationale.
• Nous avons transmis ces recommandations au ministère de l’Industrie et nous serons ravis de travailler avec lui à la mise à jour de la LPRPDE.

RESPONSABLE : PRAP

---

Comparaison des lois sur la protection des renseignements personnels

Notes d’allocution

• Les Canadiennes et les Canadiens doivent pouvoir compter sur des lois modernisées sur la protection des renseignements personnels, comme celles qui ont été adoptées par d’autres juridictions. L’interopérabilité leur permet de savoir que leurs renseignements sont protégés lorsqu’ils traversent les frontières et elle réduit les coûts liés à la conformité pour les organisations.
• Généralement, les lois modernisées sur la protection des renseignements personnels dans le secteur privé comprennent des pouvoirs d’application de la loi renforcés pour l’organisme de réglementation, par exemple des pouvoirs visant à prendre des ordonnances, à mener des vérifications proactives et à imposer des sanctions administratives pécuniaires.
• Nous avons également vu que d’autres juridictions, comme le Royaume-Uni et l’Union européenne, ont inclus des dispositions sur la circulation transfrontalière des données et des mesures de protection spéciales pour les enfants.
• La LPRP est entrée en vigueur en 1983 et elle n’a pas fait l’objet de mises à jour importantes depuis, alors que le Royaume-Uni, l’Australie et la Nouvelle-Zélande ont récemment modifié leurs lois sur la protection des renseignements personnels dans le secteur public afin d’y inclure de nouvelles dispositions, comme des mesures de protection sur la prise de décision automatisée.

Contexte

• Voici quelques exemples de mesures de protection prévues dans des lois étrangères qui ont orienté nos recommandations relatives à la réforme de la loi sur la protection des renseignements personnels dans le secteur privé :
  • Vérifications de conformité proactives (RGPD, Australie, Royaume-Uni, Irlande)
  • Mesures spéciales de protection de la vie privée des enfants (RGPD, Royaume-Uni, Australie)
  • Obligation de mener une EFVP pour les activités à risque élevé (RGPD, Royaume-Uni)
  • Dispositions particulières sur la circulation transfrontalière des données (RGPD, Royaume-Uni, Australie, Nouvelle-Zélande)
• Bien que la Commission européenne ait conclu, en janvier 2024, que la LPRPDE offrait un niveau de protection « adéquat » au titre du RGPD pour les transferts hors de l’Union européenne, son rapport suggérait que la réforme pourrait être l’occasion d’inscrire des mesures de protection et des exigences plus strictes dans la législation.
• Le Commissariat appelle depuis longtemps à une réforme de la LPRP afin qu’elle s’inscrive dans l’ère numérique et cadre davantage avec ce qui se fait ailleurs dans le monde en matière de protection de la vie privée. Le Royaume-Uni a mis à jour la Data Protection Act 2018 en 2025, l’Australie a fait de même pour la Privacy Act 1988 en 2024 et la Nouvelle-Zélande a actualisé la Privacy Act 1993 en 2020.

RESPONSABLE : PRAP

---

Projet de loi C-2 (Loi visant une sécurité rigoureuse à la frontière)

Notes d’allocution

• Le projet de loi C-2 est un texte législatif très complexe qui modifierait pas moins d’une dizaine de lois, en plus d’en édicter une nouvelle.
• Compte tenu de la nature et de la portée du projet de loi, le Commissariat l’a étudié de près, notamment à la lumière de ses travaux passés sur d’autres propositions relatives à l’accès légal et des préoccupations des parties prenantes concernant les répercussions qu’il pourrait avoir sur la protection de la vie privée.
• J’ai bien hâte de présenter mes observations au Parlement lorsque le projet de loi aura été renvoyé au comité.

Contexte

• Le ministère de la Sécurité publique a présenté le projet de loi C-2 (Loi visant une sécurité rigoureuse à la frontière) le 3 juin 2025.
• Des 16 parties du projet de loi, celles qui présentent les risques les plus importants en matière de protection de la vie privée sont les suivantes :
  • modifications au Code criminel et à la Loi sur le Service canadien du renseignement de sécurité afin de créer ou de modifier une série de pouvoirs de perquisition, incluant l’ajout d’un ordre de fournir des renseignements sans mandat et l’ajout au Code criminel d’une disposition relative à une large ordonnance de communication des renseignements relatifs à l’abonné (partie 14);
  • modifications au Code criminel et à d’autres lois afin de faciliter l’échange transfrontalier de renseignements entre les autorités d’application de la loi (partie 14);
  • entrée en vigueur de la nouvelle Loi sur le soutien en matière d’accès autorisé à de l’information, qui obligerait les fournisseurs de services électroniques à apporter des modifications techniques afin de donner aux personnes autorisées l’accès à des données privées (partie 15);
  • modifications à la Loi sur la Société canadienne des postes qui permettraient la fouille et la saisie d’un envoi en vertu d’une loi fédérale et autoriseraient Postes Canada à ouvrir des envois dans certaines circonstances (partie 4);
  • modifications à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes qui permettraient aux banques et aux autres entités déclarantes au titre de cette loi de recevoir des renseignements personnels de la Gendarmerie royale du Canada ou d’autres organismes d’application de la loi à des fins déterminées (partie 16).
• La deuxième lecture du projet de loi C-2 a repris le 16 septembre 2025. Les députés du Parti conservateur ont critiqué le projet de loi, car il ne traite pas des peines imposées pour les infractions liées au fentanyl, des crimes commis avec une arme à feu et de la réforme de la mise en liberté sous caution. Ils ont aussi exprimé des préoccupations concernant la protection de la vie privée, les libertés civiles et l’abus de pouvoir du gouvernement. Le Bloc québécois a soulevé des préoccupations semblables, mais il est disposé à appuyer le projet de loi afin qu’il soit minutieusement étudié en comité. Le Nouveau Parti démocratique a décrit le projet de loi C-2 comme une « prise de pouvoir antidémocratique » et réclamé son retrait.

RESPONSABLE : PRAP

---

Projet de loi C-4 (partis politiques)

Notes d’allocution

• Le projet de loi C-4, Loi visant à rendre la vie plus abordable pour les Canadiens, modifie les exigences relatives aux politiques en matière de protection des renseignements personnels des partis politiques fédéraux.
• Dans mon mémoire au Comité permanent des finances de la Chambre des communes (Comité FINA), j’ai proposé des amendements visant à mieux protéger les renseignements personnels des électeurs. J’ai également réitéré que les partis politiques devraient être soumis aux normes qui sont largement répandues en matière de protection de la vie privée et que le Commissariat devrait avoir un rôle à jouer pour assurer la protection du droit à la vie privée dans ce contexte.
• J’ai demandé à plusieurs reprises que les partis politiques devraient être assujettis à des règles de protection de la vie privée qui sont essentiellement comparables aux exigences énoncées pour les secteurs public et privé dans la Loi sur la protection des renseignements personnels et la LPRPDE. Ces règles devraient aussi être adaptées au rôle unique joué par les partis politiques dans le processus démocratique. Ces règles viendraient aider à optimiser la participation des électeurs tout en protégeant le droit fondamental à la vie privée des Canadiennes et des Canadiens.

Contexte

• Les éléments qui doivent être inclus dans la politique sur la protection des renseignements personnels d’un parti politique sont décrits à l’alinéa 385(2)k) de la Loi électorale du Canada. L’article 446.4 du projet de loi C-4 énonce les circonstances dans lesquelles un parti est exempté des lois provinciales ou territoriales sur la protection des renseignements personnels.
• Le mémoire soumis au Comité FINA le 16 juin 2025 contenait les recommandations suivantes :
  1. Obligations pour les partis politiques à établir les fins auxquelles les renseignements personnels sont recueillis, à obtenir le consentement (sous réserve de l’autorisation expresse de la loi), à limiter la collecte, l’utilisation et la communication et à fournir un mécanisme d’accès et de correction pour les renseignements personnels qui relèvent d’eux.
  2. Dispositions proposées précédemment concernant la déclaration des atteintes à la vie privée, pour que les atteintes soient signalées aux personnes concernées ainsi qu’à un organisme compétent et indépendant comme le Commissariat à la protection de la vie privée du Canada, Élections Canada ou le Bureau de la commissaire aux élections fédérales.
  3. Dispositions dans la Loi électorale du Canada prévoyant une collaboration officielle entre le Commissariat à la protection de la vie privée, le Bureau de la commissaire aux élections fédérales et Élections Canada.

RESPONSABLE : PRAP

---

La loi 25 du Québec

Notes d’allocution

• La loi 25, auparavant le projet de loi 64, a mis à jour les lois québécoises relatives à la protection des renseignements personnels dans les secteurs privé et public et a placé la barre haute en matière de protection de la vie privée au Canada.
• La loi québécoise du secteur privé (Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, P-39.1) comprend maintenant des dispositions qui protègent le droit à la réputation, qui donnent aux personnes le droit de contester une décision automatisée et qui assujettissent les partis politiques provinciaux à plusieurs dispositions de la Loi.
• Elle permet également à mon homologue du Québec de vérifier de façon proactive la conformité d’une organisation et d’imposer des sanctions pécuniaires pour un large éventail d’infractions, notamment celles liées à la collecte, à l’utilisation ou à la communication de renseignements personnels.
• Idéalement, j’aimerais que des exigences comparables soient introduites dans les lois fédérales. L’interopérabilité entre la loi fédérale et la loi essentiellement semblable du Québec serait ainsi maintenue.

Contexte

• La Loi 25 a été promulguée le 21 septembre 2021 et est entrée en vigueur en trois phases. En date du 22 septembre 2024, elle est pleinement en vigueur; le droit à la portabilité des données visait la phase finale.
• Un grand nombre des recommandations du Commissariat sur l’ancien projet de loi C-27 étaient inspirées de lois d’autres administrations nationales et internationales.
• Contrairement à la LPRPDE, la loi 25 comprend des dispositions relatives à la protection de la vie privée par défaut, aux EFVP, à la circulation transfrontalière des données, aux audits proactifs et à l’application aux partis politiques.
• La loi 25 comporte aussi des dispositions permettant la communication de renseignements personnels à des fins de recherche sans obtenir le consentement des personnes concernées, mais prévoit également des mesures de protection, comme la réalisation par l’organisation d’une EFVP avant la communication.
• La Loi 25 exige que l’anonymisation soit effectuée selon les « meilleures pratiques généralement reconnues ». Les règlements publiés le 15 mai 2024 pour la Loi 25 décrivent un processus en trois phases qui oblige les organisations à établir des objectifs, à mettre en œuvre des techniques d’anonymisation qui tiennent compte des meilleures pratiques et des risques de réidentification, et à réévaluer périodiquement les données anonymisées.

RESPONSABLE : SERVICES JURIDIQUES

---

Protéger les jeunes en ligne

Notes d’allocution

• L’une de mes principales priorités stratégiques est de veiller à ce que la vie privée des enfants soit protégée et à ce que les jeunes comprennent leurs droits en matière de vie privée et puissent les exercer.
• Les enfants et les mineurs peuvent être affectés par les technologies différemment des adultes et sont plus à risque d’être touchés par des enjeux de vie privée, et doivent donc bénéficier de mesures de protection adaptées. Il est essentiel que les lois canadiennes sur la protection des renseignements personnels soient modernisées afin de protéger les enfants et l’intérêt supérieur de l’enfant.
• Cette année, le Commissariat s’est efforcé de mieux comprendre le point de vue des enfants et des jeunes en ce qui concerne leur vie privée en ligne.
• Les groupes de discussion et les recherches que nous avons menés auprès des jeunes ont révélé que ceux-ci n’avaient pas une bonne connaissance de leur droit à la vie privée ou de la manière de l’exercer. Nous avons aussi effectué un sondage en ligne auprès des parents et des enseignants, qui nous a permis de constater que la grande majorité des parents s’inquiètent de la protection de la vie privée en ligne de leurs enfants.
• J’ai également annoncé mon intention de mettre sur pied un conseil jeunesse, qui contribuera à orienter le travail du Commissariat et à sensibiliser les jeunes.

Contexte

• Le Commissariat a fait avancer de nombreux travaux liés à la protection de la vie privée des enfants en 2024 et en 2025 :
  • Organisation d’un symposium international sur la protection de la vie privée des jeunes à l’ère numérique.
  • Mise sur pied d’un conseil jeunesse; les entrevues sont terminées et les membres devraient être annoncés à l’automne.
  • Lancement d’une consultation au sujet de l’élaboration d’un code sur la protection des renseignements personnels des enfants.
  • Mené une consultation sur le contrôle de l’âge, un élément qui peut aider à protéger les jeunes en ligne. Nous préparons maintenant des directives à ce sujet, qui se baseront sur notre consultation publique.
  • Collaboration étroite avec nos partenaires internationaux sur la protection de la vie privée des enfants, notamment dans le cadre du Groupe de travail sur l’éducation numérique de l’Assemblée mondiale pour la protection de la vie privée et du groupe de travail international sur le contrôle de l’âge.

RESPONSABLE : PRAP

---

Réglementation de l’intelligence artificielle

Notes d’allocution

• Bien que les systèmes d’IA puissent poser de nouveaux risques relatifs à la protection de la vie privée et soulever de nouvelles questions et préoccupations au sujet de la collecte, de l’utilisation et de la communication des renseignements personnels, ils sont tout de même assujettis aux lois actuelles.
• Comme le développement et l’utilisation de systèmes d’IA reposent sur la collecte d’immenses quantités de données, y compris les renseignements personnels des Canadiens et des Canadiennes, les lois sur la protection des renseignements personnels seront au centre de leur gouvernance.
• Que le gouvernement présente ou non une loi distincte sur l’IA, il est important que la législation sur la protection des renseignements personnels reste efficace en cette période d’évolution technologique et que le Commissariat puisse collaborer efficacement avec les autres organismes de réglementation concernés.
• Nous recommandons, par exemple, que le Parlement envisage de modifier la LPRPDE afin d’exiger que les organisations effectuent des EFVP pour les systèmes d’IA à incidence élevée.

Contexte

• Recommandation 6, Recommandations prioritaires pour la LPRPDE en 2025 : Améliorer la responsabilisation en obligeant les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des évaluations des facteurs relatifs à la vie privée (EFVP) pour les activités à risque élevé.
• En 2020, après une consultation publique, le Commissariat a publié un document intitulé « Un cadre réglementaire pour l’IA : recommandations pour la réforme de la LPRPDE ». Bien que ces recommandations demeurent largement pertinentes, elles ont été formulées avant l’essor de l’IA générative et doivent donc être lues en parallèle avec les travaux suivants du Commissariat.
• Au sujet du rôle des autorités de protection des données et de la collaboration entre les organismes de réglementation, la déclaration sur le rôle des autorités de protection des données dans la promotion d’une intelligence artificielle digne de confiance publiée dans le cadre du G7 de 2024 affirme ceci : « Nous pensons qu’une approche coopérative, où les autorités de protection des données et de la vie privée sont à l’avant-garde et travaillent en étroite collaboration avec d’autres autorités et organismes compétents, garantit un cadre de gouvernance global qui permet de gérer efficacement les risques et d’exploiter les avantages des technologies de l’IA dignes de confiance tout en protégeant les droits fondamentaux. »

RESPONSABLE : PRAP

---

Conformité et application

---

Enquêtes menées en vertu de la Loi sur la protection des renseignements personnels

Notes d’allocution

• Bien que l’article 63 de la LPRP m’empêche de discuter des enquêtes que je mène ou de communiquer des renseignements relatifs à celles-ci, je peux confirmer que certaines des enquêtes en cours dans le secteur public portent sur les sujets suivants :
  • les pratiques contractuelles en lien avec ArriveCAN, et plus précisément les mesures en place pour protéger les renseignements personnels lors de la conception de l’application;
  • une atteinte à la vie privée découlant d’un accès non autorisé au site privé virtuel d’Affaires mondiales Canada;
  • une cyberattaque qui a compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des 24 dernières années;
  • des cyberattaques survenues à l’Agence du revenu du Canada qui ont donné lieu à plus de 30 000 atteintes à la vie privée qui remontent à 2020.
• Parmi les enquêtes et examens clés que j’ai conclus, certains portaient sur :
  • La perte par la GRC d’un dispositif de stockage bus série universel (USB) non chiffré.
  • L’examen bisannuel des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) pour protéger les renseignements personnels.

Contexte

• Conformément au paragraphe 29(1) de la Loi sur la protection des renseignements personnels, le Commissariat reçoit et examine les plaintes des personnes qui se sont vu refuser le droit d’accéder à leurs renseignements personnels et de les corriger, ou qui allèguent que leurs renseignements personnels ont été recueillis, utilisés, conservés ou communiqués en contravention de la Loi.
• Le Commissaire peut également, au titre du paragraphe 29(3), prendre lui-même l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée. Il peut également décider, à sa discrétion, de mener des enquêtes, en vertu du paragraphe 37(1), contre toute institution ou organisation fédérale visée par la Loi.

RESPONSABLE : SPCAL

---

Enquêtes en vertu de la LPRPDE

Notes d’allocution

• Voici quelques-unes des enquêtes clés que j’ai conclues :
  • MindGeek – En février 2024, nous avons publié les conclusions de l’enquête menée par le Commissariat à la suite d’une plainte contre Aylo, exploitant de Pornhub et d’autres sites Web.
  • 23andMe : En juin 2025, j’ai publié, avec mon homologue du Royaume‑Uni, les conclusions de notre enquête sur une atteinte visant 23andMe, un site Web qui offre des tests génétiques directement aux consommateurs.
  • Google : Le 9 septembre 2025, j’ai publié les conclusions de l’enquête du Commissariat sur une plainte contre Google concernant le déréférencement.
  • TikTok : Le 23 septembre 2025, j’ai publié les conclusions d’une enquête menée conjointement avec mes homologues du Québec, de l’Alberta et de la Colombie-Britannique et portant sur les pratiques de TikTok en matière de protection de la vie privée, en particulier en ce qui concerne les enfants au Canada.
• Les enquêtes ci-dessous sont en cours :
  • ChatGPT – En mai 2023, j’ai lancé une enquête conjointe avec mes homologues du Québec, de l’Alberta et de la Colombie-Britannique sur OpenAI, l’entreprise à l’origine du robot conversationnel alimenté par l’IA, ChatGPT.
  • Certn – En mai 2024, j’ai lancé une enquête avec mes homologues de la Colombie-Britannique et de l’Alberta sur Certn, un service qui effectue des vérifications d’antécédents dans le cadre de la sélection de locataires.
  • Loblaws – En juillet 2024, j’ai lancé une enquête après avoir reçu plusieurs plaintes dans lesquelles des personnes alléguaient qu’elles n’étaient pas en mesure de supprimer leurs comptes PC Optimum.

Contexte

• Conformément au paragraphe 12(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, nous enquêtons sur les plaintes contre des organisations qui exercent des activités commerciales. S’il existe des motifs raisonnables d’enquêter sur une question visée par la Loi, nous pouvons aussi déposer une plainte en vertu du paragraphe 11(2).
• En raison des obligations en matière de confidentialité, nous ne pouvons transmettre plus de détails sur les entreprises touchées par des enquêtes en cours. Cependant, dans chaque cas (sauf ceux où nous l’avons déjà fait), nous avons l’intention de publier nos conclusions au cours des prochains mois.

RESPONSABLE : SPCAL

---

Codes de pratique soumis en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes

Notes d’allocution

• Depuis le 4 mars 2025, les entités déclarantes au titre de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes peuvent produire des codes de pratique relatifs à la communication sans consentement de renseignements personnels entre elles et me les soumettre aux fins d’examen et d’approbation. J’appuie totalement cette initiative.
• Cependant, je n’ai reçu aucun financement supplémentaire pour cette nouvelle activité. Le nombre de codes soumis jusqu’à maintenant est beaucoup plus élevé que ce qui avait été estimé dans le résumé de l’étude d’impact de la réglementation.
• Le Commissariat est déterminé à assurer la réussite de cette initiative. C’est pourquoi nous avons réaffecté des ressources internes à ce travail.
• Je suis satisfait de l’excellente collaboration du CANAFE dans cet important dossier. Des membres de mon équipe rencontrent régulièrement des employés du CANAFE pour les épauler.

Contexte

• L’article 11.01 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes autorise la communication, la collecte et l’utilisation de renseignements personnels sans le consentement de l’intéressé, à condition que la communication soit faite conformément aux règlements. Selon les règlements, une entité déclarante peut élaborer et mettre en œuvre un code de pratique dans ce but et le soumettre au Commissaire aux fins d’approbation. Le code de pratique doit, entre autres, offrir une protection substantiellement semblable à celle offerte par la LPRPDE ou plus grande que celle-ci.
• Les participants à un code bénéficient de l’immunité en matière civile ou pénale s’ils communiquent, recueillent ou utilisent de bonne fois des renseignements personnels conformément à un code.
• Le Commissariat a 120 jours (avec une possibilité de prolongation de 15 jours) pour approuver un code de pratique. Si aucune décision n’est rendue dans ce laps de temps, un code est considéré comme approuvé. Un code doit être examiné tous les cinq ans ou lorsque des changements importants y sont apportés.
• Les codes doivent également être soumis au CANAFE, qui peut faire part de ses commentaires au Commissariat afin qu’il en tienne compte dans son examen.
• Jusqu’à maintenant, le Commissariat a reçu six codes et il semble que d’autres entités souhaitent soumettre le leur. Selon le résumé de l’étude d’impact de la réglementation publié en même temps que les règlements modifiés, trois codes devaient être présentés sur une période de dix ans.

RESPONSABLE : SPCAL

---

Obligations des secteurs public et privé en matière de signalement des atteintes

Notes d’allocution

• Les organisations du secteur privé assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques sont tenues de signaler les atteintes à la vie privée au Commissariat à la protection de la vie privée du Canada lorsqu’il existe un risque réel de préjudice grave pour un individu.
• À l’inverse, les institutions fédérales ne sont tenues de signaler ces atteintes que conformément à la politique du Conseil du Trésor, et non au titre de la LPRP. J’ai recommandé que les obligations de signalement des atteintes aient force de loi en vertu d’une Loi sur la protection des renseignements personnels modernisée.
• De plus en plus, les organisations tierces qui fournissent des services aux secteurs public et privé (p. ex. solutions et plateformes de TI) sont ciblées dans le cadre de cyberattaques qui peuvent avoir un effet d’entraînement sur plusieurs organisations clientes. C’était le cas, par exemple, des atteintes qui ont touché Ticketmaster et PowerSchool.
• Je trouve préoccupant que, au titre de la LPRPDE, les fournisseurs de services n’ont pas toujours signalé directement au Commissariat les atteintes à la vie privée ni informé les personnes touchées. C’est pourquoi j’espère que l’ajout d’obligations de signalement plus explicites sera envisagé pour les prochaines versions d’une loi modernisée sur la protection des renseignements personnels dans le secteur privé.

Contexte

• Conformément à la section 4.2.12 de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor, les organisations fédérales assujetties à la Loi sur la protection des renseignements personnels doivent signaler les atteintes substantielles à la vie privée au Commissariat au plus tard sept jours après la détermination qu’une atteinte est substantielle.
• Conformément au paragraphe 10,1(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, les organisations doivent signaler les atteintes au Commissariat le plus rapidement possible après avoir déterminé qu’il y a un risque réel de préjudice grave (RRPG) à l’endroit d’un individu. Le RRPG est déterminé en fonction du degré de sensibilité des renseignements personnels et de la probabilité que les renseignements personnels aient été mal utilisés ou le seront.
• Le Commissariat continue de constater un écart important entre les secteurs privé et public en ce qui concerne les atteintes à la vie privée impliquant des cyberincidents.
  • En 2024-2025, 429 atteintes ont été signalées au Commissariat à la protection de la vie privée du Canada par le secteur privé, et seulement 55 atteintes lui ont été signalées par des institutions fédérales. Cela représente une augmentation de 35 % des cyberincidents signalés sous le régime des deux lois par rapport à l’exercice précédent.

RESPONSABLE : SPCAL

---

Principales enquêtes

---

Principales enquêtes : TikTok

Notes d’allocution

• Le 23 septembre 2025, avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, le Commissariat a publié un rapport conjoint présentant les conclusions de l’enquête sur TikTok.
• Notre enquête a révélé de graves lacunes dans les mécanismes de contrôle de l’âge de TikTok; des centaines de milliers d’enfants canadiens de moins de 13 ans ont ainsi pu accéder à TikTok chaque année, ce qui est pourtant contraire aux conditions d’utilisation de l’entreprise.
• Nous avons également constaté que TikTok n’avait pas obtenu le consentement valable des adultes et des adolescents concernant la collecte et l’utilisation des données des utilisateurs, y compris les données sensibles des jeunes utilisateurs et les données biométriques.
• Je suis heureux que TikTok se soit engagée à améliorer ses mesures de contrôle de l’âge afin d’empêcher les enfants d’accéder à sa plateforme et à améliorer ses communications sur la protection de la vie privée afin de s’assurer d’obtenir un consentement valable. Les commissariats travailleront avec TikTok au cours des prochains mois pour veiller à ce qu’elle donne suite aux recommandations.

Contexte

• Le CPVP, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, a ouvert une enquête conjointe sur TikTok en février 2023.
• Cette enquête s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada, et de nombreux reportages dans les médias concernant la collecte, l’utilisation et la communication de données d’utilisateurs par TikTok.
• L’enquête visait à examiner si TikTok a obtenu le consentement de ses utilisateurs pour recueillir et utiliser leurs renseignements aux fins de ciblage publicitaire et de personnalisation du contenu, mais aussi si elle recueillait les renseignements personnels d’enfants à des fins acceptables.
• L’enquête visait TikTok Pte. Ltd. (une entreprise de Singapour), puisque c’est l’entité commerciale responsable des renseignements personnels des Canadiennes et des Canadiens ainsi que des pratiques en matière de protection de la vie privée de TikTok.
• L’enquête a duré environ 30 mois parce que, d’une part, les enjeux et la technologie à examiner étaient complexes et que, d’autre part, le Commissariat et ses partenaires provinciaux ont dû se consulter tout au long du processus.

RESPONSABLE : SPCAL

---

Principales enquêtes : OpenAI

Notes d’allocution

• En mai 2023, le Commissariat a entamé une enquête sur les pratiques d’OpenAI, en ce qui concerne son service ChatGPT. Cette enquête a été menée conjointement avec mes homologues de l’Alberta, de la Colombie-Britannique et du Québec.
• Parmi les questions examinées figuraient le consentement, l’ouverture, l’accès, l’exactitude et la responsabilité. Nous avons également cherché à savoir si OpenAI recueille, utilise et communique des renseignements personnels à des fins acceptables et si cette collecte vise uniquement des renseignements nécessaires à ces fins.
• Notre objectif est de publier nos conclusions d’ici la fin de l’année.
• Il est important que l’IA et les autres technologies émergentes dans ce domaine soient développées et déployées de façon responsable et dans le respect de la vie privée. C’est pourquoi l’une des priorités stratégiques du Commissariat est de faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et d’agir en ce sens.

Contexte

• ChatGPT est un outil de traitement du langage naturel (ou agent conversationnel) utilisant la technologie d’IA. Le modèle linguistique peut répondre à des questions et aider les utilisateurs à effectuer un éventail de tâches telles que la rédaction de courriels et d’essais.
• En avril 2023, le Commissariat a ouvert une enquête sur ChatGPT, après avoir reçu une plainte alléguant que l’entreprise avait recueilli, utilisé et communiqué les renseignements personnels du plaignant, sans son consentement, dans le cadre de son service commercial de génération de textes. En mai 2023, nous avons mis fin à cette enquête pour donner suite à une plainte commune générale déposée à l’initiative du commissaire.
• Des autorités de protection des données de partout dans le monde, dont un bon nombre en Europe, ont lancé des enquêtes sur ChatGPT. Le Comité européen de la protection des données a lancé un groupe de travail consacré à ChatGPT pour échanger de l’information sur les mesures d’application de la loi possibles et il a publié en mai 2024 un rapport d’évaluation préliminaire de pratiques d’OpenAI qui vont à l’encontre du RGPD.
• En tant que membre des groupes de travail de l’Assemblée mondiale pour la protection de la vie privée sur l’IA et la coopération internationale en matière d’application de la loi, le Commissariat échange de l’information et apprend des expériences des autres commissariats à la protection de la vie privée.

RESPONSABLE : SPCAL

---

Principales enquêtes : 23andMe

Notes d’allocution

• En juin, j’ai publié avec le commissaire Edwards, mon homologue du commissariat à l’information du Royaume-Uni, le rapport conjoint présentant les conclusions de notre enquête sur une atteinte à la sécurité des données à l’échelle mondiale survenue à 23andMe.
• Notre enquête a révélé que 23andMe n’a pas mis en œuvre les contrôles appropriés pour protéger les données personnelles très sensibles dont elle disposait et qu’elle n’a pas informé de manière adéquate les clients concernés ainsi que les organismes de réglementation, y compris le Commissariat, après l’atteinte, comme la loi l’exige.
• Alors que le commissariat britannique a pu imposer une sanction pécuniaire à l’entreprise, mes pouvoirs sont limités à la formulation de recommandations non contraignantes.
• Les lois canadiennes sur la protection des renseignements personnels devraient être modernisées afin de m’accorder des pouvoirs similaires à ceux de mes homologues internationaux et de protéger ainsi de façon adéquate la vie privée des Canadiennes et des Canadiens.

Contexte

• Entre avril et septembre 2023, un pirate informatique a mené une attaque par bourrage d’identifiants sur 23andMe, en exploitant des identifiants de connexion réutilisés qui ont été volés lors de précédentes atteintes à la sécurité des données sans rapport avec celle-ci.
• L’incident a touché les renseignements personnels, incluant des données très sensibles, de sept millions de clients, dont environ 320 000 au Canada.
• Les données compromises à la suite de l’atteinte survenue à 23andMe comprenaient la date de naissance, le sexe à la naissance et le genre, des renseignements très sensibles liés à la santé, à la race et à l’origine ethnique ainsi que de l’information sur des membres de la famille.
• Après l’atteinte, 23andMe a déclaré faillite aux États-Unis au titre du chapitre 11. La Bankruptcy Court a approuvé la vente de 23andMe au TTAM Research Institute, un organisme sans but lucratif dirigé par la cofondatrice et longtemps directrice générale de 23andMe.

RESPONSABLE : SPCAL

---

Principales enquêtes : Certn

Notes d’allocution

• En mai 2024, j’ai lancé avec mon homologue de la Colombie-Britannique une enquête conjointe sur Certn Canada, une entreprise qui offre des services de vérification d’antécédents, incluant des services de sélection de locataires pour les propriétaires de logements. Nos collègues de l’Alberta se sont joints à l’enquête quelques semaines plus tard.
• Au cours des dernières années, plusieurs plaintes liées à la protection des renseignements personnels ont été transmises au Commissariat par des locataires. Elles visent des propriétaires, des gestionnaires immobiliers et des fournisseurs de services de gestion immobilière tiers.
• L’obligation pour les locataires éventuels de consentir à une vérification approfondie des antécédents pourrait avoir de profondes répercussions sur la capacité des Canadiennes et Canadiens d’obtenir un logement, particulièrement dans un contexte difficile pour le marché locatif.
• Par conséquent, le Commissariat examine si la collecte, l’utilisation et la communication des renseignements personnels par Certn sont à des fins appropriées, si le consentement obtenu est valide et valable, et si les renseignements obtenus sont exacts.

Contexte

• Certn exerce ses activités au Canada et à l’étranger. Elle se présente comme une entreprise de technologie qui « innove dans tous les aspects du processus de vérification des antécédents ».
• Certn affirme recueillir, utiliser et communiquer une quantité considérable de renseignements personnels – qui peuvent être de nature délicate – au moyen de plus de 100 000 bases de données provenant de plus de 200 pays et territoires (selon une version précédente de son site Web). Elle dit que bon nombre des sources sont « accessibles au public ».
• Les services de Certn comprennent la vérification du casier judiciaire, la vérification du dossier de crédit, la vérification des études et de l’emploi, la vérification des antécédents à l’étranger, la vérification des médias sociaux et ce qu’elle appelle « Softcheck », c.-à-d. la recherche en temps réel d’ensembles de données accessibles au public qu’elle préconise comme étant appropriés pour la sélection des locataires.

RESPONSABLE : SPCAL

---

Principales enquêtes : X

Notes d’allocution

• En février 2025, à la suite d’une plainte, le Commissariat a ouvert une enquête sur la plateforme de médias sociaux X concernant l’utilisation présumée de renseignements personnels de Canadiens et de Canadiennes pour entraîner ses modèles d’IA.
• Je mène mon enquête au titre de l’article 12 de la LPRPDE. Le Commissariat examine la conformité de la collecte, de l’utilisation et de la communication de renseignements personnels de Canadiens et de Canadiennes aux fins d’entraînement des modèles d’IA de l’entreprise.
• Comme l’enquête est en cours, je ne peux pas fournir d’autres renseignements pour le moment.

Contexte

• L’enquête porte sur l’entraînement des modèles d’IA de X, incluant Grok.
• L’entreprise xAI a développé Grok, un robot conversationnel basé sur un grand modèle de langage, et a fait l’acquisition de X dans le cadre d’une transaction entièrement en actions, selon une annonce faite en mars 2025.
• La plainte a été déposée par Brian Masse, qui était alors député. Ce dernier soulevait le fait que X puisse utiliser les données des Canadiens et des Canadiennes pour entraîner une intelligence artificielle et influencer leurs décisions politiques.
• Dans sa déclaration en réponse à l’annonce de l’enquête, le Nouveau Parti démocratique a souligné l’importance de la transparence dans les algorithmes afin d’assurer la responsabilisation et de lutter contre la désinformation.

RESPONSABLE : SPCAL

---

Principales enquêtes : LinkedIn

Notes d’allocution

• Dans les derniers mois, le Commissariat a engagé avec LinkedIn des discussions sur son utilisation des renseignements personnels de ses membres canadiens pour entraîner ses modèles d’IA générative.
• Cette prise de contact faisait suite à des reportages dans les médias selon lesquels LinkedIn s’était engagée dans cette démarche sans en avoir préalablement informé ses membres.
• L’entreprise a décidé de façon proactive de cesser cette pratique au Canada le temps des discussions avec le Commissariat.
• LinkedIn a annoncé qu’elle reprendra le processus au début novembre, moment auquel elle commencera également à transmettre les renseignements personnels de ses membres à Microsoft, sa société mère, afin d’entraîner ses propres modèles d’IA générative.
• Après des discussions avec le Commissariat, LinkedIn a informé ses membres de cette initiative au moyen d’un bandeau dans l’application et d’un courriel, qui comprenait un lien vers un mécanisme de retrait de consentement.
• Je tiens à souligner que les renseignements personnels, même lorsqu’ils sont accessibles publiquement, demeurent visés par les lois sur la protection des renseignements personnels et doivent être adéquatement protégés.
• Mobiliser les organisations afin de promouvoir le développement et l’utilisation responsables de technologies dignes de confiance et respectueuses de la vie privée, comme l’IA, est un aspect de la priorité stratégique du Commissariat de faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques.
• Nos discussions avec LinkedIn se poursuivent.

Contexte

• LinkedIn a participé volontairement aux discussions avec le Commissariat. Nous n’avons pas lancé d’enquête officielle sur l’utilisation par LinkedIn de renseignements personnels pour entraîner son IA générative.
• Le 10 décembre 2024, le Commissariat a publié une déclaration saluant l’engagement pris par LinkedIn de mettre en place un moratoire sur l’entraînement de modèles d’IA au moyen des renseignements personnels tirés des comptes de ses membres canadiens. D’autres autorités de protection des données ont fait de même, y compris le commissariat à l’information du Royaume-Uni et le commissariat à la protection de la vie privée et des données personnelles de Hong Kong.

RESPONSABLE : SPCAL

---

Principales enquêtes : PowerSchool

Notes d’allocution

• Le 11 février 2025, j’ai annoncé le lancement d’une enquête sur l’atteinte à la sécurité des données à PowerSchool survenue à la suite d’une cyberattaque qui a touché des millions d’élèves, de parents et d’éducateurs canadiens.
• En juillet 2025, après consultation avec le Commissariat, PowerSchool a accepté de mettre en place des mesures précises, qui sont venues s’ajouter à celles qu’elle avait déjà prises, afin de renforcer adéquatement ses contrôles de sécurité.
  • Le tout a été officialisé dans une lettre d’engagement publiée sur le site Web du Commissariat.
• Compte tenu des engagements de PowerSchool, j’ai décidé de clore l’enquête.
• J’ai adopté cette approche afin que l’affaire soit résolue de manière rapide et efficace et que les renseignements personnels des Canadiens et des Canadiennes soient adéquatement protégés.
• Le Commissariat suit la situation de près afin de veiller à ce que PowerSchool respecte ses engagements. Si je ne suis pas satisfait des mesures prises, j’envisagerai d’autres moyens, par exemple le dépôt d’une plainte.

Contexte

• En décembre 2024, un pirate a utilisé des justificatifs compromis pour obtenir des données sur des millions de personnes au Canada, par exemple leur nom, leurs coordonnées, leur date de naissance et, dans certains cas, des renseignements médicaux et leur numéro d’assurance sociale.
• PowerSchool a déjà pris certaines mesures et s’est engagée à en prendre d’autres :
  • Exiger l’utilisation de la solution d’accès à distance sécurisée de l’entreprise (qui nécessite l’authentification unique et l’authentification multifactorielle) pour accéder à l’environnement de sa plateforme de soutien à la clientèle.
  • Restreindre l’accès, le renforcement des contrôles visant les mots de passe et les accès du portail de soutien à la clientèle touchée.

RESPONSABLE : SPCAL

---

Principales enquêtes : Nova Scotia Power

Notes d’allocution

• Le 25 avril 2025, Nova Scotia Power a détecté un cyberincident sur son réseau et a lancé son protocole d’intervention avec l’aide d’experts externes en cybersécurité.
• Le Commissariat a commencé à collaborer avec Nova Scotia Power dès qu’il a été mis au courant de l’atteinte afin de veiller à ce que l’organisation prenne rapidement des mesures pour atténuer de façon adéquate le risque de préjudice pour les personnes touchées et les répercussions sur la population canadienne.
• Par la suite, nous avons reçu des plaintes concernant cette atteinte et, le 28 mai 2025, nous avons lancé une enquête. Nous veillerons à ce que l’entreprise protège ses systèmes contre le risque d’une autre atteinte.
• Le Commissariat a été informé que les individus concernés ont été mis au courant et que l’entreprise offre un abonnement de cinq ans à un service de surveillance du crédit.
• Comme une enquête est en cours sur cette affaire, je ne peux pas donner plus d’information pour le moment.

Contexte

• Nova Scotia Power a déterminé que, le ou vers le 19 mars 2025, un auteur de menace a obtenu l’accès à ses réseaux et que des renseignements personnels sur ses clients ont été exfiltrés. L’entreprise a aussi établi que l’auteur de menace avait publié sur le Web clandestin les données ayant fait l’objet de l’atteinte.
• Les renseignements touchés par l’atteinte comprennent les noms, numéros de téléphone, adresses électroniques et postales, dates de naissance, historique des comptes (incluant les données sur les paiements et la facturation, l’historique de crédit et les numéros de comptes bancaires), numéros de permis de conduire et numéros d’assurance sociale de clients anciens et actuels de Nova Scotia Power.
• L’entreprise a identifié et avisé plus de 280 000 personnes qui ont été touchées. Jusqu’à maintenant, le Commissariat a reçu 77 plaintes.
• La Commission de l’énergie de la Nouvelle-Écosse enquête aussi sur cette atteinte. Nous avons discuté avec la Commission de nos processus respectifs, dans le respect des limites de confidentialité prévues par la LPRPDE.

RESPONSABLE : SPCAL

---

Principales enquêtes : ArriveCAN

Notes d’allocution

• Le 19 mars 2024, à la suite d’une plainte concernant le développement de l’application mobile ArriveCAN, le Commissariat a lancé une enquête au titre de la LPRP sur l’Agence des services frontaliers du Canada (ASFC).
• L’enquête s’est concentrée sur l’examen des pratiques contractuelles liées à ArriveCAN, plus précisément les mesures qui étaient en place pendant l’élaboration de l’application pour protéger les renseignements personnels.
• Dans le cadre de l’enquête, le Commissariat a également pris en considération les questions relatives à la protection de la vie privée soulevées dans la motion déposée lors de la session parlementaire précédente par le Comité permanent des opérations gouvernementales et des prévisions budgétaires de la Chambre des communes concernant les entrepreneurs qui ont travaillé au développement de l’application ArriveCAN.

Contexte

• Le 7 mars 2024, le Commissariat a reçu une plainte d’un député concernant les pratiques contractuelles de l’ASFC, et plus particulièrement le fait que certaines ressources contractuelles ayant participé au développement de l’application n’avaient peut-être pas les autorisations de sécurité requises.
• Le 14 mars 2024, le Comité permanent des opérations gouvernementales et des prévisions budgétaires (OGGO) a adopté une motion demandant au Commissariat d’enquêter sur l’application ArriveCAN, notamment sur le travail de tous les entrepreneurs et sous-traitants, afin de déterminer si la vie privée et les renseignements personnels des Canadiennes et Canadiens étaient adéquatement protégés.
• Nous avons reconnu la motion du comité OGGO du 16 mai 2024 et confirmé que notre enquête en cours sur l’ASFC tiendrait compte des points soulevés dans la motion.
• Le Commissariat avait déjà enquêté sur l’application ArriveCAN dans le cadre d’un rapport spécial sur la pandémie, à la suite d’une plainte selon laquelle l’application avait généré des renseignements inexacts qui avaient fait en sorte que plus de 10 000 voyageurs avaient reçu des notifications erronées de mise en quarantaine dans le cadre des mesures d’urgence.

RESPONSABLE : SPCAL

---

Principales enquêtes : Atteintes à l’Agence du revenu du Canada

Notes d’allocution

• En février 2024, j’ai publié un rapport spécial sur des attaques par bourrage d’identifiants qui ont eu lieu en 2020 et au cours desquelles des auteurs malveillants ont eu accès à certains comptes de l’Agence du revenu du Canada (ARC). Dans le cadre de notre enquête, nous avons appris que les pirates informatiques avaient accédé à des renseignements personnels détenus par l’ARC et les avaient modifiés dans le but d’obtenir un gain financier.
• Durant les dernières étapes de l’enquête, l’ARC a informé le Commissariat que d’autres atteintes n’avaient pas été signalées.
• Conformément à sa pratique habituelle, le Commissariat était activement engagé auprès de l’ARC concernant les atteintes. En mai 2024, nous avons commencé à recevoir des rapports trimestriels rétroactifs sur ces atteintes, dont certaines remontaient à 2020.
• Le 29 octobre 2024, j’ai reçu une plainte relative à ces atteintes et j’ai ouvert une enquête.
• Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.

Contexte

• L’ARC a collaboré avec le Commissariat. Toutefois, c’est avec un certain retard que les observations complètes nous ont été transmises.
• Depuis mai 2024, l’ARC remet chaque trimestre au Commissariat un rapport sur les atteintes. Le plus récent rapport nous a été transmis en août 2025.
• Le 5 décembre 2024, le Commissaire a comparu devant le Comité ETHI pour discuter des atteintes à la vie privée survenues à l’ARC.
• L’enquête en cours porte sur plus de 30 000 atteintes.

RESPONSABLE : SPCAL

---

Principales enquêtes : Agence mondiale antidopage

Notes d’allocution

• En novembre 2024, j’ai ouvert une enquête sur l’Agence mondiale antidopage (AMA) après avoir reçu une plainte concernant le traitement d’échantillons biologiques qui ont été prélevés sur des athlètes.
• La plainte allègue que l’AMA aurait communiqué des renseignements personnels à des fédérations sportives internationales qui seraient utilisés pour évaluer l’admissibilité des athlètes en fonction de leur sexe à leur insu ou sans leur consentement, et à des fins qui ne seraient pas considérées comme acceptables au titre de la LPRPDE.
• Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.

Contexte

• Basée à Montréal, l’Agence mondiale antidopage (AMA) est responsable de surveiller l’utilisation des drogues dans le sport et de lutter contre ce phénomène.
• Elle est devenue assujettie à la LPRPDE en 2015 en raison de pressions internationales exercées sur le Canada pour garantir que la grande quantité de renseignements personnels sensibles détenus par l’AMA est surveillée adéquatement.
• En 2016, le Commissariat a lancé une enquête sur l’AMA à la suite d’une intrusion dans son système d’administration et de gestion antidopage (ADAMS), qui a entraîné la divulgation publique de renseignements personnels sur les athlètes, y compris des données sur leur santé.
• Au terme de cette enquête, le Commissariat a conclu un accord de conformité avec l’AMA visant la mise en œuvre de moyens pour corriger les lacunes de ses mesures de sécurité, notamment :
  • Élaborer un cadre de sécurité de l’information;
  • Mettre en œuvre des mesures de sécurité supplémentaires liées aux contrôles d’accès;
  • Chiffrer les données inactives d’ADAMS que l’AMA détient;
  • S’assurer que la sécurité de ses applications et la détection des intrusions sont bien configurées et que les systèmes et les registres font l’objet d’une surveillance active et adéquate.

RESPONSABLE : SPCAL

---

Principales enquêtes : Ticketmaster

Notes d’allocution

• En mai 2024, après avoir appris dans les médias que Ticketmaster avait été victime d’une atteinte, le Commissariat a immédiatement pris contact avec l’entreprise.
• Nous avons appris qu’un auteur de menaces a exploité une brèche dans la plateforme infonuagique de stockage de données d’un tiers qu’utilisait Ticketmaster et qu’il a ainsi pu accéder aux renseignements personnels de millions de personnes, y compris des Canadiennes et des Canadiens.
• Après avoir reçu une plainte, j’ai ouvert une enquête en juillet 2024.
• Mon enquête vise à déterminer si Ticketmaster Canada avait mis en place des mesures de protection adéquates pour protéger les renseignements personnels dont elle a la gestion. Elle a aussi pour but d’évaluer si l’entreprise a informé les personnes touchées dès que possible lorsqu’il était raisonnable de croire que l’atteinte avait créé un risque réel de préjudice grave.
• Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.

Contexte

• Entre le 2 avril et le 18 mai 2024, un incident de cybersécurité est survenu à Ticketmaster Canada.
• Certains des renseignements personnels touchés peuvent être considérés comme sensibles. La date de naissance et le numéro de passeport d’un sous-groupe de personnes pourraient aussi avoir été consultés.
• L’atteinte était liée à un fournisseur de services tiers (Snowflake) avec qui Ticketmaster fait affaire pour le stockage des renseignements de ses clients. Dans le cadre de son enquête, le Commissariat a communiqué avec Snowflake pour obtenir des précisions sur l’incident.
• En vertu de la LPRPDE, Ticketmaster est considérée comme la responsable du traitement des données et c’est donc elle qui fait l’objet de l’enquête.

RESPONSABLE : SPCAL

---

Politique et orientation

---

Document d’orientation sur la biométrie

Notes d’allocution

• L’utilisation de la technologie biométrique est de plus en plus répandue et elle se décline de nombreuses façons. Elle peut avoir recours à des renseignements personnels très sensibles qui permettent d’identifier précisément une personne, qui restent relativement inchangés au fil du temps et qui sont difficiles à modifier (p. ex. les empreintes faciale, vocale et digitales ou l’ADN).
• En août 2025, le Commissariat a publié à l’intention des institutions fédérales et des organisations du secteur privé des documents d’orientation décrivant les exigences clés et les principaux éléments à prendre en considération concernant le traitement de renseignements biométriques.
• Ces documents ont pour but d’aider les institutions et les organisations à utiliser la technologie biométrique de façon à réduire les risques, dans le respect des lois et du droit à la vie privée.
• Le Commissariat a mené une vaste consultation avant de publier ses documents d’orientation et ceux-ci intègrent les nombreux commentaires de l’industrie, des institutions publiques, de la société civile et d’autres parties prenantes.

Contexte

• Parmi les applications récentes de la technologie biométrique que le Commissariat connaît bien, on trouve la vérification de l’âge, la prévention de la fraude ainsi que le contrôle d’accès et la sécurité des locaux.
• Le Commissariat a lancé une consultation publique sur une version préliminaire des documents d’orientation en 2023. Il a reçu 34 mémoires et rencontré 31 organisations représentant divers groupes de parties prenantes.
  • Les principaux commentaires recueillis lors de la consultation portaient sur l’adéquation entre les documents d’orientation et les exigences légales, sur la précision des explications techniques et politiques, sur la variation des profils de risque et de la sensibilité des initiatives de biométrie ainsi que sur l’ajout de pratiques exemplaires en matière de protection de la vie privée.
• Le document d’orientation destiné au secteur privé souligne la nécessité d’obtenir un consentement valide, d’utiliser une forme de consentement appropriée et de veiller à ce que les fins de la collecte, de l’utilisation et de la communication des renseignements biométriques soient acceptables.
• Le document d’orientation destiné au secteur public souligne la nécessité de s’assurer du caractère légitime de la collecte, de l’utilisation et de la communication des renseignements biométriques ainsi que l’importance d’évaluer la nécessité et la proportionnalité des initiatives de biométrie proposées.

RESPONSABLE : PRAP

---

Vérification de l’âge

Notes d’allocution

• Le contrôle de l’âge peut s’avérer un moyen raisonnable et efficace de créer des expériences en ligne plus sécuritaires pour les jeunes. Ce mécanisme fait son apparition un peu partout dans le monde, en appui à une variété d’objectifs stratégiques.
• Toutefois, s’il n’est pas élaboré et utilisé avec soin, le contrôle de l’âge peut aussi mener à la collecte excessive de renseignements personnels sensibles et au suivi des activités en ligne ou avoir d’autres répercussions importantes sur la vie privée des jeunes comme des adultes.
• Il est à la fois nécessaire et possible de prioriser la protection de la vie privée en matière de contrôle de l’âge. S’appuyant sur une consultation publique organisée l’année dernière, le Commissariat élabore actuellement un document d’orientation sur les situations où le contrôle de l’âge devrait être utilisé et sur la manière de le concevoir pour assurer la protection de la vie privée.

Contexte

• Le contrôle de l’âge est un terme générique qui englobe la vérification de l’âge (p. ex. la vérification de l’identité), l’estimation de l’âge et la déclaration de l’âge.
• Parmi les principales lois relatives au contrôle de l’âge, on peut penser à l’Online Services Act du Royaume-Uni, à la Digital Services Act de l’Union européenne, à l’Online Safety Act de l’Australie ainsi qu’à de nombreuses lois en vigueur dans des États américains.
• Au pays, le projet de loi S-209 (Loi sur la protection des jeunes contre l’exposition à la pornographie) est actuellement à l’étude par le Comité sénatorial permanent des affaires juridiques et constitutionnelles.
• Les principaux objectifs stratégiques de la législation sur le contrôle de l’âge comprennent la limitation de l’accès au matériel sexuellement explicite, la limitation de l’exposition à d’autres contenus préjudiciables (p. ex. du contenu relié à l’automutilation) ou l’application d’un âge minimal pour accéder aux médias sociaux.
• La mise à l’essai de technologies de contrôle de l’âge en Australie, qui s’est terminée en août 2025, a révélé qu’il est possible de contrôler l’âge dans le respect de la vie privée, de façon efficiente et efficace et qu’aucune limitation technologique importante n’empêche de mettre en œuvre des mécanismes de contrôle de l’âge pour atteindre des objectifs stratégiques.
• De juin à septembre 2024, le Commissariat a mené une consultation exploratoire sur le contrôle de l’âge et a reçu 40 réponses provenant d’un large éventail de parties prenantes. En mars 2025, nous avons publié un rapport « Ce que nous avons entendu ».

RESPONSABLE : PRAP

---

Children’s Code (en anglais seulement)

Notes d’allocution

• Le Commissariat vise à établir un code canadien sur la protection des renseignements personnels des enfants qui clarifiera les obligations prévues par la LPRPDE et présentera les attentes du Commissariat en ce qui concerne la façon dont les organisations gèrent les renseignements personnels des enfants.
• Durant l’été, le Commissariat a mené une consultation exploratoire afin de mieux comprendre les points de vue des parties prenantes sur la vie privée des enfants et de voir comment un code peut être élaboré pour protéger au mieux leur droit à la vie privée. Nous analysons actuellement les mémoires qui nous ont été soumis et prévoyons publier au début de 2026 un rapport « Ce que nous avons entendu », qui sera suivi d’un projet de code au printemps.
• De nombreuses juridictions à l’échelle mondiale, comme le Royaume-Uni, l’Irlande et la Californie, ont bénéficié de la publication de documents d’orientation ou de l’adoption d’une loi obligeant les organisations à adapter leurs produits et leurs services de façon à tenir compte des besoins uniques et de l’intérêt supérieur des enfants.
• Une fois qu’il est mis en œuvre, un code de pratique peut donner aux enfants des moyens d’exercer leur droit à la vie privée et de se protéger contre les préjudices qu’ils pourraient subir. De plus, des lois modernisées sur la protection des renseignements personnels prévoyant des mesures de protection spéciales pour les enfants peuvent offrir une assurance accrue quant à la protection des enfants.

Contexte

• On trouve des codes sur la protection des renseignements personnels des enfants dans d’autres juridictions, notamment :
  1. La California Age-Appropriate Design Code Act, adoptée le 15 septembre 2022, a été rédigée par le législateur et intégrée directement dans la législation.
  2. En vigueur depuis le 2 septembre 2020, le Age-Appropriate Design Code du Royaume-Uni a été élaboré après l’adoption d’une loi exigeant que le commissariat à l’information du Royaume-Uni prépare un code juridiquement contraignant.
  3. En décembre 2021, la commission de la protection des données de l’Irlande a publié un code, qui prend la forme d’un document d’orientation, intitulé Fundamentals for a Child-Oriented Approach to Data Processing.
• Dans le cadre de la consultation, le Commissariat a reçu plus de 30 réponses provenant de divers groupes de parties prenantes. Leurs observations orienteront l’élaboration d’un code et contribueront à l’avancement du plan stratégique 2024-2027 du Commissariat.

RESPONSABLE : PRAP

---

Conseil consultatif de la jeunesse

Notes d’allocution

• En juin, j’ai annoncé la création d’un conseil jeunesse qui viendra soutenir les fonctions d’élaboration des politiques, de consultation et de sensibilisation du public du Commissariat.
• L’objectif de ce conseil est de permettre aux jeunes de faire connaître leurs points de vue, de raconter leurs expériences et d’échanger des idées sur des questions liées à la protection de la vie privée qui les préoccupent le plus. Nous pourrons ainsi mieux comprendre les répercussions de ces questions sur leur génération et orienter nos efforts de façon à obtenir des résultats optimaux.
• Il est important que toutes les organisations, autant les entreprises que les institutions gouvernementales, fassent une place active aux jeunes au moment d’évaluer les répercussions sur la vie privée des projets qui touchent les renseignements personnels des jeunes.

Contexte

• Le Conseil jeunesse du Commissariat comptera sept membres âgés de 13 à 17 ans venant de partout au Canada et dont le mandat durera deux ans. Les jeunes de ce groupe d’âge sont très actifs en ligne et ils commencent à explorer l’espace numérique de façon plus indépendante; ils restent toutefois vulnérables aux risques liés à la protection de la vie privée.
• Nous souhaitons créer un groupe diversifié qui reflète le large éventail d’expériences et de points de vue des jeunes du Canada. Nous nous attendons à ce que les membres du Conseil soient annoncés au cours de l’automne ou de l’hiver.
• Nous avons reçu 61 candidatures et mené 18 entretiens. La Direction des politiques, de la recherche et des affaires parlementaires est à dresser la liste finale des candidatures recommandées et espère pouvoir informer les candidats retenus au cours des prochaines semaines, une fois que le Commissaire aura donné son approbation.
• Le Commissariat a réalisé une EFVP portant sur la création du Conseil jeunesse, d’abord parce que des renseignements personnels allaient être utilisés pour prendre une décision administrative (soit sélectionner les membres) et aussi pour souligner le caractère sensible des renseignements personnels des enfants.
• Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario et le Commissaire à la sécurité électronique de l’Australie ont aussi un conseil des jeunes.

RESPONSABLE : PRAP

---

Programme des contributions

Notes d’allocution

• Dans le cadre de son Programme des contributions, le Commissariat consacre jusqu’à 500 000 dollars par an à des initiatives de recherche et d’éducation du public sur un éventail de questions relatives à la protection de la vie privée liées à la LPRPDE.
• Ces projets indépendants génèrent de l’information, de l’expertise et une compréhension nouvelles qui peuvent aider les organisations à renforcer la protection de la vie privée et aider les Canadiens à exercer leur droit à la vie privée dans leurs interactions avec le secteur commercial.
• Chaque année, l’appel de demandes porte sur un thème particulier qui correspond aux priorités du Commissariat. Cette année, nous avons demandé des propositions de projets visant à accroître les connaissances et la sensibilisation en matière d’appareils intelligents, y compris les flux de données connexes et les mesures techniques, politiques ou législatives qui peuvent être prises pour veiller à ce que ces appareils soient conçus de manière à protéger la vie privée.

Contexte

• Établi en 2004, le Programme des contributions a fourni près de 10,5 millions de dollars afin de développer l’expertise et les connaissances associées à un large éventail d’enjeux relatifs à la protection des renseignements personnels dans le secteur privé.
• Le programme a permis de financer une vaste gamme de projets, par exemple des initiatives du Centre de gouvernance de l’information des Premières Nations (sur la souveraineté des données et la LPRPDE), de l’Université de l’île de Vancouver (sur les jeunes et l’IA) et de l’Université Western Ontario (sur les interfaces truquées).
• Le Commissariat peut ensuite se baser sur les connaissances et les idées qui en résultent pour conseiller le Parlement, élaborer des positions stratégiques, mener des enquêtes et sensibiliser la population canadienne aux questions relatives à la protection de la vie privée.
• Tous les projets doivent être liés à la LPRPDE, puisque le Programme existe au titre de cette loi. Les propositions sont évaluées en fonction des avantages par des experts en la matière du Commissariat et, le cas échéant, par des pairs examinateurs externes. La plupart des années, environ 50 000 dollars sont alloués aux demandeurs retenus. La contribution maximale est de 100 000 dollars.
• Cette année, les modalités du Programme ont été renouvelées pour cinq ans par le ministre de la Justice (jusqu’au 31 mars 2030).
• La liste complète des projets financés est publiée chaque année sur le site Web du Commissariat, ainsi que des résumés des projets achevés les années précédentes.

RESPONSABLE : PRAP

---

Circulation transfrontalière des données et souveraineté des données

Notes d’allocution

• L’interopérabilité peut apporter aux entreprises une certitude en matière de réglementation et les aider à réduire les coûts liés à la conformité tout en maintenant des normes élevées en matière de protection de la vie privée.
• C’est pourquoi je travaille en étroite collaboration avec mes homologues internationaux pour faire évoluer le concept de libre circulation des données en toute confiance en déterminant les points communs entre les approches réglementaires existantes.
• Le Commissariat a plaidé en faveur d’une modification de la LPRPDE afin d’y inclure des dispositions explicites et distinctes concernant la circulation transfrontalière des données, de manière à ce que les renseignements personnels ne quittent pas le Canada sans que des mesures de protection comparables soient mises en place. Nos lois seraient ainsi alignées sur des lois modernes en matière de protection de la vie privée, comme le RGPD ou les lois en vigueur en Australie et en Nouvelle-Zélande.
• La LPRPDE n’interdit pas aux organisations situées au Canada de transmettre des renseignements personnels à des organisations d’une autre juridiction et ne fait pas non plus de distinction entre les transferts nationaux et internationaux.
• Elle exige que les organisations soient transparentes quant à leurs pratiques en matière de données. Elle précise aussi que les organisations demeurent responsables des renseignements personnels confiés à une tierce partie aux fins de traitement et qu’elles doivent s’assurer de fournir un « degré comparable de protection ».

Contexte

• Le principe 4.1.3 de la LPRPDE exige que les organisations qui transfèrent des renseignements personnels à un tiers aux fins de traitement fournissent, par voie contractuelle ou autre, un « degré comparable de protection ».
• Les lois sur la protection des renseignements personnels de l’Australie, de la Nouvelle-Zélande et de l’Union européenne prévoient des mécanismes de transfert précis, notamment des décisions d’adéquation, des clauses contractuelles types, des codes de conduite ou d’autres régimes comme des règles d’entreprise contraignantes.
• Les mémoires du Commissariat sur les projets de loi C-11 et C-27 recommandaient la mise en œuvre d’un cadre sur la circulation transfrontalière des données afin que les éléments suivants, entre autres, soient pris en compte : 1) à qui s’appliquent les obligations; 2) le resserrement des mesures de responsabilisation; 3) les critères à remplir pour qu’un transfert ait lieu; 4) l’évaluation de la compétence en matière de mesures de protection.
• En 2024, le Groupe de travail sur les normes et les cadres mondiaux de l’AMVP a adopté une résolution sur la libre circulation des données dans la confiance, qui était coparrainée par le Commissariat. La libre circulation des données dans la confiance reste également au cœur des travaux de la Table ronde des autorités de protection des données et de la vie privée du G7, qui examine les outils de transfert des données afin de favoriser l’interopérabilité (p. ex. la comparaison des mécanismes de certification).

RESPONSABLE : PRAP

---

Répercussions de l’IA sur la protection de la vie privée

Notes d’allocution

• Tant le développement que l’utilisation de l’IA ont des répercussions sur la protection de la vie privée.
• Le développement des systèmes d’IA nécessite d’immenses quantités de données, y compris des renseignements personnels. Même quand les individus sont au courant de la collecte, il est difficile de dire s’ils y ont consenti ou s’ils sont en mesure d’exercer leur droit à la vie privée.
• L’utilisation de systèmes d’IA peut être associée à des préjugés ou à de la discrimination, à des décisions qui manquent de transparence ou à un manque de responsabilisation. Les systèmes d’IA peuvent également traiter de grandes quantités de données, ce qui mène à un suivi ou à une surveillance plus sophistiqués des individus.
• Cependant, aucun de ces problèmes n’est inhérent à l’IA : en prenant en compte la protection de la vie privée dans le développement et l’utilisation des systèmes d’IA, on peut innover de façon responsable.

Contexte

• Sondage du Commissariat mené auprès de la population canadienne : parmi les sujets couverts par le sondage, la protection de la vie privée dans le cadre de l’utilisation de l’IA est ce qui inquiète le plus les Canadiens et les Canadiennes, puisque 34 % d’entre eux se sont dits « extrêmement préoccupés » par la question.
• Recommandation 6, Recommandations prioritaires pour la LPRPDE en 2025 : « Améliorer la responsabilisation en obligeant les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des évaluations des facteurs relatifs à la vie privée (EFVP) pour les activités à risque élevé. »
• Déclaration de la Table ronde des autorités de protection des données et de la vie privée du G7 sur l’innovation responsable : Voici quelques-unes des considérations communes qui appuient la priorisation de la protection de la vie privée dans la pratique :
  • déterminer si le traitement des données personnelles est nécessaire;
  • effectuer une évaluation des risques pour la vie privée qui peuvent être créés ou exacerbés par la technologie en question et prendre des décisions appropriées en matière de conception, de développement et de déploiement afin d’atténuer les risques cernés;
  • concevoir des technologies qui favorisent l’exercice du droit à la vie privée;
  • surveiller et réévaluer régulièrement l’efficacité des mesures d’atténuation des risques.

RESPONSABLE : PRAP

---

Répercussions de la propriété étrangère sur la protection de la vie privée

Notes d’allocution

• Dans le cadre des activités des sociétés étrangères au Canada, il est possible que les renseignements personnels de Canadiens et de Canadiennes soient envoyés dans d’autres pays où les tribunaux ainsi que les organismes d’application de la loi et de sécurité nationale peuvent y avoir accès.
• Bien que la LPRPDE n’interdise pas de tels transferts, les entreprises doivent faire preuve de transparence et informer leurs clients que leurs renseignements peuvent être envoyés dans une autre administration et consultés par des autorités étrangères.
• La LPRPDE autorise la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement dans certains contextes d’application de la loi et de sécurité nationale, lorsqu’une institution gouvernementale a l’autorité légitime de demander ces renseignements.
• Si la consultation de renseignements personnels par un gouvernement étranger soulève des préoccupations concernant la sécurité nationale, le gouvernement peut entamer un examen de la sécurité nationale au titre de la Loi sur Investissement Canada (LIC). Même si le Commissariat n’a participé à aucun examen au titre de la LIC, il est disponible pour être consulté au cours de ces examens. Il a aussi fourni des conseils généraux aux ministères concernant la protection de la vie privée et les examens au titre de la LIC.

Contexte

• La LPRPDE autorise la communication de renseignement personnel à l’insu de l’intéressé ou sans son consentement lorsqu’une institution gouvernementale ou une subdivision d’une telle institution demande à obtenir un renseignement en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait qu’elle soupçonne que le renseignement est afférent à la sécurité nationale (sous-alinéa 7(3)c.1)(i)); ou que la communication est demandée aux fins du contrôle d’application du droit étranger ou de la tenue d’enquêtes liées à ce contrôle d’application (sous-alinéa 7(3)c.1)(ii)).
• La LPRPDE permet également la communication d’un renseignement personnel à l’initiative d’une organisation si celle-ci a des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit étranger ou si elle soupçonne qu’il est afférent à la sécurité nationale (alinéa 7(3)d)).
• Le 26 août 2019, le Commissariat a écrit à ISDE pour lui donner des conseils sur la façon de tenir compte des questions relatives à la protection de la vie privée lorsqu’ils effectuent des examens au titre de la LIC. En octobre 2020, nous avons conseillé la Gendarmerie royale du Canada au sujet des liens entre la protection de la vie privée et la LIC.

RESPONSABLE : SERVICES JURIDIQUES

---

Litiges

---

Litige concernant Facebook

Notes d’allocution

• En 2024, la Cour d’appel fédérale a rendu une importante décision au sujet des pratiques de Facebook en matière de traitement des données, dans laquelle elle confirme que les grandes sociétés de données internationales, dont le modèle d’affaires repose sur les données des utilisateurs, doivent respecter la loi canadienne sur la protection des renseignements personnels et protéger le droit fondamental à la vie privée des individus.
• Tout comme le Commissariat à la protection de la vie privée du Canada l’avait fait dans son enquête en 2019, la Cour d’appel fédérale a conclu que Facebook avait enfreint l’exigence d’obtenir le consentement valable des utilisateurs et n’avait pas suffisamment protégé les renseignements personnels de ces derniers.
• La Cour suprême du Canada a récemment accepté d’entendre l’appel de Facebook de la décision de la Cour d’appel fédérale.

Contexte

• En mars 2018, le Commissariat a reçu une plainte visant Facebook qui a été formulée dans le contexte des reportages dans les médias selon lesquels Cambridge Analytica avait eu accès aux renseignements personnels d’utilisateurs de Facebook, sans leur consentement, par l’intermédiaire d’une application tierce (TYDL).
• Le Commissariat à la protection de la vie privée du Canada et le Commissariat à la protection de la vie privée de la Colombie-Britannique ont enquêté conjointement, ce qui a permis de déterminer que Facebook n’avait pas obtenu le consentement valable de ses utilisateurs avant de communiquer leurs renseignements personnels et qu’il n’avait pas mis en place des mesures de protection adéquates.
• Le Commissariat a déposé une demande d’audition auprès de la Cour fédérale en vertu de l’article 15 de la LPRPDE, demandant, entre autres, une ordonnance obligeant Facebook à corriger ses pratiques pour se conformer à la LPRPDE, car Facebook n’a pas accepté de mettre en œuvre les recommandations du Commissariat.
• Le 13 avril 2023, la Cour fédérale a rejeté la demande du Commissaire présentée en vertu de l’article 15 et le Commissariat a porté en appel la décision devant la Cour d’appel fédérale.
• Le 9 septembre 2024, la Cour d’appel fédérale a accueilli l’appel du Commissariat avec dépens et a déclaré que les pratiques de Facebook entre 2013 et 2015 avaient contrevenu à la LPRPDE.
• Le 12 juin 2025, la Cour suprême du Canada a accordé à Facebook l’autorisation d’interjeter appel de la décision de la Cour d’appel fédérale. Les deux parties doivent déposer leur mémoire des faits et du droit respectif au cours de l’automne 2025.

RESPONSABLE : SERVICES JURIDIQUES

---

Litige concernant Aylo

Notes d’allocution

• En février 2025, le Commissariat a déposé auprès de la Cour fédérale, au titre de l’article 15 de la LPRPDE, un avis de demande en vue d’obtenir une ordonnance obligeant Aylo (anciennement MindGeek), l’exploitant de Pornhub et d’autres sites pornographiques bien connus, à respecter les lois canadiennes sur la protection des renseignements personnels.
• La demande fait suite à une enquête menée par le Commissariat, qui a révélé d’importants problèmes liés aux pratiques d’Aylo en matière de protection de la vie privée, lesquelles ont permis la mise en ligne de contenu intime de nature très sensible à l’insu des individus concernés et sans leur consentement. Le rapport de conclusions d’enquête a été publié en 2024.
• Le Commissariat exige qu’Aylo mette en œuvre des mesures claires et précises en vue de s’assurer qu’un consentement éclairé est obtenu directement de toutes les personnes qui apparaissent dans les images et les vidéos intimes téléchargées sur ses sites Web.
• Même si Aylo a modifié certaines de ses pratiques en matière de protection des renseignements personnels et certains de ses mécanismes de vérification du consentement pendant et après l’enquête, la demande indique que les pratiques de l’entreprise ne garantissent toujours pas l’obtention d’un consentement éclairé de la part de toutes les personnes apparaissant dans les vidéos.

Contexte

• En avril 2020, le Commissariat a reçu une plainte contre Aylo, qui n’aurait pas obtenu le consentement de toutes les personnes représentées dans du contenu intime affiché sur ses différents sites Web.
• L’enquête du Commissariat a révélé qu’Aylo avait enfreint la LPRPDE en permettant la diffusion de contenu intime sur ses sites Web à l’insu ou sans le consentement des personnes représentées. Le Commissariat a recommandé qu’Aylo cesse immédiatement de recueillir, d’utiliser et de communiquer les images et vidéos intimes produites par les utilisateurs jusqu’à la mise en place de mesures lui permettant de se conformer à la LPRPDE.
• Un litige a opposé le Commissariat et Aylo de 2023 à 2024. Aylo avait demandé à la Cour une injonction visant à empêcher le Commissariat de publier le rapport de conclusions de l’enquête le temps que la demande de contrôle judiciaire soit examinée. La Cour fédérale a rejeté la demande d’injonction d’Aylo et la Cour d’appel fédérale a rejeté à l’unanimité l’appel d’Aylo.

RESPONSABLE : SERVICES JURIDIQUES

---

Litige concernant Google

Notes d’allocution

• En août, le Commissariat a publié le rapport de conclusions de l’enquête qu’il a menée à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la LPRPDE en affichant dans les résultats de recherche des liens vers des articles de presse le concernant lorsque son nom faisait l’objet d’une recherche. L’individu affirmait que ces articles étaient désuets et inexacts et qu’ils divulguaient des renseignements personnels de nature sensible à son sujet, ce qui lui causait un préjudice grave.
• Le Commissariat a conclu que, dans des circonstances limitées, lorsqu’il existe un risque important de préjudice pour un individu qui l’emporte sur l’intérêt public à la liberté d’expression, la LPRPDE donne à cet individu le droit de demander le déréférencement de certains renseignements le concernant, de sorte qu’ils ne s’affichent pas dans les résultats d’un moteur de recherche lorsqu’une recherche en ligne est effectuée au moyen de son nom.
• Dans cette affaire, le Commissariat a conclu que Google devrait déréférencer les articles en question. Google a refusé de mettre en œuvre cette recommandation. J’examine toutes les options possibles pour assurer le respect de la LPRPDE, y compris la possibilité de demander à la Cour fédérale de rendre une ordonnance visant à obliger Google à se conformer à la recommandation.

Contexte

• En 2018, le Commissariat a déposé auprès de la Cour fédérale une demande de renvoi visant à déterminer si la plainte relevait de sa compétence, puisque Google affirmait que ce n’était pas le cas.
• En 2021, la Cour fédérale a jugé que la LPRPDE s’applique au moteur de recherche de Google, puisque celui-ci recueille, utilise et communique des renseignements personnels dans le cadre d’activités commerciales et qu’il n’est pas exempté de la LPRPDE selon l’exception relative aux fins journalistiques (comme Google l’avait soutenu). Google a appelé de la décision de la Cour fédérale, qui a été confirmée par la Cour d’appel fédérale en 2023.
• L’article 14 donne au plaignant le droit de demander, après la publication d’un rapport de conclusions, que la Cour entende toute question qui est mentionnée dans le rapport et qui a trait à certaines dispositions de la LPRPDE, y compris le paragraphe 5(3). La demande doit être faite dans l’année suivant la publication du rapport de conclusions.
• Selon le paragraphe 15a), avec le consentement du plaignant, le commissaire peut demander l’audition d’une question. Les demandes faites au titre des articles 14 et 15 sont des procédures de novo. Bien que le rapport de conclusions puisse être mis en preuve, il ne lie pas la Cour. Aux termes de l’article 16 de la LPRPDE, le demandeur peut demander à la Cour d’« ordonner à l’organisation de revoir ses pratiques en vue de se conformer » aux articles 5 à 10.

RESPONSABLE : SERVICES JURIDIQUES