Essayez l'outil gratuitement

Essayer
Gouvernance
Veille6 min de lecture

Projet de loi C-36 : la réforme fédérale de la vie privée et ses effets sur la Loi 25 du Québec

Déposé le 15 juin 2026, le projet de loi C-36 crée la Loi sur la protection de la vie privée et des données des consommateurs et reprend plusieurs concepts de la Loi 25. Décryptage des enjeux pour le Québec.

FB
Florian Brobst
Fondateur & Directeur · 26 juin 2026

Le projet de loi C-36, déposé en première lecture à la Chambre des communes le 15 juin 2026 par le ministre de l'Intelligence artificielle et de l'Innovation numérique Evan Solomon, édicte la Loi sur la protection de la vie privée et des données des consommateurs (LPVPDC, en anglais Protecting Privacy and Consumer Data Act). Cette troisième tentative de réforme de la vie privée du secteur privé fédéral remplace la partie 1 de la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) et reprend plusieurs concepts déjà familiers aux entreprises québécoises soumises à la Loi 25.

Pourquoi un troisième projet de loi en six ans ?

Le Canada cherche depuis 2020 à moderniser ses règles de protection des renseignements personnels dans le secteur privé. Deux tentatives ont échoué : le projet de loi C-11 en 2020, puis le projet de loi C-27 en 2022, ce dernier mort au feuilleton après avoir stagné en comité. Le projet de loi C-27 regroupait la réforme de la vie privée et la Loi sur l'intelligence artificielle et les données (LIAD), une approche jugée trop large.

Le ministre Solomon a confirmé que la LIAD ne serait pas réintroduite. Le projet de loi C-36 se concentre donc uniquement sur la vie privée, et la gouvernance de l'IA est traitée séparément, notamment par la Stratégie nationale en IA « L'IA pour tous » dévoilée le 4 juin 2026. Ce découplage répond directement aux critiques formulées contre l'approche groupée du projet de loi C-27.

Que change concrètement la LPVPDC ?

La nouvelle loi conserve un régime fondé sur le consentement, mais ajoute plusieurs obligations qui rapprochent le cadre fédéral du Règlement général sur la protection des données (RGPD) européen et de la Loi 25 québécoise. Les principaux changements sont les suivants :

  1. Une norme d'anonymisation fondée sur le risque : l'information est anonymisée s'il n'existe « aucun risque raisonnablement prévisible » de réidentification, et non plus une impossibilité absolue.
  2. Une évaluation des facteurs relatifs à la vie privée obligatoire avant tout transfert de renseignements personnels à l'extérieur du Canada.
  3. Un droit à la révision humaine des décisions automatisées ayant un effet juridique ou significatif, formulé dans des termes proches du RGPD.
  4. L'inclusion explicite des renseignements inférés, c'est-à-dire déduits par analyse ou traitement, dans la définition des renseignements personnels.
  5. De nouvelles exceptions d'« intérêt légitime » couvrant la collecte, l'utilisation et la communication, alors que le projet de loi C-27 les limitait à la collecte et à l'utilisation.

La loi crée aussi une nouvelle Commission de la sécurité numérique et de la protection des données du Canada, qui regroupe les fonctions d'enquête, d'administration et de décision aujourd'hui réparties autrement. Son entrée en vigueur est liée à l'adoption du projet de loi C-34.

Quelles sanctions sont prévues ?

Le régime de sanctions reste aligné sur les projets antérieurs. Les amendes administratives peuvent atteindre le plus élevé de 10 millions de dollars ou 3 % du chiffre d'affaires mondial. Les sanctions pénales, pour les infractions les plus graves, peuvent grimper jusqu'au plus élevé de 25 millions de dollars ou 5 % du chiffre d'affaires mondial. Ces plafonds sont comparables à ceux de la Loi 25 québécoise, qui prévoit des sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Quel impact pour les organisations québécoises ?

Le Québec, l'Alberta et la Colombie-Britannique disposent chacun d'une loi provinciale sur la vie privée du secteur privé jugée « essentiellement similaire » à la LPRPDE, ce qui exempte les entreprises locales de l'application de la loi fédérale pour leurs activités intraprovinciales. La question centrale pour le Québec est de savoir si la Loi 25 sera de nouveau reconnue « essentiellement similaire » sous le régime de la LPVPDC. À défaut de cette reconnaissance, la loi fédérale primerait.

La bonne nouvelle pour les organisations québécoises : elles ont déjà mis en œuvre la majorité des mécanismes que C-36 généralise au reste du pays. L'évaluation des facteurs relatifs à la vie privée avant un transfert hors Québec, le droit à une intervention humaine sur une décision automatisée et la norme d'anonymisation fondée sur le risque figurent déjà dans la Loi 25, en vigueur progressivement depuis 2022. Les entreprises pancanadiennes auront toutefois à harmoniser leurs pratiques entre deux régulateurs et deux régimes, tant que la reconnaissance d'équivalence n'est pas confirmée.

Questions fréquentes

Le projet de loi C-36 remplace-t-il la Loi 25 du Québec ?

Non. Le projet de loi C-36 réforme la loi fédérale sur la vie privée du secteur privé. La Loi 25 demeure en vigueur au Québec. Si elle est jugée « essentiellement similaire », les entreprises québécoises restent exemptées de la loi fédérale pour leurs activités menées à l'intérieur de la province.

Quand la LPVPDC entrera-t-elle en vigueur ?

Le projet de loi en est à sa première lecture depuis le 15 juin 2026. Son entrée en vigueur dépend de l'adoption du projet de loi C-34 et de la mise en place de la nouvelle Commission. Une deuxième lecture et une étude en comité, avec amendements probables, doivent encore avoir lieu.

La loi encadre-t-elle l'intelligence artificielle ?

Indirectement. Contrairement au projet de loi C-27, C-36 ne contient pas de loi distincte sur l'IA. Il encadre toutefois les décisions automatisées, les renseignements inférés et l'entraînement de modèles sur des données accessibles au public, des dimensions clés pour la gouvernance des systèmes d'IA.

Quelles sanctions une entreprise risque-t-elle ?

Les amendes administratives atteignent le plus élevé de 10 millions de dollars ou 3 % du chiffre d'affaires mondial. Les sanctions pénales pour les infractions graves peuvent atteindre le plus élevé de 25 millions de dollars ou 5 % du chiffre d'affaires mondial.

Sources

  • Parlement du Canada, Projet de loi C-36 (45-1), première lecture : https://www.parl.ca/DocumentViewer/en/45-1/bill/C-36/first-reading
  • Fasken, « Bill C-36: A Third Attempt at Federal Private-Sector Privacy Reform » : https://www.fasken.com/en/knowledge/2026/06/bill-c-36
  • Torys LLP, « Bill C-36: Federal government revives privacy legislation » : https://www.torys.com/our-latest-thinking/publications/2026/06/bill-c-36
  • MLT Aikins, « Implications of Canada's proposed privacy overhaul Bill C-36 for organizations » : https://www.mltaikins.com/insights/implications-of-canadas-proposed-privacy-overhaul-bill-c-36-for-organizations/
  • Innovation, Sciences et Développement économique Canada, Loi sur l'intelligence artificielle et les données : https://ised-isde.canada.ca/site/innovation-better-canada/en/artificial-intelligence-and-data-act
Tags :#Loi 25#vie privée#gouvernance fédérale
Partager :
FB
Florian Brobst
Fondateur & Directeur

Spécialiste en gouvernance de l’intelligence artificielle, Florian accompagne les organisations dans la mise en place de cadres de gouvernance responsables et conformes aux réglementations émergentes.

Articles similaires

Veille25 juin 2026

IA dans les tribunaux : l'UNESCO fixe un cadre mondial, la Cour supérieure du Québec encadre ses juges

Veille24 juin 2026

IA à l'école : la France impose une heure par semaine, le Québec mise sur l'intégration

Veille23 juin 2026

Projet de loi C-34 : le Canada crée une catégorie pour les robots conversationnels IA

Restez informé

Abonnez-vous à notre infolettre pour ne rien manquer.

Nous contacter

Ce site utilise des cookies essentiels et fonctionnels pour améliorer votre expérience. Politique de confidentialité