Fiches des enjeux sur le projet de loi C-15 - Comparution devant INDU du 26 janvier 2026

Opinions sur les changements à la LPRPDE proposés dans le projet de loi C-15

Notes d’allocution

• Le projet de loi C-15 modifierait la Loi sur la protection des renseignements personnels et les documents électroniques pour établir un régime de cadres de mobilité des données presque identique à celui proposé précédemment dans le projet de loi C-27 (article 72). Tout comme dans le cas du projet de loi C-27, je soutiens ces changements, car ils permettront aux individus de mieux contrôler leurs renseignements personnels.
• Certaines lois sur la portabilité des données accordent aux individus le droit de recevoir leurs renseignements personnels dans un format structuré, couramment utilisé et lisible par machine. Bien qu’un tel droit puisse être accordé en modifiant les dispositions sur la mobilité du projet de loi C-15, il pourrait également être raisonnablement prévu dans le droit général d’accès de la Loi (article 4.9 de l’annexe 1), qui exige que les entreprises informent les individus de l’existence de renseignements personnels qui les concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et leur permettent de les consulter.
• Je suis également d’avis que l’établissement d’un rôle consultatif pour le Commissariat à la protection de la vie privée du Canada permettrait de renforcer le régime de cadres de mobilité des données proposé dans le projet de loi C-15.

Contexte

• Tout comme le projet de loi C-15 (article 389, section 1.2), l’article 72 de l’ancien projet de loi C-27 aurait exigé que, « [s]ous réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont assujetties à un cadre de mobilité des données. » Le projet de loi C-27 aurait également permis au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels au titre de l’article 72.
• Dans ses observations écrites sur le projet de loi C-27, le Commissariat à la protection de la vie privée du Canada a précédemment recommandé :
  • Élargir l’article 72 afin d’inclure tous les renseignements personnels au sujet d’un individu, y compris ceux dérivés ou inférés;
  • Établir un rôle consultatif ou d’approbation clair pour le CPVP à l’égard des cadres de mobilité des données.
• Les cadres de portabilité des données prévus par de nombreuses lois sur la portabilité des données d’autres juridictions (Québec, Union européenne [UE], Royaume-Uni) ne s’appliquent pas aux données dérivées ou inférées. Dans d’autres cas (Californie et Australie), les lois ne prévoient pas le transfert de ces renseignements à une autre organisation.

Préparé par : PRAP

---

Règlements du gouverneur en conseil comme condition préalable aux cadres de mobilité des données

Notes d’allocution

• Pour que le droit à la mobilité des données s’applique, les deux organisations entre lesquelles les données sont transférées doivent être assujetties à un cadre de mobilité des données.
• Le gouverneur en conseil précisera par règlement quelles organisations sont assujetties à un cadre de mobilité des données (voir l’alinéa 10.5b) proposé de la Loi sur la protection des renseignements personnels et les documents électroniques).
• Certaines organisations pourraient s’adresser au gouvernement pour demander que le gouverneur en conseil les assujettisse à un cadre de mobilité des données.
• Bien que nous n’interprétions pas les modifications à la Loi sur la protection des renseignements personnels et les documents électroniques comme permettant aux organisations d’établir de façon informelle leurs propres cadres de mobilité des données sans l’intervention du gouvernement, plus de précisions pourraient être fournies par rapport à cette question.

Contexte

• L’article 10.‍4 proposé de la LPRPDE stipule que « Sous réserve des règlements, l’organisation, à la demande de l’individu auprès duquel elle a recueilli des renseignements personnels, communique dès que possible ces renseignements à l’organisation que l’individu désigne si les deux organisations sont assujetties à un cadre de mobilité des données » (italique ajouté).
• L’alinéa 10.5b) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) dit ceci : « Le gouverneur en conseil peut prendre des règlements concernant la communication de renseignements personnels au titre de l’article 10.‍4, notamment des règlements […] (b) précisant les organisations qui sont assujetties à un cadre de mobilité des données »;
• Les choses pourraient être plus claires si l’article 10.4 proposé de la LPRPDE précisait que les organisations doivent être assujetties à un cadre de mobilité des données « tel qu’il est prescrit par règlement ».

Préparé par : Services juridiques

---

Portabilité des données prévue par le RGPD

Notes d’allocution

• Le Règlement général sur la protection des données de l’Union européenne prévoit un droit général à la portabilité des données. En vertu de l’article 20, les individus peuvent recevoir les renseignements personnels les concernant qu’ils ont transmis à un responsable du traitement des données et demander que ces renseignements soient transférés à un autre responsable.
• Le droit prévu par le Règlement général sur la protection des données doit être respecté par tous les responsables assujettis au Règlement. En revanche, le projet de loi C-15 limite l’application de son droit à la mobilité des données aux organisations assujetties, par règlement, à un cadre de mobilité des données.
• Ni le droit prévu par le Règlement général sur la protection des données ni le droit proposé dans le projet de loi C-15 ne s’appliquent aux renseignements personnels inférés ou dérivés.

Contexte

• Le projet de loi C-15 n’est pas très précis pour ce qui est de la portée et de l’application du droit; la plupart des renseignements à ce sujet figureront dans les règlements, qui n’ont pas encore été publiés.
• Le droit prévu par le Règlement général sur la protection des données (RGPD) s’applique aux renseignements observés sur un individu (p. ex. l’historique de recherche, l’historique de localisation), mais ne s’applique pas aux renseignements inférés à propos d’un individu (p. ex. les recommandations personnalisées, les données liées au profilage).
• Le droit à la portabilité des données prévu par le RGPD s’applique lorsque l’individu concerné par des renseignements a consenti à leur traitement ou lorsque ce dernier est nécessaire à l’exécution d’un contrat (alinéa 20(1)a)). Elle ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (article 20(3)).
• Le droit prévu par le RGPD ne définit pas d’exigences de sécurité, mais les obligations générales de sécurité énoncées à l’alinéa 5(1)f) s’appliqueraient.
• Lorsque des renseignements personnels de tiers sont recueillis à la suite d’une demande au titre de l’article 20 du RGPD, un autre fondement juridique pour le traitement des renseignements doit être défini (p. ex. les raisons d’intérêt légitime prévues par l’alinéa 6(1)f) du RGPD).
• Le règlement de l’Union européenne (UE) sur les données, entré en vigueur le 12 septembre 2025, accorde aux utilisateurs de « produits connectés et de services connexes » (c.-à-d. l’Internet des objets) un droit à la portabilité des données pour les renseignements à caractère personnel et non personnel qu’ils génèrent lorsqu’ils utilisent ces produits et services.
• Le RGPD continue de s’appliquer à toutes les activités de traitement des données personnelles effectuées au titre de la Loi sur les données. En cas de divergence, le RGPD prévaudrait.

Préparé par : Services juridiques

---

Consumer Data Right en Australie

Notes d’allocution

• Le Consumer Data Right (ou CDR) de l’Australie est semblable au droit à la mobilité des données prévu dans le projet de loi C-15, car il ne s’applique qu’à certains secteurs désignés par règlement.
• Pour le moment, les institutions de dépôt autorisées, les prêteurs non bancaires, le secteur de l’énergie et le secteur des télécommunications sont assujettis au CDR de l’Australie.
• Comme le prévoit le projet de loi C-15 pour le Canada, le ministre australien peut également établir des règles pour le droit par rapport aux secteurs désignés.
• Bien qu’au sens des instruments législatifs relatifs au CDR, les renseignements dérivés soient considérés comme des données visées par le CDR, les instruments n’exigent pas la communication de ces renseignements aux consommateurs.
• La législation australienne prévoit également des rôles de supervision et de consultation pour le Commissaire à l’information de l’Australie. Le projet de loi C-15 ne prévoit pas de rôles similaires pour le Commissaire à la protection de la vie privée.

Contexte

• L’article 56AC de la Competition and Consumer Act 2010 (CCA) de l’Australie définit la portée des pouvoirs réglementaires permettant de désigner des secteurs comme étant assujettis au Consumer Data Right (CDR).
• L’article 56BA de la CCA autorise le ministre australien à adopter des règles relatives aux données des consommateurs pour les secteurs désignés, y compris le secteur bancaire et le secteur des télécommunications. L’article 56BB précise que ces règles peuvent notamment porter sur la communication, la collecte, l’utilisation, la protection des données ainsi que sur la production de rapports, la tenue des dossiers et la vérification les concernant.
• L’alinéa 56AI(1)(b) de la CCA précise que les données visées par le CDR comprennent les renseignements dérivés entièrement ou partiellement des renseignements concernant un consommateur auquel s’appliquent les instruments législatifs relatifs au CDR, mais le paragraphe 56BD(1) indique que la communication de ces renseignements n’est pas obligatoire.
• Au titre des articles 56AF et 56BR de la CCA, le Commissaire à l’information de l’Australie doit analyser les instruments proposant de désigner un secteur et en faire rapport ou déclarer les mesures prises et analyser toute règle proposée visant les données sur les consommateurs.
• Au titre de l’article 56GA de la CCA, le Commissaire à l’information peut mener des consultations ou fournir des conseils sur toute question liée au fonctionnement du CDR.

Préparé par : Services juridiques

---

Portabilité des données au Royaume-Uni

Notes d’allocution

• Au titre de l’article 20 du General Data Protection Regulation du Royaume-Uni, le pays bénéficie du même droit à la portabilité des données que celui prévu dans le Règlement général sur la protection des données de l’Union européenne.
• Le droit prévu par le General Data Protection Regulation du Royaume-Uni doit être respecté par tous les responsables du traitement des données assujettis au General Data Protection Regulation. En revanche, le projet de loi C-15 limite l’application de son droit proposé à la mobilité des données aux organisations assujetties, par règlement, à un cadre de mobilité des données.
• Ni le droit prévu par le General Data Protection Regulation du Royaume-Uni ni le droit proposé dans le projet de loi C-15 ne s’appliquent aux renseignements personnels inférés.
• La Data (Use and Access) Act (ou DUAA) du Royaume-Uni, adoptée en juin 2025, élargit la portée potentielle de la portabilité des données au Royaume-Uni pour que celle-ci s’applique aux données des clients et des entreprises, notamment les renseignements à caractère personnel et non personnel.
• La DUAA confère au secrétaire d’État et au Trésor du Royaume-Uni de vastes pouvoirs réglementaires permettant de déterminer la portée et l’application du droit élargi à la portabilité des données.
• Comme aucun règlement de ce genre n’a été adopté pour l’instant, il est difficile de formuler des commentaires sur l’application pratique de la DUAA.

Contexte

• Le Règlement général sur la protection des données (RGPD) a été intégré dans les lois nationales du Royaume-Uni par l’intermédiaire du General Data Protection Regulation (GDPR). Comme le droit prévu par le GDPR est identique au droit prévu par le RGPD, il est possible de trouver de plus amples renseignements sur le droit dans la fiche d’enjeux sur la portabilité des données prévue par le RGPD.
• La DUAA s’applique aux données des entreprises et des consommateurs, appelées communément les données intelligentes. La définition de ces données est large et comprend les renseignements relatifs aux biens, aux services et au contenu numérique (article 1).
• La DUAA confère au secrétaire d’État et au Trésor du Royaume-Uni de vastes pouvoirs réglementaires permettant de donner accès à ces données et d’autoriser le transfert des données (articles 2 à 5).
• Il est possible qu’à l’avenir, les règlements pris en vertu de la DUAA puissent constituer le fondement juridique pour mettre en œuvre la portabilité des données dans les secteurs des finances, de l’énergie, des télécommunications ou des transports.

Préparé par : Services juridiques

---

Portabilité des données au Québec

Notes d’allocution

• La Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit un droit à la mobilité des données limité aux renseignements personnels recueillis auprès du requérant.
• Ce droit ne s’applique pas aux renseignements personnels inférés, mais s’applique aux renseignements personnels recueillis indirectement auprès d’un individu ou générés en fonction de ses activités (par exemple, l’historique des achats, les antécédents de voyage, les habitudes de conduite).
• Contrairement au projet de loi C-15, le droit prévu par la loi du Québec s’applique de façon générale à toutes les organisations assujetties à cette loi; il ne vise pas que les organisations assujetties à un cadre de mobilité des données.
• Au Québec, le droit de mobilité des données ne s’applique également qu’aux renseignements personnels stockés dans un format électronique.

Contexte

• L’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé stipule que « À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. »
• Les directives de la Commission d’accès à l’information du Québec indiquent que le droit ne s’appliquerait pas aux catégories suivantes de renseignements personnels :
  • Les renseignements personnels en format papier;
  • Les renseignements créés ou inférés par une organisation par l’analyse et l’observation ou obtenus par des algorithmes et des corrélations;
  • Les renseignements informatisés qu’un organisme public ou une entreprise obtient par des tiers;
  • Le niveau de risque associé à un individu par sa compagnie d’assurance.
• La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels du Québec prévoit un droit identique (article 84).

Préparé par : Services juridiques

---

Portabilité des données en Californie

Notes d’allocution

• La California Consumer Privacy Act (ou CCPA) définit des exigences relatives à la portabilité des données pour ce qui est des renseignements personnels qu’une entreprise recueille au sujet d’un consommateur.
• Les entreprises doivent fournir ces renseignements directement aux consommateurs ou peuvent les transférer à une autre entité à la demande des consommateurs, et les renseignements doivent être fournis dans un format facile à comprendre pour le consommateur moyen.
• Il convient de noter que la CCPA ne s’applique qu’à certaines entreprises (par exemple, les entreprises dont les recettes brutes annuelles dépassent 25 millions de dollars).
• Contrairement au projet de loi C-15, les exigences relatives à la portabilité des données énoncées dans la CCPA comprennent des inférences aux données concernant une personne générées par l’entreprise ou obtenues par celle-ci auprès d’une autre source.

Contexte

• Les exigences de la Californie relatives à la portabilité (voir le paragraphe 1798.110(b) et la division 1798.130(a)(3)(B)(iii) de la California Consumer Privacy Act [CCPA]) s’appliquent aux renseignements qu’une entreprise recueille au sujet d’un consommateur (voir l’article 1798.110 de la CCPA).
• Les entreprises sont tenues de fournir les renseignements personnels précis obtenus auprès des consommateurs dans un format facile à comprendre pour le consommateur moyen et, dans la mesure où cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine. À la demande du consommateur, les renseignements peuvent également être transmis à une autre entité sans entrave (1798.130(a)(3)(B)(iii) de la CCPA).
• La CCPA ne s’applique qu’aux entreprises qui recueillent des renseignements auprès des consommateurs en Californie et qui correspondent à au moins une des situations suivantes : 1) recettes brutes annuelles dépassant 25 millions de dollars; 2) achat, vente ou transmission des renseignements personnels d’au moins 100 000 consommateurs ou ménages par an; 3) 50 % ou plus des recettes annuelles proviennent de la vente ou du transfert des renseignements personnels des consommateurs (sous-alinéa 1798.140(d)(1)(A) à 1798.140(d)(1)(C)).
• Les exigences relatives à la portabilité des données comprennent des inférences concernant les données sur une personne générées par l’entreprise ou obtenues par celle-ci auprès d’une autre source (avis 20-303 du Bureau du procureur général de la Californie, mars 2022).
• La définition de « renseignements personnels » dans la CCPA comprend expressément les renseignements inférés (sous-alinéa 1798.140(v)(1)(K) de la CCPA).

Préparé par : Services juridiques

---

Données dérivées ou inférées dans d’autres lois sur la mobilité des données

Notes d’allocution

• Les lois sur la portabilité des données de certaines juridictions, comme le Québec, l’Union européenne et le Royaume-Uni, ne s’appliquent pas aux données dérivées ou inférées. Les lois d’autres juridictions, comme la Californie et l’Australie, sont plus inclusives.
• Je reconnais qu’il peut être approprié de faire en sorte que les données dérivées ou inférées ne puissent pas faire l’objet d’une communication obligatoire à d’autres entités au titre du Cadre canadien sur les services bancaires axés sur les consommateurs.
• Cependant, à mon avis, le droit d’accès et de correction des individus prévu par la Loi sur la protection des renseignements personnels et les documents électroniques devrait s’appliquer aux données dérivées ou inférées qui constituent des « renseignements personnels », et ces données devraient être visées par un droit de suppression prévu par toute loi fédérale révisée sur la protection de la vie privée dans le secteur privé.

Contexte

• Le droit à la mobilité des données proposé dans le projet de loi C-15 ne s’appliquerait qu’aux renseignements personnels recueillis auprès d’un individu (article 10.4 de la Loi sur la protection des renseignements personnels et les documents électroniques). La Loi sur les services bancaires axés sur les consommateurs (LSBAC) ne s’appliquerait pas aux « données dérivées » (paragraphe 10(2)).
• L’article 2 de la LSBAC définit les « données dérivées » ainsi : « Données relatives à un consommateur, à un produit ou à un service qui sont améliorées par une entité participante afin d’accroître de manière importante leur utilité ou leur valeur commerciale. »
• Le régime du Consumer Data Right de l’Australie s’applique à certains renseignements dérivés, notamment certains renseignements considérablement modifiés dans le contexte des systèmes bancaires ouverts, mais leur communication ne peut pas être exigée (articles 55AI et 56BD de la Competition and Consumer Act 2010; articles 5, 7 et 10 de la Consumer Data Right (Authorised Deposit‑Taking Institutions) Designation 2019).
• Au sens de la California Consumer Privacy Act (sous-alinéa 1798.140(v)(1)(K)), les inférences tirées d’autres types de renseignements personnels énumérés dans ce sous-alinéa permettant de créer le profil d’un utilisateur sont considérées comme des renseignements personnels. Le droit à la portabilité des données prévu par le paragraphe 1798.110(b) peut donc s’appliquer aux renseignements inférés.
• Pour ce qui est du droit à la portabilité des données prévu par les articles 20 du Règlement général sur la protection des données de l’Union européenne (UE) et du General Data Protection Regulation du Royaume-Uni, l’Article 29 Data Protection Working Party (groupe de travail « Article 29 » sur la protection des données) de l’UE et l’Information Commissioner’s Office (commissariat à l’information) du Royaume-Uni ont chacun expliqué qu’il ne s’applique généralement pas aux données dérivées ou inférées.
• Le droit à la portabilité des données du Québec exclut expressément les renseignements créés ou inférés à partir des renseignements personnels d’une personne (article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé).

Préparé par : Services juridiques

---

Dispositions sur les données des tiers et des titulaires d’un compte conjoint dans d’autres lois sur la mobilité des données

Notes d’allocution

• La question de la communication des données de tiers au titre des lois sur la portabilité des données a été traitée de diverses manières par d’autres juridictions.
• À mon avis, le Canada doit trouver une solution canadienne à cette question, une solution qui garantit l’obtention d’un consentement valable en tout temps et tient compte de la nature des données et du contexte dans lequel les données sont transmises.
• Le projet de loi C-15 ne traite pas directement de la question des données de tiers, mais les règlements pris en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques et de la Loi sur les services bancaires axés sur les consommateurs peuvent le faire.
• Je m’attends à ce que le Commissariat à la protection de la vie privée du Canada soit consulté lors de l’élaboration de ces règlements, auquel cas nous serions heureux de discuter de ce à quoi ressemble un consentement valable.

Contexte

• L’article 10.5 proposé de la Loi sur la protection des renseignements personnels et les documents électroniques permettrait au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels conformément au droit proposé à la mobilité des données prévu par l’article 10.4.
• La Loi sur les services bancaires axés sur les consommateurs permettrait au gouverneur en conseil de prendre des règlements concernant le consentement explicite qu’une entité participante doit obtenir pour transférer des données et la manière dont une entité participante peut utiliser les données des consommateurs (alinéas 178k) et m)).
• Le régime du Consumer Data Right (CDR) de l’Australie comprend des règles spéciales qui s’appliquent à la communication de données relatives aux comptes conjoints, notamment des règles autorisant les titulaires de tels comptes à déterminer lequel des titulaires doit fournir son consentement pour permettre la communication des données ou à décider si la communication des données est tout simplement interdite (de la partie 4A.4 à la division 4A.15 des règles du CDR).
• Les articles 20 du Règlement général sur la protection des données de l’Union européenne (UE) et du General Data Protection Regulation du Royaume-Uni prévoient que le droit à la portabilité des données établi par chacun des articles ne doit pas porter atteinte aux droits et libertés d’autrui. L’Article 29 Data Protection Working Party de l’UE et l’Information Commissioner’s Office (ICO – commissariat à l’information) du Royaume-Uni ont chacun expliqué qu’en pratique, il faudrait peut-être mettre en place des restrictions pour limiter le traitement des données de tiers lorsque ceux-ci n’ont pas consenti à un traitement supplémentaire.
• Selon la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, à moins qu’il ne s’agisse d’un cas d’urgence, on « doit refuser de donner communication à une personne d’un renseignement personnel la concernant lorsque sa divulgation révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers » (article 40).

Préparé par : Services juridiques

---

Normes et interopérabilité dans d’autres lois sur la mobilité des données

Notes d’allocution

• Dans les lois sur la portabilité des données d’autres juridictions, diverses approches d’élaboration de normes techniques ont été adoptées pour le transfert de données ainsi que des règles communes, telles que des mesures de sécurité.
• La Loi sur les services bancaires axés sur les consommateurs proposée dans le projet de loi C-15 prévoit une norme technique unique élaborée par un organisme de normalisation désigné par le ministre des Finances (article 125) et des mesures de sécurité obligatoires décrites dans les règlements (paragraphe 79(1) et alinéa 178g)).
• Cependant, contrairement au fonctionnement prévu par la législation australienne, la Loi sur les services bancaires axés sur les consommateurs n’exige pas actuellement que le Commissariat à la protection de la vie privée du Canada soit consulté lors de l’élaboration de la norme technique ou des règlements visant à protéger la sécurité.
• Le Commissariat serait heureux de fournir une expertise en matière de protection de la vie privée afin d’appuyer l’élaboration des normes et des règlements canadiens.

Contexte

• Dans le cadre du régime du Consumer Data Right (CDR) de l’Australie (qui s’applique à des secteurs autres que les systèmes bancaires ouverts), un organisme de normalisation des données (au sein du Trésor) est responsable de l’élaboration des normes techniques, et le trésorier est responsable d’établir des règles communes. Ils doivent tous deux consulter l’Office of the Information Commissioner of Australia (commissariat à l’information de l’Australie) (articles 56FA à 56FS et 56BA à 56BR de la Competition and Consumer Act 2010; et sous-alinéa 8.9(2)(b)(iii) des règles du CDR
• Dans le contexte des systèmes bancaires ouverts, l’Autorité bancaire européenne, en coopération avec la Banque centrale européenne, est responsable d’élaborer des projets de normes techniques réglementaires aux fins d’adoption par la Commission européenne (Directive sur les services de paiement révisée [PSD2], paragraphe 94(4) et article 98). Les organismes de réglementation du secteur financier des états membres transposent ensuite ces normes dans leur contexte national (PSD2, paragraphe 115(1)).
• Au Royaume-Uni, Open Banking Limited (une entité créée par l’industrie) élabore des normes de données et de sécurité sous la supervision de la Competition and Markets Authority (autorité de concurrence et de marchés) (article 10 du Retail Banking Market Investigation Order 2017), bien qu’elle soit censée être remplacée par une « future entité » dirigée par l’industrie et supervisée par un comité mixte d’organismes de réglementation. La Financial Conduct Authority (autorité de surveillance des pratiques financières) est également responsable d’établir des normes techniques (article 106A des Payment Services Regulations 2017). De manière plus générale, dans l’article 7 de la Data (Use and Access) Act 2025, on envisage des règlements prévoyant des « organismes d’interface » de normalisation pour divers mécanismes de données intelligentes (les systèmes bancaires ouverts sont l’un de ces mécanismes).

Préparé par : Services juridiques

---

Portabilité des données ou mobilité des données

Notes d’allocution

• La portabilité des données et la mobilité des données sont des concepts complémentaires :
  • La portabilité des données désigne généralement la capacité (ou le droit) d’un individu à transférer une partie ou l’ensemble de ses renseignements personnels d’une entreprise ou d’un service à un autre.
  • La mobilité des données, quant à elle, désigne parfois la capacité d’un individu à demander à une entreprise ou à un service de transférer une partie ou l’ensemble de ses renseignements personnels ailleurs en son nom, et elle concerne notamment les systèmes, les normes et la gouvernance qui facilitent ces transferts.
• Les deux concepts sont liés aux droits en matière de protection des renseignements personnels, dans le sens où ils portent sur le degré de contrôle que les individus peuvent exercer sur leurs données.

Contexte

• Comme le projet de loi C-27, le projet de loi C-15 (section 1.2 de l’article 389) modifierait la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour prévoir la création de cadres de mobilité des données (des précisions à leur sujet seront fournies dans les règlements).
• L’article 10.5 proposé de la LPRPDE permettrait au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels au titre de ces cadres, notamment des règlements prévoyant des mesures de sécurité ainsi que des moyens techniques pour assurer l’interopérabilité, précisant les organisations assujetties à un cadre et prévoyant des exceptions à l’obligation de communiquer des renseignements personnels.
• Les alinéas et sous-alinéas de l’article 10.5 couvrent de nombreux éléments souvent associés au droit à la portabilité des données, notamment la nécessité de mettre en place des mesures de sécurité adaptées à la sensibilité des renseignements pouvant être transférés et la nécessité d’assurer l’interopérabilité technique pour veiller à ce que les données soient fournies dans un format structuré, couramment utilisé et lisible par machine.
• L’article 10.6 proposé, qui précise que les règlements pris en vertu de l’article 10.5 peuvent traiter différemment les catégories d’activités, de renseignements ou d’organisations, suggère que les cadres de mobilité des données pourraient être établis secteur par secteur (comme en Australie, où les règles propres à un secteur qui concernent les données des consommateurs doivent être définies avant toute communication).

Préparé par : PRAP

---

Mobilité des données et système bancaire ouvert

Notes d’allocution

• Le projet de loi C-15 prévoit la création de « cadres de mobilité des données » en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, qui exigeraient que les organisations assujetties communiquent à d’autres organisations les renseignements personnels qu’elles recueillent auprès d’individus à la demande de ceux-ci.
• Dans des documents explicatifs publiés après le dépôt du budget, le ministère des Finances a indiqué que les dispositions sur les services bancaires axés sur les consommateurs dans le projet de loi C-15 constitueront la première version d’un tel cadre.
• Lorsque le gouvernement ira de l’avant avec d’autres cadres de mobilité des données propres à des secteurs, je m’attends à ce que le Commissariat à la protection de la vie privée du Canada soit consulté sur les règlements connexes qui portent sur la collecte, l’utilisation et la communication des renseignements personnels.

Contexte

• L’article 10.4 proposé de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) prévoit que, sous réserve des règlements, une organisation, à la demande de l’individu auprès duquel elle a recueilli des renseignements personnels, communique dès que possible tous ces renseignements à une organisation désignée. Cette exigence ne s’applique que si les deux organisations sont assujetties à un cadre de mobilité des données.
• L’article 10.5 proposé de la LPRPDE permet au gouverneur en conseil de prendre des règlements concernant la communication de renseignements personnels au titre de l’article 10.4, notamment des règlements prévoyant des mesures de sécurité ainsi que des moyens techniques pour assurer l’interopérabilité, précisant les organisations assujetties à un cadre de mobilité des données et prévoyant des exceptions à l’obligation générale de communiquer des renseignements personnels (p. ex. pour protéger des renseignements commerciaux exclusifs ou confidentiels).
• Le régime du Consumer Data Right de l’Australie s’applique au secteur bancaire et au secteur de l’énergie et devrait s’appliquer aux secteurs des télécommunications et des prêts non bancaires (Consumer Data Right (Authorised Deposit-Taking Institutions) Designation 2019; Consumer Data Right (Energy Sector) Designation 2020; Consumer Data Right (Telecommunications Sector) Designation 2022; Consumer Data Right (Non-Bank Lenders) Designation 2022).
• Avant d’étendre l’application du régime à d’autres secteurs, le gouvernement australien doit consulter l’Office of the Information Commissioner of Australia (commissariat à l’information de l’Australie) au sujet de l’incidence probable que cela aurait sur la vie privée des consommateurs ou la confidentialité de leurs renseignements (paragraphe 56AD(3) de la Competition and Consumer Act 2010).

Préparé par : PRAP

---

Mobilité des données et soins de santé

Notes d’allocution

• Dans le secteur de la santé, la mobilité des données est étroitement liée à l’interopérabilité des systèmes d’information sur la santé. Autrement dit, il s’agit de la capacité des renseignements sur la santé à circuler sans problème entre différents systèmes et différentes organisations et technologies.
• Il peut être difficile de réglementer les données sur la santé, car diverses lois provinciales et fédérales sur la protection des renseignements personnels peuvent s’appliquer, mais les initiatives récentes reconnaissent la nécessité d’harmoniser davantage les démarches d’amélioration de l’interopérabilité.
• J’appuie les mesures visant à moderniser les soins de santé numériques de manière à protéger la vie privée des Canadiennes et des Canadiens. Mes homologues provinciaux et territoriaux et moi-même avons déjà publié une résolution conjointe encourageant les gouvernements à remplacer les courriels et les télécopies non chiffrés par des solutions de rechange numériques plus modernes, plus sécuritaires et plus interopérables.

Contexte

• Dans les provinces et les territoires, l’interopérabilité des données sur la santé est un aspect qui continue de se développer. Les progrès sont inégaux; l’Alberta, la Colombie-Britannique et la Nouvelle-Écosse ont récemment mis en place des plateformes pour améliorer l’accès des patients à leurs données sur la santé.
• Inforoute Santé du Canada et l’Institut canadien d’information sur la santé mènent des initiatives visant à améliorer l’interopérabilité, notamment en établissant des normes techniques pour les données sur la santé et en plaidant en faveur de modifications législatives.
• En 2023-2024, le précédent gouvernement fédéral a versé 49,4 milliards de dollars aux provinces et aux territoires pour qu’ils améliorent les services de santé, notamment en adoptant des normes et des politiques communes en matière de données.
• En 2024, le précédent gouvernement fédéral a déposé le projet de loi C-72, la Loi visant un système de soins de santé connecté au Canada, qui aurait exigé que les fournisseurs de technologies de l’information sur la santé assurent l’interopérabilité de leurs services et aurait interdit aux fournisseurs de bloquer les données en adoptant une pratique ou en accomplissant un acte qui empêche, décourage ou entrave l’utilisation ou l’échange de données sur la santé ou l’accès à celles-ci.
• Le projet de loi C-72 visait à accélérer la mise en œuvre de la Feuille de route commune de l’interopérabilité pancanadienne, élaborée par Inforoute Santé du Canada et approuvée par les gouvernements fédéral, provinciaux et territoriaux (sauf le Québec) en 2023. Elle décrit un plan quinquennal pour améliorer les soins de santé connectés grâce à l’interopérabilité commune et aux normes de données. Cependant, le projet de loi est finalement mort au Feuilleton en janvier 2025.

Préparé par : PRAP

---

Collaboration avec le ministère des Finances et l’Agence de la consommation en matière financière du Canada sur les services bancaires axés sur les consommateurs

Notes d’allocution

• Je collabore avec le ministère des Finances et l’Agence de la consommation en matière financière du Canada aux initiatives sur les services bancaires axés sur les consommateurs depuis que le précédent gouvernement a annoncé son intention d’en examiner les avantages potentiels dans le cadre du budget de 2018.
• Bien que le Commissariat à la protection de la vie privée du Canada ne se soit pas prononcé sur des propositions législatives précises, je suis heureux de voir que certains de nos conseils ont été pris en compte, notamment l’obligation par le régime d’obtenir un consentement exprès et d’établir un modèle d’accréditation.
• Comme je l’ai souligné à maintes reprises, le Commissariat à la protection de la vie privée du Canada se réjouit d’avoir l’occasion de collaborer avec d’autres organismes de réglementation, notamment la Banque du Canada, pour veiller à ce que le cadre proposé soit mis en œuvre de manière à protéger et à promouvoir le droit à la vie privée des Canadiennes et des Canadiens.

Contexte

• Le projet C-15 propose de transférer la responsabilité de la surveillance des services bancaires axés sur les consommateurs de l’Agence de la consommation en matière financière du Canada (ACFC) à la Banque du Canada. Le ministère des Finances établira le cadre stratégique et législatif global pour ces services, tandis que la Banque du Canada sera responsable de la surveillance, de la mise en œuvre et de la supervision du cadre. L’ACFC surveille les entités financières sous réglementation fédérale et favorise la littératie financière.
• En février 2019, le Commissariat à la protection de la vie privée du Canada a envoyé une présentation au ministère des Finances en réponse à sa consultation sur le bien-fondé des services bancaires axés sur les consommateurs. Il y soulignait l’importance d’avoir des lois strictes sur la protection des renseignements personnels pour renforcer la confiance des consommateurs à l’égard de l’économie numérique et favoriser leur participation à celle-ci.
• En décembre 2020, le Commissariat a participé à quatre réunions d’un comité consultatif dirigées par le ministère des Finances. Il a été question de divers sujets au cours de ces réunions, notamment de la protection de la vie privée et des données. Entre 2021 et 2024, le Commissariat a rencontré régulièrement des fonctionnaires de niveau opérationnel du ministère des Finances Canada pour discuter du développement du cadre, tout particulièrement des aspects liés à la protection des renseignements personnels.
• En mars 2025, le Commissaire a rencontré la Commissaire de l’ACFC, Shereen Miller, et a réitéré sa volonté de collaborer par rapport à des initiatives connexes, comme la publication de directives et le traitement des atteintes à la sécurité.

Préparé par : PRAP

---

Loi sur les services bancaires axés sur les consommateurs

Notes d’allocution

• Même si beaucoup d’éléments seront précisés dans les règlements, je soutiens généralement la Loi sur les services bancaires axés sur les consommateurs et je suis heureux de voir qu’elle prévoirait plusieurs mesures de protection de la vie privée, notamment l’obligation d’obtenir un consentement exprès (paragraphe 85(1)), des restrictions quant à l’utilisation des données (paragraphe 85(6)), une norme technique (article 125), un modèle d’accréditation (articles 15, 17, 19, 31 et 32) et une interdiction du grattage d’écran (article 171).
• Je suis également encouragé de constater que le Cadre canadien des services bancaires axés sur les consommateurs précise que les entités participantes doivent se conformer aux lois sur la protection des renseignements personnels en vigueur.
• Je crois cependant que la Loi sur les services bancaires axés sur les consommateurs pourrait encore être améliorée de certaines façons, notamment en prévoyant une coopération entre les organismes de réglementation, en garantissant l’obtention d’un consentement valable et en renforçant les mesures d’authentification des consommateurs.

Contexte

• Le projet de loi C-15, la Loi no 1 d’exécution du budget de 2025, adopterait une nouvelle Loi sur les services bancaires axés sur les consommateurs (LSBAC) au titre section 9 (article 224) de la partie 5, et abrogerait (article 246) la LSBAC existante adoptée par le projet de loi C-69 (44-1), la Loi no 1 d’exécution du budget de 2024. La supervision du régime de services bancaires axés sur les consommateurs serait confiée à la Banque du Canada (article 4).
• Un document du ministère des Finances intitulé « Budget 2025 : Cadre canadien des services bancaires axés sur les consommateurs » stipule ce qui suit : « En ce qui concerne la protection de la vie privée, les entités participantes sont déjà tenues de se conformer aux cadres législatifs existants. »
• Des lois similaires de l’Australie et de la Nouvelle-Zélande prévoient des dispositions précisant expressément les rôles des organismes de réglementation de la protection de la vie privée et de la législation sur la protection des renseignements personnels (articles 56BR et 56EQ de la Competition and Consumer Act 2010; articles 51 et 52 de la Customer and Product Data Act 2025)
• À l’heure actuelle, au titre des dispositions de la LSBAC sur le consentement exprès, un consommateur n’aurait pas besoin d’être informé des risques liés au transfert de ses données, bien que des règlements puissent exiger la fourniture de tels renseignements (paragraphe 85(4) et alinéas 178k) à 178l)).
• Pour le moment, la LSBAC ne prévoit pas la manière dont une entité participante serait tenue de confirmer l’authentifiant d’un consommateur avant de transmettre des données, mais des précisions à ce sujet pourraient également être ajoutées aux règlements (paragraphe 92(1) et alinéa 178t)).

Préparé par : Services juridiques

---

Collaboration avec le Bureau de la concurrence

Notes d’allocution

• Le Commissariat à la protection de la vie privée collabore avec le Bureau de la concurrence pour faire appliquer la Loi canadienne anti-pourriel et lui présente les pratiques exemplaires en matière d’élaboration de politiques et les travaux actuels.
• Les deux organisations sont cofondatrices du Forum canadien des organismes de réglementation numérique, un groupe créé en juin 2023 pour renforcer l’échange d’information et la collaboration sur des questions liées à la politique numérique.
• Tout comme le Bureau de la concurrence, je soutiens les services bancaires axés sur les consommateurs, car ils pourraient aider les individus à transférer leurs renseignements personnels en toute sécurité, offrir plus de choix aux consommateurs, profiter aux petites et moyennes organisations et accroître la concurrence, bien que certaines améliorations ciblées puissent être apportées.

Contexte

• Dans son mémoire sur le projet de loi C-27, le Commissariat à la protection de la vie privée du Canada a recommandé de renforcer la capacité du Commissaire à collaborer avec des organisations nationales, comme le Bureau de la concurrence, afin d’améliorer la coordination et l’efficacité lors du traitement des affaires soulevant des questions de protection de la vie privée.
• En cette troisième année d’existence du Forum canadien des organismes de réglementation numérique, le Bureau de la concurrence et le Commissariat élaborent un article sur les mécanismes de conception numérique et la manière dont ils s’appliquent à leur mandat respectif.
• En mars 2024, le Bureau de la concurrence a envoyé une réponse à la consultation publique du ministère des Finances visant à renforcer le secteur financier canadien. Il y recommandait d’adopter un cadre des services bancaires axés sur les consommateurs dès que possible, car il :
  • offrirait aux individus un moyen sécuritaire de transférer leurs renseignements d’une organisation à une autre;
  • pourrait aider à réduire les coûts de transfert pour les consommateurs;
  • réduirait les obstacles à l’entrée dans le marché que rencontrent les nouveaux venus et les petites et moyennes organisations, augmentant ainsi la concurrence.
• Le 15 janvier 2026, le Bureau de la concurrence a publié un rapport intitulé « Vos données, votre contrôle : Comment la portabilité des données peut stimuler la concurrence et donner plus de pouvoir aux consommateurs » au sujet duquel le Commissariat a été consulté (pour en savoir plus à ce sujet, voir la note distincte).

Préparé par : PRAP

---

Rapport du Bureau de la concurrence sur la portabilité des données et la concurrence

Notes d’allocution

• Le Bureau de la concurrence a consulté le Commissariat à la protection de la vie privée du Canada au sujet d’une version provisoire de son rapport sur la portabilité des données et la concurrence; le rapport vient d’être publié la semaine dernière.
• Bien que la portée du rapport soit plus vaste que mon mandat, je suis d’accord avec la prémisse du rapport selon laquelle la portabilité des données peut offrir de réels avantages aux consommateurs et aux entreprises.
• Je félicite le Bureau de la concurrence d’avoir mis l’accent sur la protection de la vie privée dans le rapport, notamment en indiquant que « [p]our garantir le succès de la portabilité des données, les décideurs doivent faire des considérations de confidentialité et de sécurité une priorité. »
• Pour prioriser la protection de la vie privée, il faut veiller à ce que les Canadiennes et les Canadiens bénéficient de lois modernisées qui appuient l’innovation. Par conséquent, nous devons mettre à jour la Loi sur la protection des renseignements personnels et les documents électroniques afin de favoriser un partage des données axé sur la sécurité, l’efficacité et la fiabilité.

Contexte

• Le 15 janvier 2026, le Bureau de la concurrence a publié un rapport intitulé « Vos données, votre contrôle : Comment la portabilité des données peut stimuler la concurrence et donner plus de pouvoir aux consommateurs ». Au cours de l’été 2025, le Bureau de la concurrence a communiqué avec la Direction des politiques, de la recherche et des affaires parlementaires (PRAP) du Commissariat à la protection de la vie privée du Canada pour obtenir des commentaires sur la version provisoire. La PRAP a fourni de la rétroaction sur la façon d’encadrer les concepts liés à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à la protection de la vie privée. Le rapport final tient compte de tous les commentaires du Commissariat, à l’exception de quelques commentaires mineurs.
• Le rapport comprend les points suivants : i) les lois sur la portabilité des données peuvent permettre aux individus de transférer leurs renseignements personnels facilement et en toute sécurité ii) la protection des renseignements personnels est une grande source de préoccupation pour de nombreuses personnes et un élément clé de gouvernance; iii) veiller à ce que les individus aient confiance en l’écosystème est un facteur clé de l’adoption; et iv) la portabilité des données peut favoriser l’innovation, la concurrence et l’offre de choix aux consommateurs à l’échelle des secteurs.
• Les sept recommandations prioritaires du Commissariat pour la réforme de la LPRPDE comprennent : 1) renforcer les pouvoirs d’application de la loi, 2) reconnaître la protection de la vie privée comme un droit fondamental, 3) renforcer le droit à la vie privée des enfants, 4) inclure un cadre pour la dépersonnalisation et l’anonymisation des renseignements, 5) inclure un droit clair et explicite à la suppression et au déréférencement des renseignements, 6) exiger que les organisations mettent en œuvre des mesures de protection de la vie privée dès la conception et effectuent des évaluations des facteurs relatifs à la vie privée pour les activités à risque élevé; et 7) instaurer des règles précises concernant la circulation transfrontalière des données.

Préparé par : PRAP

---

Modifications à la Loi sur la radiodiffusion

Notes d’allocution

• La modification proposée à la Loi sur la radiodiffusion rétablit le libellé relatif à la protection de la vie privée qui avait été adopté dans l’ancien projet de loi C-11 (Loi sur la diffusion continue en ligne, 44-1), mais remplacé par inadvertance à cause d’une erreur de numérotation visant une disposition de coordination du projet de loi C-13 (Loi visant l’égalité réelle entre les langues officielles du Canada, 44-1).
• J’ai écrit à l’ancien ministre de l’Identité et de la Culture canadiennes en septembre 2025 au sujet de cette erreur; il a rapidement reconnu l’erreur et m’a assuré qu’il travaillait à la corriger.
• J’appuie l’amendement voulant que la section 24 rétablisse la Loi sur la radiodiffusion, ce qui est conforme à mon avis antérieur au sujet du projet de loi C-11.

Contexte

• Le projet de loi C-11, qui a reçu la sanction royale en avril 2023, modifiait de façon considérable la Loi sur la radiodiffusion, notamment pour clarifier le pouvoir réglementaire du Conseil de la radiodiffusion et des télécommunications canadiennes d’imposer des obligations aux services de diffusion continue en ligne et ainsi « assurer la découvrabilité des services de programmation canadienne ainsi que des émissions canadiennes originales » (sous-alinéa 3(1)q)(i)).
• En septembre 2022, le Commissaire a comparu devant le Comité sénatorial permanent des transports et des communications (TRCM) au sujet du projet de loi C-11 et a recommandé de modifier l’article 3 de la Loi sur la radiodiffusion « afin d’y ajouter la protection de la vie privée des personnes en tant qu’objectif de la politique ».
• Cette recommandation découlait d’une préoccupation selon laquelle les exigences de découvrabilité imposées par le Conseil de la radiodiffusion et des télécommunications canadiennes pourraient pousser les services en ligne à adapter « des algorithmes existants qui se fondent sur des renseignements personnels, ou sur l’analyse de renseignements personnels, afin d’établir si le contenu généré par l’utilisateur est canadien ».
• Le comité TRCM a par la suite modifié la clause d’interprétation du projet de loi C-11 (paragraphe 2(3)) pour préciser que la Loi sur la radiodiffusion doit être interprétée et appliquée d’une manière compatible avec « le droit des personnes à la protection de leur vie privée » (alinéa 2(3)b)).
• En juin 2023, le dernier gouvernement a adopté le projet de loi C-13, qui contenait une disposition de coordination au paragraphe 2(3) de la Loi sur la radiodiffusion remplaçant par inadvertance ce libellé.
• En septembre 2025, le Commissariat à la protection de la vie privée du Canada a écrit au ministre de l’Identité et de la Culture canadiennes de l’époque, Steven Guilbeault, pour encourager le gouvernement à corriger cette erreur par respect pour l’intention législative du Parlement. En octobre 2025, le ministre Guilbeault a écrit au Commissaire pour l’assurer que du travail visant une solution législative était déjà en cours.

Préparé par : PRAP

---

Enquête sur X

Notes d’allocution

• En février 2025, après avoir reçu une plainte, le Commissariat a entrepris une enquête sur X Corp. (l’exploitant de la plateforme de médias sociaux X) concernant sa collecte, son utilisation et sa communication des renseignements personnels de Canadiennes et de Canadiens pour entraîner ses modèles d’intelligence artificielle, notamment celui de Grok.
• En janvier 2026, à la suite de multiples reportages dans les médias selon lesquels Grok, un robot conversationnel alimenté par l’intelligence artificielle, était utilisé pour créer et transmettre des images explicites de personnes sans leur consentement, le Commissariat a élargi son enquête actuelle sur X Corp. et lancé une enquête connexe sur xAI, l’entreprise d’intelligence artificielle responsable de Grok.
• Les enquêtes élargies permettront de déterminer si X Corp. et xAI ont recueilli, utilisé et communiqué des renseignements personnels par l’intermédiaire de Grok pour créer des hypertrucages, notamment du contenu explicite, contrevenant ainsi à la Loi sur la protection des renseignements personnels et les documents électroniques. Il s’agira notamment de déterminer si les pratiques des organisations étaient appropriées et si l’organisation a obtenu un consentement valide.
• Je ne suis pas en mesure d’en dire plus pendant que l’enquête est en cours.

Contexte

• En avril 2025, l’Irlande a lancé une enquête sur l’utilisation par X des données de l’Union européenne pour entraîner le modèle d’intelligence artificielle (IA) de Grok.
• En janvier 2026, Ofcom, l’organisme de réglementation des médias du Royaume-Uni, a lancé une enquête officielle sur X en vertu de la Online Safety Act au sujet de l’utilisation de Grok pour manipuler des images de femmes et d’enfants en retirant leurs vêtements.
• L’Information Commissioner’s Office (commissariat à l’information) du Royaume-Uni a demandé des précisions à X et à xAI concernant leur respect de la loi britannique sur la protection des données.
• Une enquête sur la question est menée par Safety, l’organisme de réglementation de la sécurité en ligne de l’Australie, dans le cadre de son programme visant la violence fondée sur l’image.
• À la suite des reportages visant des images explicites, la Malaisie et l’Indonésie ont bloqué l’accès à Grok.
• Pour s’attaquer au problème, X Corp. et xAI ont annoncé qu’elles avaient mis en œuvre des mesures visant à limiter la création de contenu explicite.

Préparé par : SPCAL

---

Utilisation de X par le Commissariat à la protection de la vie privée du Canada

Notes d’allocution

• C’est une plateforme que nous utilisons comme l’un des nombreux moyens par lesquels nous transmettons de l’information à la population canadienne, aux parties prenantes et aux médias à l’appui de notre mandat qui consiste à promouvoir et à protéger la protection de la vie privée.
• L’utilisation de divers médias pour les communications est importante pour fournir en temps opportun des renseignements clairs, exacts et objectifs provenant de sources fiables et faisant autorité à tous les publics, et il s’agit également d’un outil important pour prévenir ou contrer la désinformation.

Contexte

• Le Commissariat à la protection de la vie privée du Canada utilise X, LinkedIn et Twitter.
• Le Commissariat a ses propres politiques et avis relatifs aux médias sociaux; le public peut y accéder en consultant le contenu relatif à la protection de la vie privée qui se trouve sur le site Web du Commissariat.
• Nous avons constaté une diminution lente, mais constante, de notre nombre d’abonnés sur X, qui s’élève maintenant à 17 300.

Préparé par : Communications

---

Autre sujets

Modifications à la Loi sur la réduction de la paperasse (LRP) contenues dans le projet de loi C-15

Notes d’allocution

• Le projet de loi C-15 propose des modifications à la Loi sur la réduction de la paperasse qui permettraient aux ministres d’exempter les entités de l’application de dispositions de lois fédérales, à condition de respecter certaines modalités et certains délais.
• Le Commissariat à la protection de la vie privée du Canada appuie fermement l’innovation responsable, notamment en ce qui a trait aux régimes de réglementation par l’utilisation de bacs à sable – ce qui, selon nous, est l’objectif de ces modifications.
• Cependant, pour veiller à ce que ces efforts offrent une protection suffisante et produisent des résultats optimaux, les organismes de réglementation devraient jouer un rôle clair dans la prise de décisions et la surveillance de ces exemptions.
• Il s’agit d’idées présentes dans les lois autorisant les bacs à sable réglementaires, comme la Financial Innovation Act de l’Alberta et le règlement de l’Union européenne sur l’intelligence artificielle, mais elles ne se trouvent pas dans le projet de loi C-15.

Contexte

• Les modifications se trouvent à la section 5 de la partie 5 du projet de loi C-15, qui est à l’étude par le Comité permanent des opérations gouvernementales et des prévisions budgétaires (OGGO).
• Pour accorder une exemption, un ministre doit être d’avis que i) que l’exemption est dans l’intérêt public; ii) qu’elle permettrait de mettre à l’essai, entre autres, un produit, un service, un procédé, une procédure ou une mesure réglementaire dans le but de faciliter la conception, la modification ou l’administration d’un régime réglementaire et d’ainsi stimuler l’innovation, la compétitivité ou la croissance économique; iii) que les avantages y associés l’emportent sur les risques; iv) que les ressources sont suffisantes et que des mesures appropriées seront prises pour assurer la surveillance de la mise à l’essai, gérer les risques associés à l’exemption et protéger la santé et la sécurité publiques et l’environnement; et v)qu’un plan de mise en œuvre réalisable a été élaboré.
• Des exemptions peuvent être accordées à presque n’importe quelle disposition d’une loi fédérale, sauf au Code criminel, et elles peuvent être d’une durée allant jusqu’à trois ans (avec une possibilité de prolongation de trois autres années). L’exemption devra également respecter les « conditions qu[e le ministre] estime indiquées ».
• La Financial Innovation Act (loi sur l’innovation financière) de l’Alberta permet d’accorder des exemptions à l’application de la Personal Information Protection Act (PIPA – loi sur la protection des renseignements personnels) de l’Alberta, mais seulement si le Commissaire à l’information et à la protection de la vie privée de l’Alberta approuve le tout préalablement par écrit et accepter les modalités et les restrictions.

Préparé par : PRAP

---

Répercussions du projet de loi C-2 sur la protection de la vie privée (Loi visant une sécurité rigoureuse à la frontière)

Notes d’allocution

• Plusieurs éléments du projet de loi C-2 ont des répercussions importantes sur les droits et intérêts en matière de vie privée.
• Au moment d’évaluer le caractère raisonnable de ces dispositions, il faut examiner les questions clés suivantes : Les dispositions permettent-elles d’atteindre un équilibre approprié entre le droit à la vie privée et les intérêts de l’État? Prévoient-elles une surveillance, une responsabilisation et une transparence adéquates? Les seuils d’exercice des pouvoirs d’enquête sont-ils appropriés compte tenu de leur caractère potentiellement intrusif?
• L’évaluation du Commissariat est aussi orientée par les principes de nécessité et de proportionnalité : autrement dit, l’intrusion dans la vie privée est-elle manifestement nécessaire pour atteindre un objectif légitime, et le degré d’intrusion est-il proportionnel aux avantages pouvant être obtenus?
• Le ministre de la Sécurité publique a reconnu que le projet de loi C-2 n’atteint pas l’équilibre nécessaire entre la protection de la vie privée et les objectifs d’application de la loi. Je suis d’accord.
• Le Commissariat à la protection de la vie privée du Canada demeure entièrement déterminé à collaborer avec Sécurité publique Canada pour apporter les modifications qui pourraient être envisagées et améliorer la protection de la vie privée.

Contexte

• Le projet de loi C-2 a été présenté à la Chambre par le ministre de la Sécurité publique en juin 2025. En octobre 2025, le ministre a présenté le projet de loi C-12, qui compte 11 des parties initialement présentées dans le projet de loi C-2, mais exclut certains des éléments les plus controversés, notamment :
  • des modifications à la Loi sur la Société canadienne des postes pour ne permettre la revendication, la saisie ou la rétention de toute chose qui est en cours de transmission postale qu’en conformité avec une loi fédérale et de permettre Postes Canada d’ouvrir des lettres (partie 4);
  • des modifications au Code criminel, à la Loi sur le Service canadien du renseignement de sécurité et à d’autres lois visant à créer ou à modifier divers pouvoirs d’enquête (par exemple, un ordre de fournir des renseignements sans mandat) (partie 14);
  • la Loi sur le soutien en matière d’accès autorisé à de l’information proposée, qui exigerait que les fournisseurs de services électroniques disposent des capacités techniques et opérationnelles nécessaires pour faciliter l’accès à l’information par les personnes autorisées (partie 15);
  • les modifications à la LRPCFAT, qui établiraient un cadre pour l’échange de renseignements entre le secteur public et le secteur privé, lequel permettrait aux entités déclarantes de recueillir et d’utiliser les renseignements personnels communiqués par la GRC ou des entités gouvernementales (partie 16).

Préparé par : PRAP

---

Portée et objectifs du projet de loi C-8 (cybersécurité)

Notes d’allocution

• Le Commissariat appuie l’objectif du projet de loi C-8 qui vise à protéger les systèmes et les services essentiels à la sécurité nationale ou à la sécurité publique contre les menaces et les vulnérabilités liées à la cybersécurité.
• Des mesures de protection renforcées en matière de cybersécurité peuvent également favoriser la protection de la vie privée en réduisant la probabilité et l’incidence des atteintes touchant les données personnelles.
• Toutefois, les nouveaux pouvoirs et les nouvelles autorisations accordés au nom de la cybersécurité doivent avoir une portée adéquate et être assujettis à des mesures de sécurité appropriées pour limiter le risque qu’il y ait des répercussions imprévues sur la vie privée.
• Plusieurs amendements à l’ancien projet de loi C-26 ont été adoptés dans cet esprit, mais les possibles répercussions sur la vie privée du projet de loi C-8 pourraient être limitées davantage par l’ajout d’une exigence générale selon laquelle toute collecte, utilisation ou communication de renseignements personnels devrait être nécessaire et proportionnelle.

Contexte

• La partie 1 du projet de loi C-8 modifierait la Loi sur les télécommunications pour que la promotion de la sécurité du système canadien de télécommunication soit un objectif stratégique et, à cet effet, pour conférer au gouverneur en conseil le pouvoir de prendre des décrets et au ministre de l’Industrie le pouvoir de prendre des arrêtés.
• Elle modifierait aussi la Loi sur les télécommunications pour créer de nouveaux pouvoirs relatifs à la collecte et à la communication de renseignements par le ministre de l’Industrie, le ministre de la Sécurité publique, le ministre des Affaires étrangères, le ministre de la Défense nationale, le chef d’état-major de la défense, le Centre de la sécurité des télécommunications, le Service canadien du renseignement de sécurité et le Conseil de la radiodiffusion et des télécommunications canadiennes.
• La partie 2 édicterait la Loi sur la protection des cybersystèmes essentiels, qui autoriserait le gouverneur en conseil à désigner des services ou systèmes dans des secteurs sous réglementation fédérale comme « critiques » (p. ex. l’énergie, les finances, le transport et les télécommunications); à déterminer les catégories d’exploitants assujettis à des directives et des règlements en matière de cybersécurité; à donner des directives de cybersécurité; et à exiger que les exploitants désignés établissent et mettent en œuvre des programmes de cybersécurité, atténuent les risques de la chaîne d’approvisionnement et signalent les incidents de cybersécurité.
• Le Commissaire a comparu devant le Comité permanent de la sécurité publique et nationale (SECU) de la Chambre des communes au sujet du projet de loi C-8 en octobre 2025 et a envoyé une lettre de suivi peu après. Par la suite, le Commissariat a reçu des questions sur les amendements possibles au projet de loi et ces questions provenaient des bureaux de certains députés. L’étude article par article doit commencer au comité SECU plus tard ce mois-ci.

Préparé par : PRAP

---

Considérations relatives à la protection de la vie privée dans le projet de loi C-12 (Loi visant à renforcer le système d’immigration et la frontière du Canada)

Notes d’allocution

• Le projet de loi C-12 omet certains des éléments les plus controversés du projet de loi C-2, mais certaines dispositions concernent toujours les intérêts en matière de protection de la vie privée, c’est-à-dire elles créeraient ou élargiraient les pouvoirs de collecte, d’utilisation ou de communication des renseignements personnels.
• Du point de vue de la protection de la vie privée, je crois que le risque réel de préjudice grave pouvant découler de telles modifications est relativement faible.
• Je suis également heureux de pouvoir dire que la Chambre a accepté ma recommandation visant à modifier l’une des dispositions les plus préoccupantes du projet de loi, qui aurait pu permettre aux agents des douanes d’entrer dans la maison d’habitation d’un propriétaire de petite entreprise qui exerce ses activités à partir de sa maison sans obtenir d’autorisation judiciaire préalable.

Contexte

• Le projet de loi C-12 a été adopté par la Chambre en décembre 2025. Dans sa forme initiale, la partie 1 aurait modifié la Loi sur les douanes pour exiger que toute personne qui « transporte ou fait transporter à l’intérieur du Canada des marchandises destinées à l’exportation » donne aux agents de l’ASFC ou de la GRC le « libre accès à tout local ou emplacement qui est sous [son] contrôle » où s’effectue « la déclaration, le chargement, le déchargement ou l’entreposage » des marchandises pour qu’ils puissent examiner celles-ci (article 97.01).
• À la suite de la comparution du Commissaire devant le Comité permanent de la sécurité publique et nationale en novembre 2025, le Comité a modifié la partie 1 pour préciser que si un lieu mentionné à l’article 97.01 est une maison d’habitation, un agent ne peut pas y pénétrer sans permission, à moins d’y être autorisé par un mandat décerné par un juge pour des motifs raisonnables.
• D’autres éléments du projet de loi C-12 pourraient avoir des répercussions sur la vie privée :
  • Les modifications à la Loi sur les océans visant à ajouter des activités liées à la sécurité aux services de la garde côtière et à autoriser le ministre responsable à recueillir, à analyser et à communiquer de l’information et du renseignement (partie 4);
  • L’élargissement des pouvoirs d’échange de renseignements prévus par la Loi sur le ministère de la Citoyenneté et l’Immigration (partie 5);
  • L’ajout à la LRPCFAT de dispositions pour autoriser le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) à communiquer des renseignements au commissaire aux élections fédérales et de dispositions relatives à la collecte et à la communication de renseignements pour un nouveau processus d’inscription (partie 9);
  • L’élargissement des pouvoirs d’échange de renseignements entre les organismes chargés de l’application de la loi prévus par la Loi sur l’enregistrement de renseignements sur les délinquants sexuels (partie 11).

Préparé par : PRAP