Conformité à la LPRPDE au Canada : Guide de confidentialité pour les entreprises numériques

Le cadre canadien de protection de la vie privée pour les organisations du secteur privé — fondé sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) — subit sa transformation la plus importante depuis l'entrée en vigueur de la loi en 2004. Bien que la LPRPDE demeure la norme fédérale, la loi 25 du Québec (Loi sur la protection des renseignements personnels dans le secteur privé, telle que réformée en 2021-2023) a établi une nouvelle référence en matière de protection de la vie privée dans les provinces canadiennes, et le projet de loi fédérale sur la protection de la vie privée des consommateurs (LPPC) finira par remplacer LPRPDE avec un cadre plus solide et influencé par le RGPD.

Comprendre le cadre de protection de la vie privée à plusieurs niveaux actuel du Canada – la LPRPDE fédérale, les lois provinciales du Québec, de l'Alberta et de la Colombie-Britannique et la loi 25 du Québec – est essentiel pour toute entreprise numérique opérant chez ou au service des consommateurs canadiens.

Points clés à retenir

• La LPRPDE s'applique aux organisations du secteur privé qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre d'activités commerciales — avec une application extraterritoriale
• La loi 25 du Québec (pleinement entrée en vigueur en septembre 2023) est plus stricte que la LPRPDE et comporte des exigences de consentement, de droits et d'évaluation similaires au RGPD.
• Dix principes d'information équitable (tirés de la norme CAN/CSA Q830) régissent la conformité à la LPRPDE
• La notification obligatoire des violations de la LPRPDE exige la déclaration au Commissariat et la notification aux individus dans les 72 heures suivant la détermination d'un « risque réel de préjudice important ».
• La Loi sur la protection de la vie privée des consommateurs (CPPA) remplacera éventuellement la LPRPDE — surveiller la promulgation
• Le Commissariat à la protection de la vie privée (CPVP) peut enquêter et recommander la conformité, mais ne peut pas imposer directement des amendes — le projet de loi C-27 propose de changer cela.
• La Commission d'accès à l'information (CAI) du Québec peut imposer des amendes allant jusqu'à 4 % du chiffre d'affaires mondial ou 25 millions de dollars canadiens en vertu de la loi 25.
• Le consentement en vertu de la LPRPDE doit être significatif, mais la LPRPDE reconnaît à la fois le consentement exprès et implicite dans des contextes appropriés

---

Aperçu du cadre canadien de protection de la vie privée

Fédéral : LPRPDE

La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques, 2004) est la loi fédérale canadienne sur la protection de la vie privée dans le secteur privé. Il s'applique à :

• Organisations du secteur privé dans industries sous réglementation fédérale (banque, télécommunications, transport interprovincial, radiodiffusion) — quelle que soit la province
• Organisations du secteur privé dans toutes les provinces sans législation provinciale substantiellement similaire — pour les informations collectées, utilisées ou divulguées dans le cadre d'activités commerciales

Juridictions exemptées : Le Québec, l'Alberta et la Colombie-Britannique ont des lois provinciales jugées essentiellement similaires à la LPRPDE. Dans ces provinces, la LPRPDE s’applique toujours aux activités sous réglementation fédérale et aux flux transprovinciaux/transfrontaliers. La loi 25 du Québec ajoute des exigences supplémentaires.

Lois provinciales

Québec (Loi sur la protection des renseignements personnels dans le secteur privé, Loi 25) : S'applique aux entreprises qui collectent des renseignements personnels dans le cadre de l'exploitation d'une entreprise au Québec. Les réformes de la loi 25 (mises en œuvre par phases 2022-2023) ont considérablement renforcé les exigences du Québec au-delà de la LPRPDE.

Alberta (Personal Information Protection Act — PIPA) : essentiellement similaire à la LPRPDE ; s’applique aux activités provinciales des organisations privées basées en Alberta.

Colombie-Britannique (Personal Information Protection Act — PIPA BC) : cadre similaire ; s’applique aux activités provinciales des organisations privées basées en Colombie-Britannique.

Ontario, Manitoba, Saskatchewan : Aucune loi provinciale essentiellement similaire – la LPRPDE s'applique.

Le projet de loi sur la protection de la vie privée des consommateurs (CPPA)

Le projet de loi C-27 (projet de loi présenté en juin 2022) édicterait la Loi sur la protection de la vie privée des consommateurs, remplaçant la LPRPDE par :

• Exigences de consentement influencées par le RGPD
• Transparence algorithmique et droits de décision automatisés
• Droits de mobilité des données
• Des pénalités considérablement améliorées : jusqu'à 3 % du chiffre d'affaires mondial ou 10 millions de dollars canadiens (niveau 1 ); 5 % du chiffre d'affaires mondial ou 25 millions de dollars canadiens (niveau 2)
• Un tribunal indépendant chargé de statuer sur les décisions du Commissariat.
• Protections explicites de la vie privée des enfants

Au début de 2026, la CPPA n’avait pas été promulguée. Les entreprises devraient suivre les progrès législatifs et concevoir des programmes de conformité qui pourront être adaptés au nouveau cadre une fois promulgué.

---

Les dix principes équitables en matière d'information de la LPRPDE

La LPRPDE repose sur les dix principes du Code modèle pour la protection des renseignements personnels de l'Association canadienne de normalisation (CAN/CSA Q830) :

Consentement en vertu de la LPRPDE : Le principe 3 exige un consentement significatif : les individus doivent comprendre à quoi ils consentent. Le consentement peut être exprès (explicite, écrit ou oral) ou implicite (lorsque le but est évident et que l'individu s'y attendrait raisonnablement). Le consentement implicite est approprié pour les informations moins sensibles et les utilisations à moindre risque. Un consentement exprès est requis pour les informations sensibles et pour les utilisations auxquelles les individus ne s’attendent pas.

Le Commissariat a toujours conclu que le « consentement groupé » (une seule case à cocher pour des fins multiples) et le « consentement présumé » (les pratiques d'enfouissement des données dans des termes et conditions denses) ne constituent pas un consentement significatif.

---

Loi 25 québécoise : des exigences plus strictes

La loi 25 du Québec (Loi modernisant les dispositions législatives en matière de protection des renseignements personnels) représente la réforme provinciale la plus importante en matière de protection de la vie privée au Canada. Mis en œuvre en trois phases :

Phase 1 (septembre 2022) : notification obligatoire des violations, exigences de gouvernance, désignation du responsable de la protection de la vie privée, politiques sur le calendrier de conservation

Phase 2 (septembre 2023) : évaluations des impacts sur la vie privée, nouveaux droits individuels (accès, rectification, portabilité, objection au profilage), normes de consentement, exigences de transparence pour la prise de décision automatisée

Phase 3 (septembre 2023, suite) : Droits à la portabilité des données, droits à la désindexation (droit à l'oubli), analyses d'impact sur la protection des transferts transfrontaliers

Exigences clés de la loi 25 au-delà de la LPRPDE

Évaluations d'impact sur la vie privée (PIA) : requises avant tout projet impliquant la collecte, l'utilisation ou la communication d'informations personnelles. Le PIA doit être communiqué à la CAI pour les projets à risque.

EFVP sur les transferts transfrontaliers : Avant de communiquer des renseignements personnels à l'extérieur du Québec, les entreprises doivent procéder à une évaluation d'impact sur la protection de la vie privée selon les critères établis par le CAI. Cela doit tenir compte de la sensibilité des informations, des protections juridiques dans la juridiction de destination et des mesures qui seront appliquées pour protéger les informations.

Droit à la désindexation (droit à l'oubli) : Les particuliers peuvent demander la suppression des hyperliens attachés à leur nom diffusant des informations personnelles lorsque : les informations ne sont plus exactes, la personne est mineure ou il n'existe aucune justification légitime à l'indexation.

Transparence de la prise de décision automatique : lorsqu'une décision basée exclusivement sur un traitement automatisé de données personnelles est prise avec des effets juridiques ou importants, les individus doivent être informés et avoir le droit de demander un examen humain.

Normes de consentement : le consentement doit être clair, donné librement et éclairé. Il doit être demandé pour chaque objectif spécifique. Le consentement implicite n’est généralement pas suffisant au Québec – une action explicite et positive est requise.

Sanctions : La CAI peut imposer des amendes allant jusqu'à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial (selon le montant le plus élevé) en cas de violations graves de la loi 25. La CAI a commencé à l'appliquer et a rendu ses premières décisions de sanction.

---

Signalement obligatoire des violations en vertu de la LPRPDE

Les exigences obligatoires de déclaration des atteintes en vertu de la LPRPDE (en vigueur depuis le 1er novembre 2018) s'appliquent lorsqu'une atteinte aux mesures de sécurité crée un « risque réel de préjudice important » pour les individus.

Les préjudices importants comprennent : les lésions corporelles, l'humiliation, l'atteinte à la réputation, la perte d'emploi, d'opportunités commerciales ou professionnelles, la perte financière, le vol d'identité, les effets négatifs sur le dossier de crédit et les dommages aux relations ou la perte de confiance.

Exigences en matière de déclaration :

1. Signaler au Commissariat : Dès que possible après avoir déterminé un risque réel de préjudice important. Utilisez le formulaire de signalement des violations de données du Commissariat.

2. Avertir les personnes concernées : En même temps que le rapport OPC, ou dès que possible. La notification doit :

• Décrire les circonstances du manquement
• Identifier quelles informations personnelles étaient impliquées
• Décrire les mesures prises pour remédier à la violation
• Expliquer ce que les personnes concernées peuvent faire pour se protéger
• Fournir les coordonnées de l'organisation

3. Avertir les autres organisations : lorsqu'une autre organisation peut être en mesure de réduire le risque de préjudice (par exemple, les agences d'évaluation du crédit, les forces de l'ordre), informez-les.

Tenue de dossiers : Tenir des registres de toutes les violations (qu'un risque réel de préjudice important ait été déterminé ou non) pendant 24 mois. Le Commissariat peut demander ces dossiers.

Exigences en matière de violation de la Loi 25 du Québec : Les propres exigences de notification du Québec s'appliquent aux entreprises du Québec. La loi 25 impose de notifier la CAI dans les 72 heures suivant la prise de connaissance d'un incident de confidentialité impliquant des informations personnelles présentant un risque de préjudice, en utilisant le formulaire prescrit par la CAI.

---

Transferts de données et responsabilité

Le principe de responsabilité de la LPRPDE (Principe 1) s'étend au traitement des données par des tiers : les organisations sont responsables des informations personnelles dont elles ont la garde, y compris lorsqu'elles sont transférées à des tiers pour traitement. Les contrats avec les sous-traitants doivent offrir une protection comparable.

Transferts transfrontaliers : La LPRPDE n'interdit pas les transferts de données transfrontaliers, mais exige que les organisations soient responsables de leurs renseignements personnels lorsqu'ils sont transférés à l'étranger. Utilisez des accords contractuels pour garantir une protection comparable. Les lignes directrices de l'OPC recommandent de documenter les pays vers lesquels les données peuvent être transférées.

Restrictions transfrontalières de la Loi 25 du Québec : Le Québec impose un cadre de transfert transfrontalier plus strict exigeant une évaluation documentée des facteurs relatifs à la vie privée avant tout transfert hors de la province, en tenant compte des protections de destination, de la sensibilité des informations et des garanties appliquées.

---

Programme de gestion de la confidentialité

Les lignes directrices du Commissariat recommandent la mise en œuvre d’un programme complet de gestion de la confidentialité comme fondement de la conformité à la LPRPDE :

1. Gouvernance de la confidentialité :

• Désigner un responsable de la protection de la vie privée doté de l'autorité et de l'expertise appropriées
• Élaborer et mettre en œuvre des politiques et procédures de confidentialité
• Créer une structure de gouvernance de la confidentialité avec une responsabilité claire

2. Gestion des risques :

• Mener des évaluations des facteurs relatifs à la vie privée (PIA) pour les programmes, systèmes et activités nouveaux ou modifiés
• Tenir un registre des risques pour la vie privée
• Intégrer l'examen de la confidentialité dans le développement de produits et la gestion des changements informatiques

3. Cadre politique :

• Politique de confidentialité (face au public)
• Politique de conservation et d'élimination des données
• Procédure de réponse en cas de violation
• Politique de gestion des fournisseurs tiers
• Politique de confidentialité des employés

4. Formation et sensibilisation :

• Formation annuelle sur la confidentialité pour tous les employés
• Formation spécifique au rôle pour ceux qui traitent régulièrement des informations personnelles
• Formation des nouveaux collaborateurs à l'onboarding

5. Suivi et vérification :

• Audits réguliers de confidentialité
• Revue et mise à jour périodiques des PIA
• Revue annuelle des politiques de confidentialité
• Surveillance des directives réglementaires du Commissariat au Commissariat, du CAI et des commissaires provinciaux à la protection de la vie privée.

---

Processus d'application et de plainte du Commissariat

Le CPVP (Commissariat à la protection de la vie privée du Canada) fonctionne principalement comme ombudsman en vertu de la LPRPDE : il enquête sur les plaintes et fait des recommandations, mais ne peut pas directement imposer d'amendes. Le respect des recommandations du Commissariat n'est pas légalement obligatoire en vertu de la LPRPDE actuelle, bien que le Commissariat puisse demander à la Cour fédérale une ordonnance du tribunal faisant appliquer ses conclusions.

Processus de réclamation :

1. L'individu dépose une plainte auprès de l'organisation (première étape recommandée)
2. La personne dépose une plainte auprès du Commissariat (aucun contact préalable avec l'organisation n'est requis)
3. Le CPVP tente une résolution rapide ; en cas d'échec, procède à une enquête formelle
4. Le Commissariat publie des conclusions et des recommandations
5. Le Commissariat peut demander à la Cour fédérale des ordonnances exigeant la conformité

Les ordonnances du tribunal peuvent inclure l'obligation de modifier les pratiques, de détruire des informations, de publier des avis et de payer des dommages-intérêts.

Élargissement des pouvoirs du Commissariat en vertu de la LPVPC proposée : Le projet de loi C-27 donnerait au Commissariat le pouvoir d'imposer directement des sanctions administratives pécuniaires, exécutoires par l'intermédiaire du Tribunal de la protection de la vie privée. Les amendes atteindraient 25 millions de dollars, soit 5 % du chiffre d'affaires mondial.

---

Liste de contrôle de conformité à la LPRPDE/Loi 25

• Applicabilité fédérale déterminée (LPRPDE par rapport à la loi provinciale en fonction du secteur et de la province)
• Applicabilité de la loi 25 du Québec évaluée (entreprise collectant des IP dans le cadre de ses activités au Québec)
• Responsable de la confidentialité désigné et habilité
• Politique de confidentialité publiée, à jour, accessible
• Collecte limitée à ce qui est raisonnablement nécessaire (Principe 4)
• Consentement obtenu : express pour les informations sensibles ; significatif implicite pour non sensible
• Enregistrements de consentement conservés
• ÉFVP réalisées pour de nouveaux projets (loi 25 obligatoire ; le Commissariat recommande la LPRPDE)
• Évaluation du transfert transfrontalier terminée (Loi 25 : ÉFVP requise avant le transfert hors province)
• Les contrats sous-traitant/fournisseur incluent des exigences de protection comparables
• Calendrier de conservation des données documenté et mis en œuvre
• Procédure de demande d'accès documentée (réponse sous 30 jours) -[ ] Procédure de demande de correction documentée
• Procédure de réponse aux violations documentée (rapport OPC + notification individuelle)
• Dossiers de violations conservés (24 mois)
• Procédure de notification de violation du CAI pour les opérations au Québec (72 heures préliminaires)
• Formation des employés complétée et documentée
• Transparence décisionnelle automatisée mise en œuvre (Loi 25)

---

Questions fréquemment posées

La LPRPDE s'applique-t-elle à mon entreprise américaine au service de clients canadiens ?

La LPRPDE s'applique aux organisations qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre d'activités commerciales. Si votre entreprise américaine possède un site Web au service des consommateurs canadiens et recueille leurs renseignements personnels, la LPRPDE s'applique probablement, particulièrement à la collecte et à l'utilisation de ces renseignements. La loi 25 du Québec s'applique aux entreprises « exploitant une entreprise au Québec », ce qui peut inclure le maintien d'un site Web accessible aux résidents du Québec à des fins commerciales. Le Commissariat a enquêté sur des entreprises non canadiennes pour violations de la LPRPDE impliquant des données sur des résidents canadiens.

Quelle est la différence entre la LPRPDE et la loi 25 du Québec ?

La loi 25 du Québec est généralement plus stricte que la LPRPDE dans plusieurs domaines clés : (1) Consentement : la loi 25 exige un consentement explicite et spécifique pour la plupart des traitements — la LPRPDE autorise le consentement implicite pour les informations non sensibles ; (2) Transferts transfrontaliers : la loi 25 exige une évaluation formelle des facteurs relatifs à la vie privée avant les transferts hors de la province ; La LPRPDE exige la responsabilisation, mais aucun format d'évaluation prescrit ; (3) Droits : la loi 25 inclut le droit à la désindexation, à la portabilité et à l'opposition au profilage – les droits de la LPRPDE sont plus limités ; (4) Application : la loi 25 permet à la CAI d'imposer des amendes allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial ; Le CPVP de la LPRPDE peut uniquement demander des ordonnances judiciaires ; (5) Évaluations des impacts sur la vie privée : obligatoires en vertu de la loi 25 pour les nouveaux projets ; recommandé mais pas obligatoire en vertu de la LPRPDE.

Comment fonctionne le consentement en vertu de la LPRPDE pour le marketing par courrier électronique ?

Le consentement en vertu de la LPRPDE pour le marketing par courrier électronique est également régi par la Loi canadienne anti-pourriel (LCAP), qui fonctionne parallèlement à la LPRPDE. La LCAP requiert un consentement exprès avant d’envoyer des messages électroniques commerciaux, sauf exception (relation commerciale existante, consentement exprès préalable). Le consentement exprès doit être accepté (et non les cases pré-cochées). Une relation commerciale existante crée un consentement implicite en vertu de la LCAP pendant 2 ans après une transaction. En vertu du principe 3 de la LPRPDE, le consentement significatif à la commercialisation doit identifier clairement le but. Les exigences spécifiques de la LCAP concernant les courriers électroniques commerciaux prévalent sur la LPRPDE en cas de conflit : la conformité à la LCAP satisfait généralement aux exigences de consentement de la LPRPDE à des fins de marketing par courrier électronique.

Quand une évaluation des facteurs relatifs à la vie privée (PIA) est-elle requise ?

En vertu de la LPRPDE, les EFVP sont fortement recommandées par le Commissariat pour les nouveaux programmes ou systèmes qui impliqueront des renseignements personnels – mais cela n’est pas légalement obligatoire. En vertu de la loi 25 du Québec, les EFVP sont obligatoires avant de réaliser tout projet impliquant la collecte, la communication ou l'utilisation de renseignements personnels, et avant de communiquer des renseignements personnels à l'extérieur du Québec. Le CAI publie des lignes directrices PIA et fournit des modèles. Les ministères du gouvernement fédéral sont également tenus de mener des EFVP pour les programmes utilisant les renseignements personnels des Canadiens. En pratique, les PIA devraient être une pratique standard pour tout nouveau produit, fonctionnalité ou processus commercial impliquant une collecte importante de données personnelles.

Qu'est-ce que le « droit à l'oubli » en vertu de la loi 25 du Québec ?

La loi 25 du Québec inclut un droit à la désindexation — parfois appelé droit à l'oubli ou droit à l'oubli. Les particuliers peuvent demander à une entreprise de cesser de diffuser des informations personnelles ou de désindexer tout lien hypertexte attaché à leur nom si la diffusion : leur cause un préjudice et viole la loi ; est excessif, non pertinent ou a fait l’objet d’une collecte illégale ; n'est plus pertinent aux fins pour lesquelles elles ont été collectées ; ou la personne est mineure. Cela diffère du droit à l'effacement du RGPD : il vise spécifiquement la désindexation des hyperliens, et pas seulement la suppression des données sous-jacentes.

---

Prochaines étapes

Le paysage canadien de la protection de la vie privée est plus complexe qu'il n'y paraît de l'extérieur : la LPRPDE fédérale, la loi 25 du Québec, les lois provinciales PIPA et la réforme proposée de la LPPC créent un environnement de conformité à plusieurs niveaux. Pour les entreprises numériques ayant des opérations ou des utilisateurs au Canada, l’élaboration d’un programme complet de protection de la vie privée qui satisfait à la LPRPDE comme référence et à la loi 25 comme barre la plus élevée est l’approche la plus efficace.

L'équipe d'ECOSIRE aide les entreprises à s'adapter aux exigences canadiennes en matière de confidentialité, à concevoir des plateformes numériques respectueuses de la vie privée dès la conception et à mettre en œuvre des systèmes de gestion du consentement qui satisfont aux exigences de la LPRPDE et de la loi 25 du Québec.

En savoir plus : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. La loi canadienne sur la protection de la vie privée évolue grâce à la législation fédérale et à la mise en œuvre de la loi 25 du Québec. Consultez un conseiller juridique canadien qualifié pour obtenir des conseils spécifiques à votre organisation.