LPRPDE : la loi fédérale canadienne sur les renseignements personnels

Par Rodrigo Lamadrid 8 juillet, 2026

La LPRPDE s’applique presque certainement à votre organisation si celle-ci recueille, utilise ou communique des renseignements personnels au Canada, ou traite les données de personnes résidant au pays même depuis l’étranger, dans le cadre d’une activité commerciale quelconque.

Adoptée en 2000, cette loi fédérale (connue en anglais sous le nom de PIPEDA) demeure la principale loi sur la protection des renseignements personnels dans le secteur privé au Canada, malgré les nombreuses réformes proposées depuis son adoption initiale il y a plus de deux décennies.

Dans cet article, nous expliquons en profondeur ce qu’exige cette loi, qui doit s’y conformer, les pénalités prévues en cas de manquement, comment elle se distingue de la Loi 25 du Québec, et comment elle s’apprête à changer avec le dépôt récent d’un nouveau projet de loi fédéral au Parlement.

Qu’est-ce que la LPRPDE?

Officiellement la Loi sur la protection des renseignements personnels et les documents électroniques, aussi consultable intégralement et gratuitement sur CanLII, cette loi sur la protection des renseignements personnels Canada encadre la façon dont les organisations du secteur privé recueillent, utilisent et communiquent des renseignements personnels dans le cadre d’activités commerciales.

Cette loi, communément appelée la LPRPDE dans les documents gouvernementaux bilingues, est connue en anglais sous l’acronyme PIPEDA (Personal Information Protection and Electronic Documents Act), les deux noms désignant la même loi fédérale.

Elle est entrée en vigueur le 13 avril 2000, et son application s’est faite en trois étapes distinctes : les industries de compétence fédérale en 2001, le secteur de la santé en 2002, puis toute organisation exerçant une activité commerciale au pays dès 2004.

Elle est administrée par le Commissariat à la protection de la vie privée du Canada, qui enquête sur les plaintes et peut renvoyer les cas graves à la Cour fédérale.

Cette loi a été modifiée à plusieurs reprises depuis son adoption initiale. La modification la plus importante et la plus significative, la Loi sur la protection des renseignements personnels numériques de 2015, a ajouté des obligations de déclaration des atteintes et a renforcé considérablement les pouvoirs d’application du Commissariat.

Obligations de déclaration des atteintes sous la LPRPDE

Depuis les modifications de 2015, la LPRPDE oblige toute organisation à déclarer au Commissariat une atteinte aux mesures de sécurité touchant des renseignements personnels si celle-ci présente un risque réel de préjudice grave pour une personne.

Le préjudice grave inclut, par exemple, le vol d’identité, une perte financière, une atteinte à la réputation, ou la perte d’un emploi ou d’une occasion d’affaires.

Si ce seuil est atteint, l’organisation doit aussi aviser directement les personnes touchées, et conserver un registre de chaque atteinte pendant au moins 24 mois, même celles qui n’atteignent pas ce seuil.

Le Commissariat fournit un formulaire officiel de déclaration des atteintes, et omettre de déclarer une atteinte admissible constitue en soi une infraction distincte.

Qui doit se conformer à la LPRPDE?

Cette loi s’applique à toute organisation du secteur privé qui recueille, utilise ou communique des renseignements personnels dans le cadre d’une activité commerciale, peu importe où elle est établie.

Cela inclut :

  • Les entreprises de compétence fédérale (banques, transporteurs aériens, télécommunications et radiodiffuseurs), toujours assujetties à cette loi.
  • Toute organisation exerçant une activité commerciale interprovinciale ou internationale.
  • Les entreprises étrangères qui recueillent des renseignements personnels de personnes au Canada.
  • Les employeurs, en ce qui concerne les renseignements personnels des employés d’entreprises de compétence fédérale.

Ces catégories couvrent la grande majorité des organisations qui traitent des renseignements personnels au Canada, mais la LPRPDE n’est pas la seule loi qui s’applique : le Québec, l’Alberta et la Colombie-Britannique ont chacun leur propre régime provincial.

La LPRPDE et la Loi 25 du Québec

Au Québec, c’est la loi 25 sur la protection des renseignements personnels, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui s’applique plutôt de cette loi pour les activités qui restent entièrement à l’intérieur de la province.

Adoptée en septembre 2021 et entrée en vigueur graduellement entre 2022 et 2024, la Loi 25 modifie principalement la Loi sur la protection des renseignements personnels dans le secteur privé, avec des règles inspirées du RGPD européen : consentement renforcé, droit à la portabilité, et un responsable de la protection des renseignements personnels obligatoire.

La Commission d’accès à l’information du Québec supervise l’application de la Loi 25, plutôt que le Commissariat fédéral.

L’Alberta et la Colombie-Britannique ont chacune leur propre loi provinciale substantiellement similaire (la Personal Information Protection Act), qui s’applique de la même façon que la Loi 25 au Québec.

L’Ontario n’a pas de loi générale substantiellement similaire; la LPRPDE continue donc de s’appliquer à la plupart des activités commerciales dans cette province, sauf pour les renseignements de santé, couverts par la loi ontarienne PHIPA. Peu importe la province, elle continue de s’appliquer aux flux de données interprovinciaux et internationaux, ainsi qu’aux entreprises de compétence fédérale.

Les 10 principes relatifs à la protection des renseignements personnels

Toute organisation assujettie à cette loi doit suivre 10 principes, énoncés à l’annexe 1 :

  • La responsabilisation : une personne désignée doit répondre de la conformité.
  • La détermination des fins de la collecte, avant ou au moment où elle a lieu.
  • Le consentement de la personne, obtenu de manière significative.
  • La limitation de la collecte à ce qui est nécessaire aux fins déterminées.
  • La limitation de l’utilisation, de la communication et de la conservation à ces mêmes fins.
  • L’exactitude, en maintenant les renseignements aussi à jour que l’exige leur utilisation.
  • Les mesures de sécurité proportionnelles à la sensibilité des renseignements.
  • La transparence des politiques et pratiques, dans un format compréhensible.
  • L’accès individuel, permettant aux personnes de consulter et de corriger leurs renseignements.
  • La possibilité de contester la conformité, donnant aux personnes un moyen de questionner les pratiques d’une organisation.

Pénalités et application de la LPRPDE

Le Commissariat n’impose pas d’amendes directement. Il enquête sur les plaintes, peut publier ses conclusions, négocier des ententes de conformité, ou renvoyer une affaire à la Cour fédérale.

Les pénalités imposées par un tribunal en vertu de la LPRPDE peuvent atteindre jusqu’à 100 000 $ CA par infraction, en plus des dommages réputationnels et des recours civils possibles.

PIPEDA s’apprête à changer : le projet de loi C-36

Le 15 juin 2026, le gouvernement fédéral a déposé le projet de loi C-36, qui édicterait la Loi sur la protection de la vie privée et des données des consommateurs, remplaçant entièrement les dispositions de cette loi sur la vie privée.

Pour un survol complet de ce qui changerait, consultez : Projet de loi C-36 : le remplacement de PIPEDA au Canada.

Comment amorcer votre conformité

  • Confirmer si cette loi s’applique à votre organisation, ou si la Loi 25, la loi albertaine ou celle de la C.-B. s’applique plutôt.
  • Dresser l’inventaire des renseignements personnels que vous recueillez, où ils se trouvent, et pourquoi.
  • Réviser vos mécanismes de consentement en fonction des 10 principes.
  • Documenter vos mesures de sécurité, et désigner un responsable de la conformité.
  • Préparer un processus de réponse aux atteintes à l’avance.

Comment Mindsec vous aide à vous conformer

Mindsec est une plateforme d’automatisation de la conformité qui aide les organisations à documenter, surveiller et prouver leurs contrôles de confidentialité et de sécurité, avec un soutien pour la LPRPDE, la Loi 25, ISO 27001, NIST CSF, SOC 2, et une correspondance croisée avec une douzaine d’autres cadres normatifs.

Réservez une démonstration de 15 minutes pour voir comment Mindsec garde votre organisation prête pour un audit.

Pourquoi caler? Réservez un appel!

Ne laissez pas le respect des règles au hasard ou à la fatalité. Contactez les experts de notre équipe pour répondre à vos doutes et découvrir toutes les façons dont Mindsec peut vous aider.

Réservez un appel