Le 15 juin 2026, l’honorable Evan Solomon, ministre de l’Intelligence artificielle et de l’Innovation numérique, a déposé le projet de loi C-36, Loi visant à protéger la vie privée et les données des consommateurs, à la Chambre des communes.

Il s’agit de l’initiative la plus récente, et très attendue, du gouvernement du Canada pour moderniser le cadre fédéral de protection des renseignements personnels dans le secteur privé.

Le ministre Solomon a présenté ce projet de loi comme une avancée majeure, soulignant que « le moment est venu » de procéder à une réforme et de veiller à ce que la protection des renseignements personnels devienne le fondement de l’innovation responsable en matière d’IA et de la confiance du public : il s’agit d’un pilier central de la stratégie L’IA pour tous, récemment annoncée par le gouvernement.

À retenir

  • Le projet de loi prévoit la création d’un nouvel organisme de réglementation : la Commission canadienne de la sécurité numérique et de la protection des données (la Commission). Aucun modèle de tribunal n’est proposé comme dans le cadre du projet de loi C-27. En fait, le projet de loi C-36 envisage que le nouveau commissaire assumera l’autorité en matière de réglementation de la protection des renseignements personnels dans le secteur privé, et remplacera ainsi le Commissariat à la protection de la vie privée du Canada à cet égard.
  • Le projet de loi instaure un droit fondamental à la vie privée.
  • Le projet de loi ne contient pas de dispositions législatives propres à l’IA s’apparentant à celles de la Loi sur l’intelligence artificielle et les données, qui constituait la partie 3 du projet de loi C-27.
  • Le projet de loi promulgue une nouvelle loi distincte, la Loi visant à protéger la vie privée et les données des consommateurs. Il vient également modifier la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui devient la Loi sur les documents électroniques. Les dispositions relatives à la protection des renseignements personnels sont ainsi supprimées de la LPRPDE par l’abrogation de sa partie 1.

Contexte : le projet de loi C-27 et le cheminement vers la réforme

Le projet de loi C-27 a été présenté en première lecture le 16 juin 2022, sous la forme d’une loi omnibus sur l’économie numérique comprenant trois parties : la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (TPRPD) et la Loi sur l’intelligence artificielle et les données (LIAD). Le Parlement ayant été prorogé en janvier 2025, le projet de loi est mort au feuilleton.

Le projet de loi C-36 témoigne d’un choix délibéré de dissocier la réforme de la protection des renseignements personnels de la réglementation en matière d’IA. En effet, il s’abstient de présenter une loi sur l’IA en parallèle, une approche que les intervenants avaient anticipée et encouragée. Le projet de loi C-36 abandonne également le concept antérieur de tribunal responsable de superviser l’application de la loi.

Contenu et portée politique

Le projet de loi prévoit :

  • La reconnaissance législative de la vie privée en tant que droit fondamental, qui sert de principe d’interprétation fondamental dans l’ensemble de la loi.
  • Une augmentation importante des sanctions en cas de non-conformité, qui pourront atteindre un maximum de 10 M$ ou 3 % des revenus bruts mondiaux. Leur application sera assurée par la nouvelle Commission. Ces sanctions s’ajoutent aux nouveaux pouvoirs d’exécution du Commissaire, notamment des pouvoirs d’enquête, des sanctions administratives pécuniaires et des mécanismes de responsabilisation renforcés.
  • Les renseignements personnels sur les enfants sont classés comme étant de l’information sensible et font l’objet d’une protection renforcée. Cette mesure s’inscrit dans la foulée du projet de loi C-34 (Loi sur les médias sociaux sécuritaires), qui traite de la responsabilité des plateformes en matière de sécurité des enfants sur le Web et dont le Commissaire assurera également la surveillance s’il est adopté.
  • Un droit à la suppression (élimination) des renseignements personnels, que le ministre Solomon a présenté comme un outil permettant de lutter contre les hypertrucages et le contenu généré par l’IA sans contentement.
  • Une transparence accrue sur les prises de décisions automatisées, qui oblige les entreprises à divulguer l’information sur les systèmes automatisés, les critères utilisés et les moyens dont disposent les personnes pour contester les décisions.
  • Des droits renforcés en matière de mobilité des données, qui permettent aux particuliers de demander le transfert de leurs renseignements personnels vers une autre organisation.
  • Des modifications au cadre relatif au consentement, dont la réintroduction de « l’intérêt légitime » comme exception à l’obligation d’obtenir le consentement pour la collecte, l’utilisation et la communication de renseignements personnels, comme proposé précédemment dans le projet de loi C-27.
  • L’obligation d’instaurer et de maintenir un « programme de gestion de la protection des renseignements personnels » adapté (comprenant des mesures de sécurité, un processus de traitement des plaintes et des demandes d’accès, de la formation pour le personnel et des politiques et procédures), et de fournir les éléments de ce programme à la Commission sur demande. Les organisations doivent également désigner une ou plusieurs personnes responsables de veiller au respect de la Loi.

Lien avec le projet de loi C-34 (Loi sur les médias sociaux sécuritaires)

Le projet de loi C-36 s’inscrit dans un cadre législatif plus vaste en voie de prendre forme, qui comprend le projet de loi C-34, la Loi sur les médias sociaux sécuritaires (première lecture le 10 juin 2026). Ce dernier propose une Loi sur la sécurité numérique, dont l’application serait confiée à la commission établie par le projet de loi C-36. Le projet de loi C-34 traite de la responsabilité des plateformes, des préjudices en ligne et de la sécurité des enfants, et prévoit des sanctions pouvant atteindre 5 % des revenus bruts mondiaux.

Ensemble, la Loi visant à protéger la vie privée et les données des consommateurs et la Loi sur les médias sociaux sécuritaires forment un programme législatif initial à deux volets, axé sur la confiance numérique et la gouvernance des données, et réglementé par un seul cadre de surveillance.

À surveiller

  • L’architecture d’application : le nouveau modèle de la Commission consolide la surveillance. Les détails sur son pouvoir de rendre des ordonnances et d’imposer des sanctions administratives pécuniaires seront essentiels pour la planification de la conformité.
  • L’interaction avec les provinces : le projet de loi préserve le mécanisme d’exemption pour « similarité substantielle », qui permet au gouverneur en conseil d’exempter les organisations assujetties à des lois provinciales équivalentes (p. ex., la loi sur la protection de la vie privée au Québec, en Alberta ou en Colombie-Britannique).
  • La réglementation de l’IA : la LIAD étant exclue, il faut s’attendre à un cadre législatif interconnecté régissant divers aspects du développement et du déploiement de l’IA, en lien avec les autres piliers de la stratégie L’IA pour tous.

Restez à l’affût pour obtenir d’autres mises à jour sur le projet de loi C-36 de la part de l’équipe Cybersécurité et protection des données de Gowling WLG.