ARTICLE
17 July 2026

Le nouveau régulateur canadien de la protection de la vie privée : pourquoi le projet de loi C‑36 change la donne

MT
McCarthy Tétrault LLP

Contributor

McCarthy Tétrault LLP provides a broad range of legal services, advising on large and complex assignments for Canadian and international interests. The firm has substantial presence in Canada’s major commercial centres and in New York City, US and London, UK.
Canada's proposed federal privacy reform would integrate privacy oversight into a broader online harms prevention mandate through a new Digital Safety and Data Protection Commission. This consolidated regulator would wield expanded enforcement powers, including binding orders and substantial fines, while overseeing both privacy protection and digital safety legislation.
Canada Technology
TechLex Blog’s articles from McCarthy Tétrault LLP are most popular:
  • with Inhouse Counsel
  • with readers working within the Banking & Credit industries

La réforme proposée par le Canada de son régime fédéral de protection de la vie privée viserait à intégrer la surveillance de la protection de la vie privée dans un mandat plus large de prévention des préjudices en ligne. Une nouvelle Commission canadienne de la sécurité numérique et de la protection des données aurait ce double mandat. Elle disposerait également de pouvoirs d’application de la loi étendus : le pouvoir de rendre des ordonnances contraignantes et d’imposer de lourdes amendes.

Le changement institutionnel proposé par le projet de loi C-36 : qu’est-ce qui change?

La Loi visant à protéger la vie privée et les données des consommateurs proposée par le Canada (la LPVPDC), si elle est adoptée, représenterait ce que le gouvernement fédéral décrit comme le changement le plus important apporté à la loi canadienne sur la protection de la vie privée dans le secteur privé depuis plus de 25 ans.

Parmi les changements les plus importants figure la création d’un nouvel organisme fédéral de réglementation de la protection de la vie privée : la Commission canadienne de la sécurité numérique et de la protection des données (la Commission). La Commission administrerait la LPVPDC et serait également responsable de la Loi sur la sécurité numérique proposée dans le cadre du projet de loi C-34, un double mandat que le gouvernement affirme vouloir pour favoriser la cohérence dans les cadres numériques, notamment sur des questions telles que la vérification de l’âge, le contenu synthétique (p. ex., les hypertrucages ou toute autre représentation audio ou visuelle d’une personne, d’un objet ou d’un événement créée ou fortement modifiée par des moyens électroniques) ainsi que la sécurité des enfants en ligne.

Au sein de cette Commission, un commissaire à la protection de la vie privée et des données des consommateurs désigné (le Commissaire) dirigerait la supervision et l’application de la LPVPDC, appuyé par une expertise spécialisée en protection de la vie privée. Une Section de la protection de la vie privée et des données des consommateurs ferait également partie de la structure de la Commission et serait intégrée à la nouvelle architecture liée à l’examen et à l’application de la loi prévue par le projet de loi C-36.

Aperçu du changement institutionnel proposé par le projet de loi C-36 :

  • Le projet de loi C-36 transférerait la supervision fédérale de la protection de la vie privée dans le secteur privé du Commissariat à la protection de la vie privée du Canada (le CPVP) à la Commission.
  • La Commission proposée disposerait de pouvoirs renforcés en matière de réglementation et d’application de la loi, y compris la capacité de rendre des ordonnances contraignantes et d’imposer des sanctions administratives pécuniaires.
  • Le projet de loi C-36 situerait la protection de la vie privée dans un cadre plus large de gouvernance numérique, créant une approche réglementaire plus intégrée des enjeux numériques interreliés.
  • Le CPVP continuerait d’exister et conserverait la responsabilité de la supervision du secteur public en vertu de la Loi sur la protection des renseignements personnels.

D’une supervision réglementaire exercée par un ombudsman à une application de la loi soutenue par un organisme de réglementation

Le modèle actuel du CPVP a deux caractéristiques distinctives. Tout d’abord, le CPVP est un agent du Parlement. Les agents du Parlement sont des entités parlementaires plutôt que des entités gouvernementales, et relèvent directement des deux Chambres du Parlement; ils sont indépendants du gouvernement.

Ensuite, en vertu de la LPRPDE, l’application de la loi fédérale en matière de protection de la vie privée dans le secteur privé s’apparente davantage à une fonction d’ombudsman qu’à une fonction judiciaire : le CPVP menait des enquêtes, rédigeait des rapports et fournissait des orientations et, lorsque cela lui semblait approprié, intentait des recours judiciaires, mais il n’imposait pas lui-même le genre d’ordonnances contraignantes et d’amendes fondées sur le revenu désormais envisagées dans le projet de loi C-36.

La LPVPDC modifierait ce régime d’application de la loi comme nous l’avons expliqué dans notre article de blogue Projet de loi C-36 : ce que les organisations doivent savoir sur la nouvelle réforme de la protection de la vie privée au Canada. Notamment, la Commission pourrait imposer des sanctions administratives pécuniaires pouvant atteindre le montant le plus élevé entre 10 M$ et 3 % des revenus mondiaux, les amendes pour les infractions les plus graves pouvant atteindre le montant le plus élevé entre 25 M$ ou 5 % des revenus mondiaux.

Le CPVP a été une autorité de protection de la vie privée reconnue et respectée à l’échelle internationale. Par exemple, en 2025, le commissaire à la protection de la vie privée actuel du Canada a été élu président de l’Assemblée mondiale pour la protection de la vie privée, une tribune internationale de premier plan composée de plus de 130 autorités et observateurs en matière de protection des données et de la vie privée.

La question de l’indépendance

Parmi les aspects qui rendent le Commissaire moins indépendant que le CPVP, on peut citer : un contrôle accru du Cabinet sur sa nomination et sa révocation, l’absence d’une durée fixe de son mandat, l’absence d’une reddition de comptes directe au Parlement (celle-ci se faisant plutôt par l’intermédiaire du Ministre) et la possibilité pour le Ministre de donner des instructions au Commissaire.

Certains détracteurs soutiennent qu’une indépendance moindre risque d’affaiblir la position du Canada dans le domaine de la protection de la vie privée. Les préoccupations concernant l’indépendance sont justifiées, car la législation sur la protection de la vie privée ne se limite pas à une simple réglementation en faveur des consommateurs. Elle protège un intérêt fondamental en matière d’autonomie, de dignité et de contrôle de l’information qui devrait être à l’abri d’une ingérence gouvernementale excessive.

Mais l’analyse de l’indépendance établit une distinction entre la supervision du secteur public et la réglementation du secteur privé. L’argument traditionnel le plus convaincant en faveur d’un agent du Parlement1 est que l’organisme de réglementation peut être amené à contrôler le gouvernement lui-même.

Lorsque l’organisme de réglementation mène une enquête sur des institutions fédérales, son indépendance vis-à-vis du gouvernement est essentielle. C’est précisément pour cette raison que le rôle du CPVP dans le secteur public, tel qu’il est défini dans la Loi sur la protection des renseignements personnels, repose sur une telle logique institutionnelle, et le projet de loi C-36 n’y changera rien. En fait, à l’heure actuelle, le CPVP est le seul agent du Parlement qui exerce une supervision directe sur le secteur privé; tous les autres agents réglementent principalement le secteur public2.

Pourquoi la centralisation change la donne

Il existe un argument pratique solide en faveur du nouveau modèle. La protection de la vie privée est de plus en plus étroitement liée à la sécurité numérique, à la gouvernance de l’IA, à la protection des enfants en ligne, à la vérification de l’âge, à la responsabilité des plateformes, à la concurrence, à la protection du consommateur, à la cybersécurité et à la mobilité des données. La justification officielle du gouvernement est qu’une Commission unique permettra d’assurer une plus grande cohérence sur l’ensemble des questions liées au numérique et de tirer parti d’une expertise diversifiée au sein d’un organisme de réglementation unique.

Pour les conseillers juridiques et les cadres, cela peut être utile. Un organisme de réglementation unique pourrait atténuer la fragmentation des procédures d’application de la réglementation, élaborer des orientations intégrées et évaluer les risques liés à la protection de la vie privée dans le contexte plus large dans lequel les organisations modernes évoluent réellement.

Une question liée à la protection de la vie privée concernant une plateforme sociale, la vérification de l’âge, des recommandations automatisées, la publicité ciblée et les données des enfants se résume rarement à une simple question de protection de la vie privée. Il s’agit souvent aussi d’une question de sécurité numérique, de protection du consommateur, de gouvernance des plateformes et d’innovation.

La conception du projet de loi C-36 reflète cette réalité. La Commission, le Commissaire et la Section proposés seraient tenus de prendre en compte des facteurs tels que l’objet de la loi, la taille et le chiffre d’affaires des organisations, le volume et la sensibilité des renseignements personnels, l’intérêt supérieur des enfants, les obligations du Canada en matière de commerce international, la croissance économique, la concurrence, l’innovation et d’autres considérations d’intérêt public. C’est un signal institutionnel fort, qui laisse entendre que l’application des règles relatives à la protection de la vie privée dans le secteur privé s’inscrirait expressément dans un cadre politique plus large, au lieu d’être considérée comme un domaine isolé de la protection des droits.

Cela peut s’avérer positif dans le contexte du secteur privé si cela se traduit par une application de la loi proportionnée, pratique et commercialement réaliste. Cela pourrait également favoriser la mise en place de lignes directrices plus claires à l’intention des petites et moyennes entreprises, l’innovation responsable, les programmes de certification, les technologies renforçant la protection de la vie privée et l’atténuation des risques transfrontaliers (c’est-à-dire tous les objectifs que le gouvernement a associés à la LPVPDC).

Considérations politiques, commerciales et transfrontalières

La centralisation a également des conséquences sur l’économie plus large et les relations internationales. Les mesures prises auparavant par le CPVP en matière d’application de la loi ont visé d’importantes entreprises technologiques étrangères et des pratiques numériques d’importance mondiale. Voici quelques exemples :

  • Le CPVP a lancé une enquête sur OpenAI en 2023 à la suite d’une plainte alléguant la collecte, l’utilisation et la divulgation de renseignements personnels sans consentement, ce qui a abouti à la publication d’un rapport critique de conclusions en 2026.
  • Les autorités canadiennes de la protection de la vie privée ont également conclu que la collecte par Clearview AI de milliards d’images faciales constituait une surveillance de masse illégale, impliquant des données biométriques sensibles ainsi que les services d’une entreprise établie à New York offerts à des organismes canadiens d’application de la loi et à d’autres organisations.
  • Une enquête conjointe sur TikTok a révélé des mesures inadéquates pour empêcher les enfants d’accéder à la plateforme ainsi que des préoccupations concernant la collecte et l’utilisation des renseignements personnels sensibles des enfants à des fins de profilage et de ciblage.
  • Le litige intenté par le CPVP contre Facebook/Cambridge Analytica a également conduit à un arrêt de la Cour d’appel fédérale en 2024 reconnaissant que les géants internationaux des données dont les modèles d’affaires reposent sur les données d’utilisateur doivent respecter le droit canadien de la protection de la vie privée.

Ces affaires montrent pourquoi l’application de la loi en matière de protection de la vie privée peut entraîner des répercussions qui vont au-delà du simple respect de la réglementation nationale. Les mesures d’application de la loi prises contre des plateformes technologiques étrangères peuvent affecter les flux de données, l’accès au marché, la confiance du public et la politique numérique ayant une incidence sur le commerce.

Le projet de loi C-36 ne prévoit pas que l’application de la loi devrait être assouplie pour des raisons commerciales. Mais en intégrant implicitement les obligations commerciales internationales, l’innovation, la concurrence et la croissance économique dans le cadre décisionnel de l’organisme de réglementation en raison d’une structure de gouvernance moins indépendante, ces considérations deviennent alors une partie intégrante de l’architecture institutionnelle. Les conseillers juridiques doivent donc s’attendre à ce que la stratégie d’application de la loi en matière de protection de la vie privée soit de plus en plus liée à des politiques (inter)nationales plus larges et à une stratégie transfrontalière visant les données.

Incidences pratiques pour les entreprises : ce que les organisations devraient faire dès maintenant

Pour les organisations, la clé est la préparation. Si le projet de loi C-36 est adopté, elles devraient se préparer à un régime de protection de la vie privée davantage axé sur l’application de la loi.

Les organisations peuvent s’attendre à ce qui suit.

Des outils réglementaires renforcés, y compris :

  • des ordonnances exécutoires;
  • des sanctions administratives pécuniaires;
  • des vérifications;
  • des accords de conformité;
  • des mécanismes d’application plus formels.

Des attentes accrues en matière de conformité et plus de bureaucratie, y compris :

  • des programmes de gestion de la protection des renseignements personnels;
  • un consentement plus clair;
  • des évaluations des facteurs relatifs à la vie privée dans des contextes importants;
  • des droits à la suppression;
  • la transparence des systèmes décisionnels automatisés;
  • des évaluations des transferts transfrontaliers de données;
  • des protections renforcées pour les données des enfants.

Mesures prioritaires pour les équipes juridiques et de conformité

Les entreprises devront traiter la protection de la vie privée comme un enjeu de gouvernance relevant du conseil d’administration. Les équipes juridiques et de conformité ont une lourde tâche qui les attend, car elles devront :

  • cartographier les renseignements personnels;
  • repérer les utilisations à haut risque;
  • documenter les évaluations de l’intérêt légitime et des transferts de données transfrontaliers;
  • passer en revue les systèmes décisionnels automatisés;
  • évaluer l’exposition aux données des enfants (le cas échéant);
  • se préparer à l’arrivée d’un organisme de réglementation qui pourrait examiner la question de la protection de la vie privée parallèlement aux préoccupations liées à la sécurité en ligne, à l’IA, à la protection du consommateur, à la concurrence et aux télécommunications.

Les conditions du succès

Le changement institutionnel n’est pas sans risque. L’efficacité du nouveau modèle nécessitera des mesures de protection telles que les suivantes :

  • des nominations empreintes de transparence;
  • une séparation fonctionnelle entre les directives et l’application de la loi;
  • une véritable expertise en protection de la vie privée;
  • des ressources suffisantes;
  • le maintien d’une réelle crédibilité auprès des autorités provinciales et internationales de la protection de la vie privée.

Mais dans le contexte du secteur privé, un organisme de réglementation plus centralisé pourrait constituer une évolution positive s’il permet une application plus rigoureuse de la loi, des directives plus claires et une gouvernance numérique plus cohérente.

Le défi pour le Parlement sera de préserver ce qui a fait la réputation du CPVP (c’est-à-dire l’expertise, l’indépendance de jugement et la crédibilité fondée sur les droits) tout en mettant en place un organisme de réglementation capable de régir les données dans une économie numérique plus complexe et interreliée.

Footnotes

1 Il y a actuellement neuf hauts fonctionnaires ou agents du Parlement : Vérificateur général du Canada; Directeur général des élections du Canada; Commissaire aux langues officielles; Commissaire à l'information du Canada; Commissaire à la protection de la vie privée du Canada; Commissaire aux conflits d’intérêts et à l’éthique; Commissaire au lobbying du Canada; Commissaire à l’intégrité du secteur public du Canada; et Directeur parlementaire du budget.

2 D’autres fonctionnaires ou agents du Parlement exercent une supervision indirecte sur le secteur privé. Le Commissaire au lobbying du Canada réglemente la conduite des lobbyistes, y compris les lobbyistes-conseils et les sociétés/organisations qui font du lobbying auprès du gouvernement fédéral. Il s'agit d’une supervision des activités de lobbying plutôt que d’une réglementation des pratiques commerciales du secteur privé. Le Vérificateur général du Canada peut également exercer une supervision indirecte des bénéficiaires de fonds publics dans certaines circonstances bien précises. 

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More