Fidèle à son habitude, BLG vous propose, à l'occasion de la Journée internationale de la protection des données, un retour sur les développements marquants de l'année 2025 dans les domaines de la cybersécurité et de la protection des renseignements personnels au Canada.

Nous avons rassemblé nos publications les plus significatives de l'année afin de vous offrir une synthèse stratégique des évolutions législatives, des tendances émergentes et des meilleures pratiques. En complément, cette publication offrira un aperçu des priorités stratégiques et enjeux que les entreprises devront garder à l'esprit en ce début d'année 2026. Consultez aussi notre bilan de 2024.

Les développements propres à l'intelligence artificielle, compte tenu de leur évolution soutenue, feront l'objet d'une publication dédiée. Restez à l'affût!

Rétrospective de l'année 2025

Réformes législatives

Projet de loi C-8 : nouvelles obligations pour les opérateurs de systèmes critiques

Le 18 juin 2025, le gouvernement fédéral a déposé le projet de loi C-8, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois, relançant la réforme fédérale en matière de cybersécurité dans un contexte de hausse soutenue des incidents.

Le projet de loi C-8 impose des exigences de conformité élevées aux exploitants désignés de cybersystèmes essentiels, notamment dans les secteurs des services bancaires, des télécommunications, de l'énergie et des transports. Les obligations clés incluent la mise en place de programmes de cybersécurité, la déclaration des incidents dans un délai de 72 heures, la notification des changements importants aux systèmes et aux fournisseurs tiers, ainsi que le respect de directives gouvernementales. Les organismes de réglementation sectoriels disposent de pouvoirs étendus d'inspection et d'application, assortis de sanctions pouvant atteindre 15 M$ par jour, par violation, et d'un risque de responsabilité personnelle pour les dirigeants.

Bien que plusieurs possèdent déjà la maturité requise, les organisations visées devraient agir proactivement en cartographiant leurs systèmes critiques, en clarifiant leur assujettissement ainsi que l'organisme de réglementation compétent, et en renforçant leurs mécanismes de gouvernance et leur capacité de réponse aux incidents (incluant la gestion des tiers). Le projet de loi C-8 consacre la cybersécurité comme un enjeu central de résilience opérationnelle et de gestion des risques, au-delà d'un simple exercice de conformité.

Pour en savoir plus : Le projet de loi C-8 relance la réforme canadienne en cybersécurité — Ce que doivent savoir les secteurs d'infrastructures critiques et Critical Cyber Systems Protection Act is back – seven points for designated operators (disponible en anglais seulement).

Réforme en Alberta : nouvelles lois de la protection de vie privée pour les organismes publics et organisations du secteur privé

Deux nouvelles lois albertaines, la Access to Information Act (« AIA ») et la Protection of Privacy Act (« PPA »), sont entrées en vigueur le 11 juin 2025. Issues d'une réforme adoptée en décembre 2024, elles remplacent le Freedom of Information and Protection of Privacy Act et entraînent des répercussions significatives sur les obligations en matière d'accès à l'information et de protection des renseignements personnels.

La nouvelle AIA resserre le droit d'accès en introduisant des définitions plus restrictives, de nouvelles exclusions et exemptions, ainsi que des mécanismes facilitant le rejet de certaines demandes, dans un contexte de pression accrue liée au traitement de volumes importants de courriels et de dossiers électroniques. La PPA, quant à elle, modernise le régime albertain de protection des renseignements personnels en imposant la notification et la déclaration des incidents selon le critère du « risque réel de préjudice grave » (real risk of significant harm ou « RROSH »), alignant ainsi l'Alberta avec les standards canadiens. La loi introduit également des dispositions novatrices sur la désidentification, la création de renseignements non personnels et les décisions fondées sur un traitement automatisé.

Le régime introduit des pénalités pouvant aller jusqu'à 200 000 $ pour un individu et 1 million $ pour une organisation, plaçant la province parmi les juridictions les plus strictes au pays.

Pour en savoir plus : Alberta overhauls its public sector access and privacy regime (disponible en anglais seulement)

Réforme en Nouvelle-Écosse : modernisation des exigences pour les organismes publics

Le 26 septembre 2025, la Nouvelle-Écosse a déposé le projet de loi 150, An Act Respecting the Right of Access to Records of Public Bodies and the Right of Privacy with Respect to Personal Information Held by Public Bodies, une réforme qui consolide et modernise le cadre juridique applicable au secteur public en matière d'accès à l'information et de protection des renseignements personnels. Le texte, qui entrera en vigueur le 1er avril 2027, remplacera la Freedom of Information and Protection of Privacy Act ainsi que la Personal Information International Disclosure Protection Act.

Le projet de loi introduit notamment une nouvelle exemption visant à soustraire à la divulgation toute information susceptible de révéler des mesures de sécurité protégeant les systèmes électroniques. Il impose aussi des exigences structurantes, dont l'obligation de réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP ») avant tout projet ou activité impliquant des renseignements personnels, ainsi qu'un régime de notification des incidents déclenché lorsqu'un préjudice significatif est raisonnablement anticipé. Il prévoit enfin des règles encadrant l'hébergement et l'accès et le transfert de renseignements personnels à l'extérieur du Canada, ainsi que la possibilité pour la Cour suprême de la Nouvelle-Écosse d'émettre des ordonnances en cas de collecte, de vol ou de communication non autorisée.

Pour en savoir plus : Notes on Nova Scotia's FOIPOP Reform Bill (disponible en anglais seulement)

Incidents de confidentialité

Enquête conjointe sur 23andMe : l'importance des mesures de prévention et de gestion d'incidents de confidentialité

Dans le cadre d'une enquête conjointe avec son homologue britannique, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a examiné l'atteinte subie par 23andMe en 2023. L'incident, attribué à une attaque par bourrage d'identifiants (credential stuffing), avait compromis près de sept millions de profils génétiques à l'échelle mondiale, exposant par le fait même les renseignements sensibles de milliers de Canadiens.

Les commissaires ont conclu que 23andMe n'avait pas mis en place des mesures de sécurité proportionnées à la sensibilité des renseignements, notamment en raison de l'absence d'authentification multifacteur et de mécanismes robustes en matière de gestion des mots de passe. L'enquête a également mis en évidence des lacunes importantes sur les plans de la détection, de la réponse et de la notification : l'entreprise n'aurait pas réagi adéquatement à des signaux crédibles annonciateurs de l'attaque ni informé rapidement les autorités et les personnes concernées.

Si le régulateur britannique a imposé une amende de 2,31 M£, aucune sanction n'a été prononcée au Canada en raison des limites du cadre fédéral actuel, ravivant les appels à sa modernisation. L'affaire a toutefois donné lieu à des actions collectives, lesquelles font l'objet d'un règlement proposé pour le Canada qui prévoit le versement d'une somme d'environ 3,25 M$ US (près de 4,5 M$ CA), sous réserve de l'approbation des tribunaux dans le cadre des procédures d'insolvabilité de l'entreprise.

Les conclusions de l'enquête soulignent l'importance pour les organisations de mettre en place des mesures adéquates non seulement pour assurer la sécurité des renseignements personnels, mais aussi pour détecter et remédier rapidement à un incident de confidentialité, surtout lorsqu'il est question de renseignements sensibles. Une vigilance accrue s'impose.

Hospital for Sick Children v. Ontario : clarification de la portée des obligations de notification en Ontario

L'affaire Hospital for Sick Children v. Ontario (disponible en anglais seulement), rendue par la Cour divisionnaire de l'Ontario le 16 septembre 2025, confirme qu'une attaque par rançongiciel entraîne une obligation de notification, même en l'absence de preuve d'accès, d'exfiltration ou de vol de renseignements personnels.

La Cour entérine la position du Commissaire à l'information et à la protection de la vie privée de l'Ontario selon laquelle le cryptage rendant les renseignements temporairement inaccessibles constitue une « utilisation » et une « perte » non autorisées, suffisantes pour déclencher l'obligation de notifier les personnes concernées en vertu de la Personal Health Information Protection Act, 2004 et de la Child, Youth and Family Services Act, 2017. La décision précise que ces régimes de notification ne reposent pas sur un seuil de risque, mais visent plutôt des objectifs de transparence, d'imputabilité organisationnelle et de surveillance effective par le régulateur à la suite d'un incident.

Pour les organisations, cette décision implique que les plans de réponse aux incidents doivent traiter les scénarios de cryptage sans exfiltration comme des incidents de confidentialité à part entière, prévoir des mécanismes de notification conformes aux exigences applicables et intégrer une analyse tenant compte de la coexistence de seuils distincts selon les régimes provinciaux en cause.

Pour en savoir plus : No need for access, theft or disclosure: encryption of data is notifiable under PHIPA and CYFSA (disponible en anglais seulement)

Biométrie

Clearview AI v. Alberta (Information and Privacy Commissioner) : légitimation potentielle de l'extraction de données publiques pour l'entraînement de modèle d'intelligence artificielle

Dans Clearview AI Inc v. Alberta (Information and Privacy Commissioner), la Cour du Banc du Roi de l'Alberta a rendu une décision importante en mai 2025 dans le cadre de la contestation par Clearview AI d'une ordonnance émise à la suite de l'enquête conjointe menée en 2021 par plusieurs autorités canadiennes de protection de la vie privée. Le projet de Clearview AI reposait sur l'extraction automatisée (scraping) de milliards d'images de visages publiées en ligne afin de constituer une base de données biométriques et d'offrir un service de reconnaissance faciale.

Quelques leçons importantes à tirer de cette décision :

La décision clarifie l'interprétation de l'exception permettant de recueillir des renseignements personnels sans consentement lorsque ceux-ci sont « publiquement accessibles », une question centrale pour l'entraînement de modèles.

La Cour entérine l'interprétation restrictive retenue par le Commissaire, selon laquelle les renseignements tirés de sites web ou de plateformes de médias sociaux ne sont pas toujours « publiquement accessibles ».

Toutefois, la Cour reconnaît qu'une interprétation trop limitée de cette notion soulève des enjeux constitutionnels, notamment au regard de la liberté d'expression. En effet, cette interprétation entrave indûment certains usages légitimes de l'information rendue publique (par exemple l'indexation de contenu).

La Cour opte pour une lecture modernisée de l'exception, axée sur l'information « intentionnellement rendue publique », et ordonne le retranchement de la restriction qui confinait l'exception à certains supports traditionnels (magazines, livres et journaux).

En pratique, bien que la décision puisse soutenir l'utilisation de données en ligne pour l'entraînement de modèles d'intelligence artificielle, les organisations doivent faire preuve de prudence si elles décident de s'appuyer sur cette décision. Cela dit, Clearview AI a contesté les conclusions de l'enquête et déposé un avis d'appel. Il sera donc intéressant de suivre de près l'évolution de cette affaire et voir comment Clearview AI va une fois de plus contribuer à l'évolution du droit canadien sur la vie privée.

Pour en savoir plus : Alberta judgment opens the door to the legitimization of data scraping and AI model training (disponible en anglais seulement) et The extraterritorial reach of B.C.'s privacy laws: Court upholds privacy commissioner's order against foreign AI company (disponible en anglais seulement)

Ordonnance de la Commission d'accès à l'information envers Metro Inc. : quel avenir pour l'implantation de systèmes biométriques au Québec ?

Le 18 février 2025, la Commission d'accès à l'information (« CAI ») a rendu une ordonnance marquante en interdisant à Metro de déployer un système de reconnaissance faciale visant l'identification d'individus impliqués dans des vols à l'étalage. Il s'agit de la première interdiction formelle de mise en service d'une banque de données biométriques en vertu de la Loi concernant le cadre juridique des technologies de l'information, confirmant l'approche particulièrement restrictive de la CAI à l'égard des technologies biométriques dans le contexte post-Loi 25.

Dans le cadre de son projet, Metro souhaitait déployer un système de reconnaissance faciale dans certains de ses établissements afin de lutter contre le vol à l'étalage et la fraude. Le dispositif proposé reposait sur l'analyse des images captées par les caméras de surveillance installées aux entrées et sorties des établissements participants. Ces images étaient comparées à une base de données biométriques contenant les données d'individus ayant déjà été impliqués dans des infractions similaires et ayant fait l'objet d'une intervention policière. En cas de correspondance, une alerte était envoyée au personnel responsable afin qu'il puisse intervenir conformément aux procédures internes.

Sur le fond, la CAI a adopté une interprétation large et libérale de la notion d'identification, en assimilant le projet à une « vérification de l'identité », même en l'absence d'identification nominative. Elle estime qu'un dispositif peut être assujetti au régime biométrique dès lors qu'il permet de distinguer une personne et de l'associer à une base de données préexistante. Par ailleurs, la CAI refuse l'argument voulant que la reconnaissance faciale puisse être justifiée comme une simple utilisation secondaire d'images de vidéosurveillance déjà captées : elle distingue la captation vidéo de l'extraction de mesures biométriques, cette dernière constituant une collecte autonome exigeant un consentement exprès.

Somme toute, la CAI conclut que le système de Metro constitue une vérification de l'identité au sens de la loi, que les caractéristiques biométriques qu'il exploite sont indissociables de l'identité des individus et que l'absence de consentement exprès justifie l'interdiction de sa mise en service.

Les conséquences de l'ordonnance Metro sont substantielles pour la gouvernance des projets biométriques; les entreprises qui font affaire au Québec doivent faire preuve d'une grande prudence lorsqu'elles développent des outils, des pratiques ou des projets impliquant des données biométriques. Cela dit, Metro a porté la décision en appel afin que la CAI évalue la nécessité et les fins légitimes poursuivies par le projet, deux concepts sur lesquels la CAI était restée silencieuse dans son ordonnance. Restez à l'affut.

Nouvelles orientations du Commissariat à la protection de la vie privée du Canada : clarification de la définition et de la portée de la biométrie

Le 11 août 2025, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a publié son Document d'orientation à l'intention des entreprises sur le traitement des renseignements biométriques (« Document d'orientation ») à la suite de la consultation publique sur le Document d'orientation provisoire à l'intention des organisations sur le traitement des données biométriques publié en 2023.

Destiné aux organisations du secteur privé qui déploient des initiatives biométriques, le Document d'orientation présente les principales considérations relatives aux obligations de protection de la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que les pratiques exemplaires pour la gestion de ce type de renseignements.

Plus précisément, le Document d'orientation porte sur les éléments clés que doivent prendre en compte les entreprises lors de la planification et de la mise en œuvre d'initiatives faisant appel à la technologie biométrique. Il souligne l'importance de s'assurer que la collecte, l'utilisation et la communication de renseignements biométriques répondent à une fin acceptable et d'évaluer soigneusement les risques encourus, notamment la proportionnalité des répercussions possibles sur la vie privée. Ce Document d'orientation clarifie aussi en quoi consistent les renseignements biométriques (non définis dans PIPEDA), ainsi que les obligations en matière de consentement pour les initiatives biométriques, ainsi que les éléments à considérer en matière de transparence, de protection des données et d'exactitude, y compris les tests effectués sur les systèmes biométriques.

Le Document d'orientation actualisé du CPVP s'aligne généralement sur le guide d'accompagnement de la Commission d'accès à l'information (« CAI ») concernant la biométrie et tient compte de récentes décisions de la CAI portant sur le traitement, par des organisations, de renseignements biométriques à des fins de prévention des pertes et de contrôle d'accès aux locaux commerciaux. Il convient de noter que, bien que le Document d'orientation du CPVP ait un caractère consultatif, le Québec a établi des exigences plus prescriptives. Les organisations doivent donc veiller à harmoniser leurs pratiques afin de satisfaire aux exigences provinciales et fédérales en matière de traitement des renseignements biométriques.

À cet effet, les organisations devraient envisager d'établir des lignes directrices encadrant l'utilisation des systèmes biométriques qui tiennent compte des obligations du Document d'orientation ainsi que des autres principes applicables à la protection des renseignements biométriques. Les organisations devraient également envisager de réviser les formulaires de consentements et les évaluations de facteurs de vie privée (« EFVP ») afin de refléter ces nouvelles lignes directrices et s'assurer de répondre conformément aux exigences divergentes du CPVP et de la CAI.

Pour en savoir plus : Biométrie : nouvelles orientations du Commissariat à la protection de la vie privée du Canada et incidences sur les entreprises.

Protection de la vie privée des enfants en ligne

Enquête conjointe des commissaires canadiens sur TikTok : protection accrue des renseignements personnels d'enfants

L' enquête conjointe menée par les commissaires au niveau fédéral, du Québec, de la Colombie-Britannique et de l'Alberta a conclu que TikTok ne respectait pas les lois canadiennes en matière de protection des renseignements personnels des enfants.

Malgré l'interdiction formelle d'accès à la plateforme pour les utilisateurs de moins de 13 ans (14 ans au Québec), TikTok recueillait et utilisait à grande échelle les renseignements personnels de mineurs à des fins de personnalisation des contenus et de ciblage publicitaire. Le seul mécanisme de vérification de l'âge lors de l'inscription, fondé sur l'autodéclaration de la date de naissance, était aisément contournable, tandis que les mécanismes de détection subséquents se sont révélés inefficaces, permettant le profilage et la diffusion de publicités ciblées à des enfants avant la suppression éventuelle de leurs comptes.

Les commissaires ont jugé que TikTok ne poursuivait aucune fin légitime justifiant la collecte ou l'utilisation des renseignements personnels d'enfants, lesquels sont considérés comme sensibles par défaut. Ils ont également conclu que les consentements obtenus n'étaient ni valides ni suffisants : les informations essentielles liées au suivi, au profilage, aux technologies déployées et à l'utilisation potentielle de renseignements sensibles n'étaient pas fournies de manière claire, accessible ou adaptée aux jeunes. Les politiques de confidentialité étaient difficiles à consulter, incomplètes, uniquement accessibles en anglais et n'expliquaient pas adéquatement l'usage de renseignements biométriques.

Au Québec, la Commission d'accès à l'information (« CAI ») a relevé un manque de transparence accru : TikTok activait automatiquement des technologies d'identification, de géolocalisation et de profilage sans préavis, et n'offrait pas les paramètres les plus protecteurs par défaut, comme l'exige la loi. Les autorités ont enfin adopté une interprétation large de la notion de « renseignements biométriques », estimant que même des données non identifiantes utilisées pour estimer l'âge déclenchent les obligations légales applicables.

Considérant l'emphase accrue sur la protection de renseignements personnels d'enfants, jugés sensibles par défaut, les organisations doivent redoubler de prudence en analysant les fins pour lesquelles ils sont collectés et en adaptant leurs explications au public cible. Il convient toutefois de noter que, malgré la gravité des constats, la CAI n'a pas imposé de sanctions administratives pécuniaires, laissant en suspens la question du seuil de gravité requis pour leur application. L'affaire a toutefois donné lieu au dépôt d'une demande d'action collective devant la Cour supérieure du Québec visant des dommages compensatoires et punitifs.

Actions collectives en matière de protection de la vie privée

Décision Rate MD's v. Bleuler : absence d'attente raisonnable de vie privée pour les renseignements publics de professionnels de la santé

Dans l'affaire RateMDs Inc. v. Bleuler (disponible en anglais seulement), la Cour d'appel de la Colombie-Britannique a rejeté l'autorisation d'un recours collectif contre RateMDs, un site affichant des profils de professionnels de la santé créés sans consentement et des évaluations de clients, faute de cause d'action viable.

En vertu de la Personal Information Protection Act (« PIPA »), le tribunal a jugé que le droit à la vie privée ne s'applique qu'aux renseignements pour lesquels existe une attente raisonnable de confidentialité, ce qui exclut les informations publiques relatives aux services de santé. La création de profils sans consentement ne constituait donc pas une atteinte à la vie privée des médecins. La Cour a également rejeté l'argument selon lequel les évaluations représentaient une utilisation commerciale non autorisée des noms des professionnels. Malgré les profits générés par RateMDs, la Cour a conclu que les professionnels de la santé ne pouvaient pas raisonnablement s'attendre à ce que les renseignements concernant leurs services soient privés, pas plus qu'ils ne pouvaient contrôler les sites Web pouvant publier de tels renseignements. Les avis publics sur les services de professionnels sont courants et ne constituent pas, en soi, une violation de la vie privée. La Cour a également conclu que RateMDs n'exploitait pas commercialement les noms des professionnels, ces derniers faisant simplement l'objet de commentaires.

La décision rappelle que les demandes fondées sur le droit à la protection de la vie privée requièrent plus que la simple absence de consentement : il faut démontrer une attente raisonnable de vie privée. Ainsi, les entreprises qui publient des profils ou des avis devraient bien évaluer l'objectif de leurs activités commerciales afin de s'assurer de ne pas utiliser des renseignements personnels à des fins commerciales sans consentement.

Pour en savoir plus : Novel privacy claims and the limits of class action certification: RateMDs Inc. v. Bleuler, 2025 BCCA 329 (disponible en anglais seulement)

Application de la loi

Publication de nouvelles lignes directrices sur la dépersonnalisation en Ontario : orientations pour la planification et la gouvernance

Le Commissaire à l'information et à la protection de la vie privée de l'Ontario (« CIPVP ») a publié de nouvelles lignes directrices sur la dépersonnalisation des renseignements personnels, lesquelles mettent à jour et précisent les orientations initialement publiées en 2016.

Ces lignes directrices renforcent l'approche opérationnelle de la dépersonnalisation en ajoutant des étapes de planification en amont, notamment celles de déterminer si la dépersonnalisation doit être réalisée à l'interne ou confiée à un tiers, de constituer une équipe compétente, et d'évaluer la nécessité de réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP »). Elles recommandent également d'adopter une démarche de transparence, incluant l'information des personnes concernées et la communication des objectifs généraux poursuivis. Cette orientation s'inscrit dans la continuité de la décision PHIPA 175, laquelle impose à certains dépositaires de préciser publiquement leurs pratiques courantes en matière de dépersonnalisation.

Le CIPVP rappelle par ailleurs que la divulgation de données dépersonnalisées n'élimine pas les obligations de gouvernance. Les organisations doivent mettre en place des contrôles continus, incluant la surveillance des risques de réidentification et la vérification du respect des ententes de partage, que la divulgation soit effectuée dans un cadre privé ou public. Le CIPVP souligne à cet égard que les données diffusées publiquement sont, par nature, plus difficiles à retirer ou à corriger une fois communiquées.

En pratique, les organisations devraient se doter d'un cadre formalisé de dépersonnalisation définissant clairement les rôles, les responsabilités et les pouvoirs décisionnels, ainsi que les exigences contractuelles applicables au partage de données, les mécanismes d'évaluation des risques et les engagements de transparence requis par les lois et directives applicables.

Pour en savoir plus : De-identification of personal information and the new IPC Ontario guidelines (disponible en anglais seulement)

Première imposition de sanctions administratives pécuniaires en Ontario

Dans sa décision 298 (disponible en anglais seulement), le Commissaire à l'information et à la protection de la vie privée de l'Ontario (« CIPVP ») a imposé pour la première fois des sanctions administratives pécuniaires (« SAPs ») depuis l'entrée en vigueur de ce pouvoir en janvier 2024.

S'appuyant sur la Loi de 2004 sur la protection des renseignements personnels sur la santé ainsi que sur ses propres orientations en matière de sanctions, le CIPVP rappelle que ces mesures visent principalement (i) à favoriser la conformité et (ii) à éviter qu'un dépositaire tire un avantage économique d'une contravention. Dans cette affaire, le CIPVP a conclu qu'un professionnel avait utilisé son accès à un registre de dossiers médicaux afin d'identifier et de contacter des patients potentiels pour leur offrir des services, ce qui constitue une utilisation non autorisée suffisamment grave pour justifier l'imposition d'une sanction.

À titre comparatif, au Québec, la CAI ne s'est pas à ce jour prévalue de son pouvoir d'imposer des SAPs depuis l'entrée en vigueur des modifications introduites par la Loi 25. Il ne faut cependant pas interpréter cela comme de la tolérance. Cette affaire témoigne parfaitement de la raison pour laquelle les SAPs ont été instaurées : encourager le respect de la loi et empêcher qu'une personne ne tire un avantage économique direct ou indirect d'une contravention à la loi. Les entreprises devraient donc veiller à adopter des mesures appropriées de protection de la vie privée, notamment en raison la multiplication du nombre d'enquêtes et de recours collectifs, mais également de l'évolution des menaces de cyberattaques.

Pour en savoir plus : PHIPA Decision 298: First imposition of administrative monetary penalties (disponible en anglais seulement)

Perspectives à venir : que vous réserve l'année 2026 ?

En 2026, le paysage de la protection des renseignements personnels et de la cybersécurité exigera une vigilance et une adaptabilité accrues. Trois tendances seront à suivre de près. D'abord, le pays poursuit ses efforts pour renforcer la souveraineté des données soutenue par des investissements stratégiques. Parallèlement, le secteur des actions collectives évolue : après les actions découlant des incidents de sécurité, on observe une hausse des demandes d'autorisation visant la collecte, l'utilisation et le partage des renseignements personnels par les entreprises. Enfin, la protection de la vie privée des mineurs s'impose comme une priorité nationale pour laquelle le CPVP agit déjà proactivement. Ensemble, ces tendances annoncent un cadre canadien de la vie privée plus robuste et adapté aux réalités de 2026.

Réforme de PIPEDA ?

Le budget 2025 a indiqué l'intention du gouvernement fédéral de modifier la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE » ou « PIPEDA ») et de présenter un projet de loi connexe établissant un tribunal chargé d'administrer un régime d'application de la loi fondé sur des sanctions. Le précédent projet de loi proposé par le gouvernement fédéral à cet effet, le projet de loi C-27, est mort au feuilleton en janvier 2025.

Tout comme la réforme au Québec, le projet de loi fédéral devrait prévoir des sanctions potentiellement sévères et des mesures relatives à la souveraineté et à la mobilité des données, afin notamment de compléter et de mettre en œuvre le cadre canadien des services bancaires ouverts. Il devrait aussi traiter de la protection des renseignements personnels des enfants et des technologies émergentes.

En prévision d'une réforme potentielle de PIPEDA, les organisations ont intérêt à se préparer dès maintenant à la mise en œuvre d'exigences plus strictes basées sur certaines dispositions figurant dans le projet de loi C-27 et le modèle québécois.

Avenir réglementaire de la biométrie

Au Québec, la décision Metro marque un tournant important dans l'interprétation de la notion de « vérification d'identité » par la CAI. En retenant une conception élargie de cette notion, la CAI étend l'assujettissement au régime biométrique à des usages auparavant perçus comme non identifiants, ce qui a pour effet de soumettre un plus grand nombre de projets aux obligations renforcées du droit québécois. Le Québec s'affirme ainsi comme la juridiction la plus exigeante au Canada en matière de biométrie.

À l'échelle fédérale, la trajectoire réglementaire révèle également un élargissement de la notion de biométrie, comme l'illustre l'enquête du CPVP dans l'affaire TikTok. Toutefois, les orientations récentes du CPVP adoptent une approche plus nuancée quant aux obligations des organisations, en reconnaissant, dans certaines circonstances, la possibilité de recourir à la biométrie sans consentement exprès, notamment lorsqu'elle est imposée comme condition de service et repose sur des justifications jugées raisonnables. Fondé principalement sur des lignes directrices non contraignantes, le régime fédéral demeure ainsi plus souple et pragmatique que celui du Québec.

Dans un contexte d'adoption croissante des technologies biométriques, les organisations sont néanmoins tenues de faire preuve d'une rigueur accrue dans l'évaluation préalable de leurs projets et de demeurer attentives aux développements à venir, notamment à l'horizon 2026.

Gouvernance et souveraineté des données

En 2025, le Canada a intensifié ses efforts pour améliorer la souveraineté numérique afin de mieux protéger les données, de soutenir la transformation numérique et d'améliorer la sécurité et la résilience des infrastructures.

Dans son Cadre de souveraineté numérique, le gouvernement fédéral se penche sur les facteurs juridiques, de sécurité, de protection des renseignements personnels, de main-d'œuvre et de chaîne d'approvisionnement qui influencent la capacité du gouvernement à maintenir sa souveraineté numérique soulève les défis liés à la complexité de la compétence, à la dépendance à l'égard des fournisseurs mondiaux, à l'évolution des risques en matière de cybersécurité et aux capacités internes, et souligne la nécessité d'une interopérabilité tant à l'échelle du gouvernement qu'avec des partenaires internationaux.

Parallèlement, la Stratégie canadienne pour une capacité de calcul souveraine en IA, annoncée dans le budget 2025, prévoit des investissements majeurs dans des infrastructures d'IA souveraine, visant à ce que les données et la puissance de calcul nécessaires à l'IA demeurent sous contrôle canadien.

Ces initiatives traduisent la volonté du Canada de conjuguer autonomie technologique et compétitivité économique, en plaçant la gouvernance des données et la souveraineté numérique au cœur de sa stratégie nationale. Les entreprises canadiennes peuvent donc s'attendre à ce que ces initiatives se traduisent par des mesures législatives, des règlements ou d'autres instruments politiques.

Hausse des actions collectives au Québec

Au Québec, l'année 2025 a été marquée par une augmentation des actions collectives en matière de protection de la vie privée. La Cour supérieure a accueilli trois demandes d'actions alléguant l'accès, la collecte, l'utilisation et la communication de renseignements personnels sans consentement, ainsi que des manquements à la confidentialité et à la sécurité des données (voir : Déziel c. Santé Québec, Synotte c. TikTok Technology Canada Inc. et S.C. c. Gameloft and al.).

Ces trois demandes d'actions collectives illustrent une évolution dans la manière dont les justiciables utilisent les recours collectifs au Québec pour protéger leur vie privée. Alors qu'auparavant ces recours ciblaient principalement des incidents ponctuels de confidentialité, les contestations portent de plus en plus sur les pratiques de gouvernance des organisations en matière de gestion des renseignements personnels.

Considérant l'augmentation importante des actions collectives en matière de vie privée et des incidents de confidentialité, les entreprises devraient veiller à renforcer leurs pratiques de prévention, en consolidant leurs mesures de protection physiques, organisationnelles et administratives afin de réduire les risques d'incident à l'interne et à l'externe, et d'éviter d'éventuelles enquêtes au sujet de leurs politiques de confidentialité et de sécurité.

Protection de la vie privée des mineurs

La protection de la vie privée des mineurs s'impose de plus en plus comme une priorité à la fois réglementaire et politique. Le Commissariat à la protection de la vie privée du Canada (« CPVP ») a d'ailleurs mené une consultation visant à améliorer la protection de la vie privée et de la sécurité des enfants en ligne. Cette consultation a pour objectif l'élaboration d'un code de protection des enfants en ligne et vise à définir des exigences claires pour les plateformes et services en ligne, notamment en matière de limitation de la collecte de données, de transparence, de sécurité, et de prise en compte de l'intérêt supérieur de l'enfant dans la conception des services numériques.

Cette consultation s'inscrit dans la même lignée que la consultation sur la protection de la vie privée et confirmation de l'âge, lancée en 2024. Cette initiative visait à déterminer les méthodes appropriées de vérification de l'âge, les attentes des parents et des jeunes, ainsi que les meilleures pratiques pour informer et protéger les mineurs en ligne. Les commentaires recueillis lors de la consultation sont compilés dans un rapport et le CPVP publiera prochainement un document d'orientation provisoire résultant de ces observations.

Bien que le gouvernement fédéral n'ait pas annoncé d'échéancier pour l'adoption de ces mesures, les entreprises offrant des services numériques aux mineurs peuvent anticiper la venue de changements législatifs en revoyant leurs pratiques pour garantir la transparence et la sécurité des enfants en ligne. Ceci est d'autant plus important avec la multiplication des risques juridiques et la hausse importante d'actions collectives et d'enquêtes règlementaires.

BLG peut vous aider

En tant qu'une des équipes les plus respectées en matière de protection de la vie privée et de cybersécurité au Canada, nous vous fournirons des conseils sur mesure et des solutions réalisables, et nous travaillerons avec vous pour atténuer les risques potentiels.

Travaillons ensemble en 2026 pour que votre organisation puisse anticiper les défis de confidentialité et non les subir.

