Au Canada, la protection des données personnelles ne dépend pas d’un organisme unique, mais d’un partage de compétences entre le gouvernement fédéral et les provinces. Contrairement au modèle français centralisé autour de la CNIL, le système canadien superpose plusieurs autorités et législations selon la nature de l’organisation et son lieu d’activité.
Le Commissariat à la protection de la vie privée du Canada (CPVP)
Le CPVP est l’autorité fédérale en matière de protection des données. Cet organisme indépendant du parlement, protège et défend le droit à la vie privée.
Ses fonctions principales incluent :
- Enquêter sur les plaintes liées à l’utilisation de données personnelles
- Contrôler la conformité des organisations aux lois fédérales
- Publier des recommandations et des lignes directrices
- Conseiller le parlement et les institutions publiques
- Sensibiliser le public à la protection des renseignements personnels
Le CPVP a autorité sur les secteurs sous juridiction fédérale, peu importe la province : banques, télécoms, transport aérien et ferroviaire. Il gère aussi les transferts de données interprovinciaux ou internationaux. En revanche, les entreprises actives exclusivement à l’intérieur d’une seule province relèvent, dans certains cas, des autorités provinciales compétentes.
Les autorités provinciales responsables de la protection des données
Lorsqu’une entreprise opère uniquement dans une province dotée d’une loi équivalente à la loi fédérale, ce sont les autorités locales qui prennent le relais. Trois provinces sont dotées de législations autonomes : Québec, Ontario et Colombie-Britannique.
Commission d’accès à l’information du Québec (CAI)
La CAI est l’autorité québécoise chargée de la protection des renseignements personnels. Elle remplit trois grandes missions :
- Surveiller l’application des lois sur les données personnelles dans le secteur public et privé
- Traiter les plaintes des citoyens et instruire les dossiers de non-conformité
- Accompagner les organisations dans leur mise en conformité avec la législation québécoise
La CAI peut infliger aux entreprises des amendes allant jusqu’à 25 millions $ ou 4 % du chiffre d’affaires.
Information and Privacy Commissioner de l’Ontario
L’IPC de l’Ontario supervise l’accès à l’information et la protection des données dans le secteur public et la santé, et dans certains cas le privé.
Office of the Information and Privacy Commissioner de la Colombie-Britannique
La Colombie-Britannique dispose de son propre régulateur, l’Office of the Information and Privacy Commissioner (OIPC BC). Cet organisme supervise l’application de la Personal Information Protection Act (PIPA BC). Il peut mener des enquêtes, formuler des recommandations et rendre des ordonnances contraignantes à l’égard des organisations privées et des institutions publiques de la province.
Autres autorités provinciales et territoriales
Au-delà des trois provinces dotées de législations autonomes, d’autres structures existent à travers le pays :
- Information and Privacy Commissioner de l’Alberta qui supervise la PIPA albertaine
- Autorités de protection des renseignements personnels au Manitoba, compétentes pour le secteur public provincial
- Commissaires provinciaux dans les provinces atlantiques (Nouveau-Brunswick, Nouvelle-Écosse, Île-du-Prince-Édouard, Terre-Neuve-et-Labrador). Ils appliquent principalement la LPRPDE côté privé et leurs propres lois côté public
Des organismes équivalents sont aussi présents dans les territoires du Nord (Yukon, Territoires du Nord-Ouest, Nunavut).
Quelles lois encadrent la protection des données personnelles au Canada ?
Les principales lois fédérales
La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques), en vigueur depuis 2001, est la référence nationale pour le secteur privé. Elle encadre la collecte, l’utilisation et la communication des renseignements personnels dans le cadre d’activités commerciales.
À ses côtés, la Loi sur la protection des renseignements personnels, adoptée en 1983, s’applique aux institutions fédérales. Elle régit le traitement des données détenues par les ministères et organismes publics du gouvernement fédéral.
Les lois provinciales importantes
Trois provinces ont adopté des lois jugées essentiellement similaires à la LPRPDE par le gouvernement fédéral, ce qui leur permet de s’y substituer pour les activités provinciales :
- La Loi 25 au Québec, qui a modernisé en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) pour l’aligner sur les standards du RGPD européen
- La Personal Information Protection Act (PIPA) de l’Alberta, en vigueur depuis 2004
- La Personal Information Protection Act (PIPA) de la Colombie-Britannique, également en vigueur depuis 2004
Comment savoir quelle autorité est compétente ?
L’autorité compétente dépend de l’activité et de la localisation de l’organisation. En règle générale :
- Une entreprise active dans plusieurs provinces relève du CPVP
- Une entreprise dont les activités se limitent à une seule province (dotée d’une loi provinciale reconnue) relève de l’autorité provinciale
- Un organisme public fédéral répond devant le CPVP
- Un organisme public provincial dépend du commissaire de sa province.
Se tromper d’autorité peut rallonger les délais ou rendre la plainte irrecevable. Par ailleurs, consultez notre guide pour en savoir plus sur la façon de protéger vos données personnelles en ligne.
Que faire en cas de problème lié à la protection des données personnelles ?
- Contacter directement l’organisation responsable du traitement de vos données pour signaler le problème ou demander des corrections
- Demander des explications écrites ou la rectification des informations incorrectes qui vous concernent
- Déposer une plainte formelle auprès de l’autorité compétente (CPVP ou commissaire provincial selon les cas)
Les autorités canadiennes de protection des données disposent de pouvoirs d’enquête, de médiation, de recommandation et de sanction.
Les défis actuels de la protection des données au Canada
Les défis majeurs
La croissance des volumes de données collectées par les entreprises et les plateformes numériques dépasse ce que les textes législatifs des années 1980-2000 avaient anticipé. Le développement de l’intelligence artificielle complique davantage la situation, car les systèmes d’IA utilisent des données personnelles à grande échelle pour entraîner leurs modèles.
Les transferts internationaux de données posent également des questions complexes sur la juridiction applicable et sur le niveau de protection garanti hors du Canada. De plus, des pratiques comme le suivi publicitaire, la reconnaissance faciale ou l’analyse comportementale échappent encore partiellement aux cadres réglementaires existants.
Évolution du cadre réglementaire
Le Canada a engagé une réforme de son cadre législatif. Le projet de loi C-27, déposé en 2022, visait à remplacer la LPRPDE par la Loi sur la protection de la vie privée des consommateurs et à introduire la Loi sur l’intelligence artificielle et les données (LIAD), une première au Canada.
Ce texte aurait aussi créé un tribunal dédié à la protection des renseignements personnels et des données. Cependant, la prorogation du Parlement annoncée en janvier 2025 a mis fin à ce projet avant son adoption. Le projet de loi C-27 est donc mort, mais démontre la volonté politique de moderniser la législation fédérale.
Le prochain gouvernement devra trancher sur une nouvelle version de ce texte, avec une attention particulière portée à l’IA et aux standards internationaux, notamment ceux du RGPD européen.