Projet de loi C-36 : le remplacement de PIPEDA au Canada

Par Rodrigo Lamadrid 9 juillet, 2026

Le 15 juin 2026, la ministre de l’Intelligence artificielle et de l’Innovation numérique du Canada a déposé le projet de loi C-36, la réforme la plus importante proposée pour la loi fédérale sur la vie privée dans le secteur privé depuis plus de vingt-cinq ans, selon le document d’information officiel du gouvernement du Canada.

S’il est adopté, ce projet de loi remplacerait les dispositions actuelles sur la vie privée par une nouvelle loi, créerait un régulateur plus puissant, et augmenterait considérablement les pénalités, rapprochant le Canada du modèle d’application à la RGPD déjà courant chez ses partenaires commerciaux.

Dans cet article, nous expliquons ce qu’il changerait, comment il se compare à la loi actuelle aujourd’hui, à quoi ressemblerait le nouveau régulateur, et ce que les organisations devraient faire pendant qu’il chemine au Parlement.

Qu’est-ce que le projet de loi C-36?

Il édicterait la Loi sur la protection de la vie privée et des données des consommateurs (LPVPDC), abrogeant les dispositions de PIPEDA sur la vie privée et renommant ses dispositions restantes sur les documents électroniques en loi distincte.

Il s’agit de la troisième tentative de ce genre de réforme pour le projet de loi C-36 en six ans, après les projets de loi C-11 (2020) et C-27 (2022), tous deux morts au Feuilleton avant de devenir loi lors de la dissolution ou de la prorogation du Parlement.

Contrairement au projet de loi C-27, qui combinait la réforme de la vie privée avec un vaste régime de réglementation de l’IA, celui-ci ne traite que la vie privée, laissant les règles propres à l’IA à une législation distincte encore à l’étude en comité parlementaire.

La portée demeure globalement proche de celle de la loi actuelle : les organisations du secteur privé exerçant une activité commerciale partout au Canada, les employeurs de compétence fédérale, et toute organisation étrangère traitant des renseignements personnels de Canadiens.

En quoi le projet de loi C-36 diffère de PIPEDA

Les règles de base sur le consentement demeurent globalement semblables à ce qu’exige déjà PIPEDA. Les changements les plus importants concernent la façon de documenter et de prouver la conformité :

  • Les programmes de gestion de la vie privée exigés par le projet de loi C-36 deviendraient obligatoires, avec des politiques documentées, des mesures de sécurité et un responsable désigné, plutôt qu’un simple principe général de « mesures de sécurité ».
  • Une exception d’« intérêt légitime » permettrait d’utiliser des renseignements personnels sans consentement pour des fins définies, à condition que l’intérêt l’emporte sur l’impact pour la personne et que l’évaluation soit documentée.
  • Une exception distincte d’« activité commerciale » couvrirait des cas comme fournir un service demandé, assurer la sécurité des systèmes, ou prévenir la fraude, sans consentement requis à chaque fois.
  • Les systèmes de décision automatisée, incluant l’apprentissage automatique et l’analyse prédictive, donneraient aux personnes le droit de demander une explication en langage clair d’une décision qui les touche.
  • Les renseignements personnels des enfants seraient traités comme sensibles par défaut, avec des règles de traitement plus strictes.
  • Les transferts transfrontaéers exigeraient une évaluation documentée des facteurs relatifs à la vie privée avant que les renseignements ne quittent le Canada.
  • Un droit formel à la suppression permettrait à une personne de demander qu’une organisation se défasse de ses renseignements personnels, sous réserve d’exceptions définies.
  • Un droit à la mobilité des données, absent de PIPEDA et propre au projet de loi C-36, permettrait aux Canadiens de transférer en toute sécurité leurs renseignements personnels informatisés d’une organisation à une autre, lorsqu’un cadre réglementaire s’applique.
  • La loi viserait expressément à prévenir les usages abusifs des renseignements personnels, y compris l’établissement inapproprié de tarifs fondés sur la surveillance (« surveillance pricing »).
  • Des mécanismes de coréglementation, comme des codes de pratique et des programmes de certification, encourageraient le respect volontaire de la loi.
  • La loi prévoirait une approche proportionnée de la conformité, exigeant que le régulateur tienne compte des défis particuliers des petites et moyennes entreprises.
  • Les renseignements « dépersonnalisés » seraient formellement distingués des renseignements « anonymisés », les premiers demeurant assujettis aux protections de la loi.

La loi encadrerait aussi plus explicitement les technologies d’amélioration de la protection de la vie privée (comme la dépersonnalisation et l’anonymisation), afin de faciliter leur utilisation dans la recherche et le développement de produits novateurs.

En pratique, le projet de loi C-36 fait passer le modèle de conformité, aujourd’hui basé sur les grands principes de PIPEDA que chaque organisation interprète elle-même, vers un régime plus prescriptif et documenté, plus proche de ce qu’exigent déjà des lois inspirées du RGPD ailleurs dans le monde.

Le document d’information du gouvernement encadre aussi la LPVPDC comme un outil de souveraineté numérique et de souveraineté des données, exigeant des organisations qu’elles mettent en place des mesures de sécurité appropriées et documentées lorsqu’elles font appel à des fournisseurs de services tiers, y compris à l’étranger et dans l’infonuagique.

Le nouveau régulateur : la Commission de la sécurité numérique et de la protection des données

Plutôt que d’élargir le rôle du Commissariat à la protection de la vie privée existant, il transférerait la surveillance de la vie privée dans le secteur privé à un nouvel organisme créé spécifiquement à cette fin : la Commission de la sécurité numérique et de la protection des données du Canada.

Cette Commission superviserait également la Loi sur la sécurité numérique créée par le projet de loi C-34, réunissant ainsi sous un régulateur unique l’application de la vie privée et de la sécurité en ligne au Canada.

Elle disposerait de véritables pouvoirs : vérifications, ordonnances de conformité contraignantes, et la capacité d’imposer des pénalités directement, sans devoir passer par un renvoi devant un tribunal.

L’application commencerait par un avis de violation émis par le commissaire, sujet à révision, avec un droit d’appel devant la Cour fédérale en dernier recours.

Cette structure à paliers, propre au projet de loi C-36, ressemble à la façon dont le Bureau de la concurrence applique ses ordonnances et pénalités, plutôt qu’au modèle axé sur les plaintes que PIPEDA utilise aujourd’hui.

Le modèle d’application proposé rappelle davantage celui de la Loi 25 québécoise, où le régulateur provincial peut aussi imposer des sanctions administratives sans devoir passer systématiquement par les tribunaux ordinaires.

Pénalités prévues par le projet de loi C-36

C’est ici que le contraste avec la loi actuelle est le plus marqué et le plus significatif pour les organisations. Les pénalités administratives pourraient atteindre le plus élevé entre 10 millions de dollars canadiens et 3 % du chiffre d’affaires mondial brut de l’organisation fautive.

Pour les infractions les plus graves, comme le non-respect sciemment des obligations de déclaration ou d’une ordonnance formelle de la Commission, les pénalités sur mise en accusation pourraient atteindre le plus élevé entre 25 millions de dollars et 5 % du chiffre d’affaires mondial brut de l’entreprise concernée, une somme considérable.

Le projet de loi C-36 introduirait aussi un droit d’action privé, permettant à une personne de poursuivre directement pour dommages après un constat de violation, ce que la loi actuelle ne permet pas.

Échéancier : où en est le projet de loi C-36

Il a franchi la première lecture le 15 juin 2026. Le Parlement a ajourné pour l’été le 18 juin, et le débat en deuxième lecture devrait commencer à la session d’automne, où les partis d’opposition devraient proposer des amendements sur l’échéancier d’application.

Il en est encore à un stade précoce et pourrait toujours être amendé avant son adoption, et son entrée en vigueur dépendrait aussi de celle du projet de loi C-34 connexe, puisque les deux partagent un même régulateur.

Tant qu’il n’est pas adopté, PIPEDA demeure la loi en vigueur, et les organisations doivent continuer de s’y conformer telle qu’elle existe aujourd’hui.

Explication complète du projet de loi C-36 au Canada, en bref

Suffisamment de détails juridiques se sont accumulés ci-dessus pour qu’un court récapitulatif soit utile. Si vous ne retenez que quatre choses de cette explication complète du projet de loi C-36 au Canada, que ce soit celles-ci :

  • Il remplacerait les dispositions actuelles par une nouvelle loi, la LPVPDC, mais celle-ci demeure en vigueur jusque-là.
  • Il crée un nouveau régulateur plus puissant, doté de pouvoirs de pénalité directs, plutôt que de dépendre de la Cour fédérale.
  • Les pénalités passeraient d’un plafond de 100 000 $ CA à jusqu’à 25 millions de dollars ou 5 % du chiffre d’affaires mondial.
  • Il n’a pas encore été adopté. Au moment d’écrire ces lignes, il n’a franchi que la première lecture à la Chambre des communes.

Foire aux questions sur le projet de loi C-36

Le projet de loi C-36 est-il toujours en vigueur au Canada?

Il n’est pas encore en vigueur. Au moment d’écrire ces lignes, il n’a franchi que la première lecture et attend le débat en deuxième lecture; il n’a aucune force de loi tant qu’il n’a pas reçu la sanction royale et que ses dispositions ne sont pas mises en vigueur par décret.

La LPRPDE, la loi qu’il remplacerait, demeure pleinement en vigueur et applicable entre-temps, et les organisations devraient continuer de la traiter comme leur base de conformité.

Le projet de loi C-36 a-t-il été adopté?

Non, le projet de loi C-36 n’a pas encore été adopté et demeure loin d’être final, contrairement à PIPEDA, en vigueur depuis déjà plus de vingt ans. Il doit encore franchir le reste du débat en deuxième lecture, l’étude détaillée en comité article par article, la troisième lecture à la Chambre des communes, puis tout le processus législatif au Sénat avant de recevoir la sanction royale.

Étant donné que les projets de loi C-11 et C-27 sont tous deux morts à des étapes antérieures à celle-ci, l’adoption n’est pas garantie, même si le gouvernement a signalé publiquement qu’il s’agit d’un dossier prioritaire pour la session parlementaire d’automne qui débute en septembre.

L’étude en comité est habituellement l’étape où se produisent les amendements les plus substantiels, avec témoignages d’experts et mémoires des parties prenantes, si bien que la version qui sera finalement adoptée, si elle l’est, pourrait différer de manière réelle du texte déposé en juin dernier.

Qu’est-ce que le « Bill 36 Canada »?

« Bill 36 Canada » et « projet de loi C-36 » désignent le même projet de loi fédéral, celui qui remplacerait PIPEDA; le « C » indique simplement qu’il provient de la Chambre des communes, contrairement à un projet de loi du Sénat, qui porterait plutôt le préfixe « S ».

Les numéros de projets de loi sont aussi réutilisés d’une session parlementaire à l’autre, contrairement au nom de la loi actuelle qui reste identique et inchangé depuis son adoption initiale en 2000, alors une recherche rapide sur un ancien « C-36 » pourrait bien faire ressortir une législation totalement sans rapport, provenant d’une session antérieure du Parlement.

Que faire pendant que le projet de loi C-36 chemine au Parlement

Les directives officielles et le texte législatif final se font toujours attendre, mais ce n’est absolument pas une raison valable pour rester complètement passif face à ce changement réglementaire très important à venir, même incertain. Quelques mesures concrètes valent vraiment la peine d’être prises dès maintenant, pendant que le dossier chemine encore au Parlement :

  • Continuer de respecter scrupuleusement vos obligations actuelles sous PIPEDA; rien ne change avant que la nouvelle loi ne reçoive la sanction royale et n’entre en vigueur.
  • Commencer dès maintenant à documenter un programme formel de gestion de la vie privée, puisque la nouvelle loi en ferait une exigence nommée plutôt qu’implicite.
  • Réviser les contrats et les relations avec les fournisseurs impliquant des transferts transfrontaéers de données, en prévision de l’exigence d’évaluation à venir.
  • Si vous utilisez des outils de décision automatisée sur des données de personnes, commencer à préparer des explications en langage clair du fonctionnement de ces systèmes.
  • Traiter dès aujourd’hui les données des enfants comme des renseignements sensibles, avant que cela ne devienne une exigence formelle.
  • Surveiller les amendements en comité une fois le débat en deuxième lecture amorcé à l’automne, puisque les détails de la loi pourraient encore changer avant la sanction royale.

Comment Mindsec vous aide

Mindsec est une plateforme d’automatisation de la conformité qui aide les organisations à bâtir et à documenter les programmes de vie privée et de sécurité qu’exige ce genre de changement réglementaire, avec un soutien pour PIPEDA, ISO 27001, NIST CSF, SOC 2, et une correspondance croisée avec une douzaine d’autres cadres normatifs.

Réservez une démonstration de 15 minutes pour voir comment Mindsec garde votre organisation prête pour la suite.

Pourquoi caler? Réservez un appel!

Ne laissez pas le respect des règles au hasard ou à la fatalité. Contactez les experts de notre équipe pour répondre à vos doutes et découvrir toutes les façons dont Mindsec peut vous aider.

Réservez un appel