📋 Contenu de cet article
- Ce qui s'est passé en janvier 2025
- Ce que C-27 aurait changé pour vous
- Ce qu'il reste : PIPEDA et Loi 25
- L'asymétrie Québec / reste du Canada
- La lacune en intelligence artificielle
- Le nouveau Parlement — et l'absence de plan
- Ce que vous pouvez faire maintenant
- Les organismes qui défendent vos droits
- Questions fréquentes
Ce qui s'est passé en janvier 2025
Le 6 janvier 2025, le premier ministre Justin Trudeau a annoncé sa démission et demandé la prorogation du Parlement jusqu'au 24 mars 2025. La prorogation a mis fin à tous les travaux législatifs en cours — y compris le projet de loi C-27, Loi de mise en œuvre de la Charte du numérique.
C-27 était en chantier depuis juin 2022. Il avait survécu à trois années de comités parlementaires, d'audiences, d'amendements. Il n'a jamais été mis aux voix. Il est mort sans cérémonie, emporté par une crise politique.
- Juin 2022 : Dépôt du C-27 en deuxième lecture à la Chambre des communes
- 2022–2024 : Études en comité, centaines d'amendements proposés, débats techniques sur l'IA
- Janvier 2025 : Prorogation du Parlement — C-27 mort au feuilleton
- Printemps 2025 : Élections fédérales — nouveau Parlement
- Mars 2026 : Aucun projet de réforme fédérale de la vie privée annoncé
Ce que C-27 aurait changé pour vous
Le C-27 contenait deux lois distinctes. La première, la Loi sur la protection de la vie privée des consommateurs (LPVPC), aurait remplacé la LPRPDE — la loi fédérale sur la vie privée en vigueur depuis 2000. La deuxième, la Loi sur l'intelligence artificielle et les données (LIAD), aurait créé un cadre de réglementation de l'IA.
Ce que la LPVPC aurait apporté
- Droit à la suppression clair : Vous auriez pu exiger qu'une entreprise efface vos données personnelles, sous conditions définies en droit.
- Consentement renforcé : Exit le consentement enfoui dans 30 pages de conditions d'utilisation — la LPVPC exigeait un consentement éclairé, distinct, et révocable.
- Sanctions sévères : Jusqu'à 25 millions de dollars d'amende ou 5 % du chiffre d'affaires mondial — comparable au RGPD européen. Sous la LPRPDE actuelle, le Commissariat ne peut pas imposer d'amendes directement.
- Mobilité des données : Vous auriez pu demander le transfert de vos données d'un service vers un concurrent — pratique pour changer de banque, par exemple.
- Décisions automatisées : Si une entreprise prenait une décision importante vous concernant via un algorithme, vous auriez eu le droit d'en exiger une explication.
Ce que la LIAD aurait apporté
La Loi sur l'intelligence artificielle et les données était le premier cadre réglementaire canadien spécifiquement dédié à l'IA. Elle aurait imposé des évaluations d'impact obligatoires pour les systèmes d'IA à haut risque, des exigences de transparence sur les données d'entraînement, et un régime de sanctions pour les systèmes causant des préjudices.
Elle était imparfaite — les groupes de défense des droits numériques, dont le CIPPIC, avaient des critiques sérieuses sur ses définitions floues et son manque de droits individuels. Mais c'était quelque chose. Maintenant, c'est le vide.
Ce qu'il reste : PIPEDA et Loi 25
La mort de C-27 laisse en place un paysage législatif fragmenté. Au fédéral, c'est la LPRPDE (connue en anglais sous le nom de PIPEDA) qui régit la vie privée dans le secteur privé. Au Québec, la Loi 25 s'applique aux entreprises sous juridiction provinciale.
La LPRPDE — une loi de l'ère pré-iPhone
La LPRPDE a été adoptée en 2000. À cette époque, Facebook n'existait pas, Google avait deux ans, et un « téléphone intelligent » était encore un concept de science-fiction. La loi a subi des modifications mineures depuis, mais son architecture de base date du début du web commercial.
Ses failles concrètes : le Commissariat à la protection de la vie privée du Canada peut enquêter et formuler des recommandations — mais il ne peut pas imposer d'amendes directement. Pour obtenir une sanction, il faut passer par les tribunaux, un processus long et coûteux. Résultat : les entreprises savent que le risque réglementaire est faible.
- Pas de droit explicite à la suppression de vos données
- Pas d'amendes administratives directes — le régulateur doit aller en cour
- Pas d'obligation de vous expliquer une décision algorithmique
- Pas de règles sur les systèmes d'intelligence artificielle
- Pas de droit à la portabilité de vos données
La Loi 25 — meilleure, mais limitée
La Loi 25 québécoise, en vigueur par phases depuis 2022, est substantiellement plus forte que la LPRPDE sur plusieurs points. Elle donne aux citoyens québécois des droits réels : suppression des données, notification obligatoire en cas de brèche, et la Commission d'accès à l'information peut imposer des amendes allant jusqu'à 25 millions de dollars sans passer par les tribunaux.
Le problème : la Loi 25 ne s'applique qu'aux entreprises sous juridiction provinciale. Votre banque, votre compagnie de téléphone, votre fournisseur internet — tous sous juridiction fédérale, donc sous LPRPDE. C'est là que l'asymétrie devient concrète.
L'asymétrie Québec / reste du Canada
Les résidents du Québec ont deux régimes de protection de la vie privée qui s'appliquent simultanément — selon qui détient leurs données. Les résidents des autres provinces n'ont que la LPRPDE fédérale, sans équivalent provincial fort.
| Droit | Loi 25 (Québec) | LPRPDE (fédéral) |
|---|---|---|
| Droit à la suppression de vos données | ✓ Oui | ✗ Non explicite |
| Notification obligatoire en cas de brèche | ✓ Oui | ~ Oui, mais limité |
| Amendes directes sans passer par les tribunaux | ✓ Jusqu'à 25 M$ | ✗ Non — recommandations seulement |
| Consentement explicite requis | ✓ Oui | ~ Formulation vague |
| Droit à la portabilité des données | ✓ Oui | ✗ Non |
| S'applique à votre banque | ✗ Non — juridiction fédérale | ✓ Oui |
| S'applique à votre fournisseur internet | ✗ Non — juridiction fédérale | ~ Oui, mais faiblement |
| S'applique aux applis provinciales / commerces locaux | ✓ Oui | ✗ Non |
En clair : si vous êtes Québécois et qu'une boutique en ligne québécoise vend vos données sans consentement, vous avez des recours réels via la Loi 25 et la CAI. Si c'est votre banque qui le fait — Banque TD, RBC, BMO, Desjardins pour ses opérations fédérales — vous êtes sous la LPRPDE, avec beaucoup moins de poids.
La lacune en intelligence artificielle
La mort de C-27 n'a pas seulement tué une réforme sur la vie privée — elle a aussi tué la Loi sur l'intelligence artificielle et les données (LIAD), le seul cadre réglementaire fédéral sur l'IA jamais proposé au Canada.
Pendant ce temps, l'Union européenne a adopté son AI Act en août 2024 — le premier régime légal complet sur l'IA au monde. Les systèmes d'IA à haut risque utilisés en Europe (recrutement, crédit, santé, justice) sont maintenant soumis à des évaluations d'impact, des obligations de transparence, et un régime de sanctions. Au Canada, rien de tel n'existe.
Ce que ça signifie en pratique
Les entreprises qui utilisent des systèmes d'IA pour prendre des décisions vous concernant — crédit, assurance, embauche, ciblage publicitaire — n'ont aucune obligation légale fédérale de vous l'expliquer, d'évaluer les biais, ou d'être transparentes sur leur fonctionnement. La LPRPDE ne couvre pas l'IA de façon spécifique.
Le CPVP a publié des lignes directrices sur l'IA — mais des lignes directrices ne sont pas une loi. Les entreprises peuvent les ignorer sans conséquence directe.
Le nouveau Parlement — et l'absence de plan
Les élections fédérales du printemps 2025 ont produit un nouveau Parlement. Depuis, aucun projet de loi sur la protection des données personnelles n'a été déposé. Aucun calendrier n'est annoncé.
Ce n'est pas une surprise — un nouveau gouvernement prend du temps à établir ses priorités législatives, et la réforme de la vie privée n'est généralement pas un dossier qui génère des manchettes ou des votes. Mais le résultat est que le Canada entre dans le printemps 2026 avec une loi sur la vie privée qui date de l'an 2000, sans cadre sur l'IA, pendant que les données des Canadiens continuent d'être collectées, analysées et monétisées à une échelle jamais vue.
La prochaine fenêtre réaliste pour une réforme sérieuse est la session parlementaire de l'automne 2026 — et encore, il faudrait qu'un projet soit déposé, étudié en comité, et adopté. On parle de 2027 au mieux pour une entrée en vigueur.
Ce que vous pouvez faire maintenant
Attendre une réforme législative fédérale n'est pas une stratégie. Voici ce qui est réellement à votre disposition en mars 2026.
Si vous habitez au Québec : utilisez la Loi 25
La Commission d'accès à l'information du Québec (CAI) accepte les plaintes contre les entreprises sous juridiction provinciale. Si une entreprise refuse de supprimer vos données, les a divulguées sans consentement, ou ne respecte pas vos droits sous la Loi 25, vous pouvez déposer une plainte — gratuitement, en ligne.
La CAI a des dents. Contrairement au CPVP fédéral, elle peut imposer des amendes directement. Ça vaut la peine de s'en servir.
Pour les entités fédérales : le CPVP
Pour une plainte contre une banque, une compagnie aérienne, un télécom ou tout autre organisme sous réglementation fédérale, le Commissariat à la protection de la vie privée du Canada (CPVP / OPC) est l'organisme compétent. Dépôt de plainte gratuit, enquête possible.
Ses limites sont réelles : il ne peut qu'émettre des recommandations et, si l'entreprise refuse de s'y conformer, porter l'affaire devant la Cour fédérale — ce que le Commissariat fait rarement. Mais une enquête formelle génère un dossier public et peut avoir un effet dissuasif. Déposer une plainte reste utile, surtout si vous encouragez d'autres personnes concernées par la même pratique à faire de même.
Protégez-vous techniquement, sans attendre la loi
Les lacunes législatives ne vont pas se combler du jour au lendemain. En attendant, un VPN avec politique de non-journalisation est la façon la plus directe de protéger votre navigation des regards de votre FAI — qui reste très peu encadré, même après C-27. Consultez notre guide sur l'anonymat en ligne au Québec pour une vue complète de vos options.
Soutenir le CIPPIC
Le Clinique d'intérêt public et de politique d'internet du Canada (CIPPIC) est l'organisme le plus actif au Canada sur les droits numériques. Basé à l'Université d'Ottawa, il intervient dans les dossiers juridiques, participe aux consultations gouvernementales, et produit des analyses indépendantes. C'est l'organisation qui fera le plus de pression pour qu'une réforme sérieuse soit adoptée dans le prochain cycle législatif.
Les organismes qui défendent vos droits
Régulateur fédéral de la vie privée. Accepte les plaintes contre les organisations sous LPRPDE : banques, télécoms, transporteurs aériens. Peut enquêter et formuler des recommandations.
priv.gc.ca →Régulateur québécois de la protection des renseignements personnels et d'accès à l'information. Peut imposer des amendes directes sous la Loi 25. Premier recours pour toute violation par une entreprise provinciale.
cai.gouv.qc.ca →Principal organisme de défense des droits numériques au Canada. Intervient dans les affaires juridiques, participe aux consultations sur les réformes législatives, et produit des analyses publiques sur la vie privée et l'IA.
cippic.ca →❓ Questions fréquentes
Qu'est-ce que le projet de loi C-27 aurait changé pour moi ?
Le C-27 aurait remplacé la LPRPDE par la Loi sur la protection de la vie privée des consommateurs (LPVPC), avec des droits concrets : suppression de vos données, consentement éclairé obligatoire, explication des décisions algorithmiques, et portabilité de vos données entre services.
Il aurait aussi introduit la Loi sur l'intelligence artificielle et les données (LIAD) — le premier cadre fédéral sur l'IA au Canada. Les systèmes à haut risque auraient été soumis à des évaluations obligatoires et des obligations de transparence.
La Loi 25 me protège-t-elle si je vis au Québec ?
Oui, mais partiellement. La Loi 25 s'applique aux entreprises sous juridiction provinciale — commerces, services locaux, applications québécoises. Pour ces entités, vos droits sont réels et applicables via la CAI.
Mais votre banque, votre compagnie de téléphone et votre fournisseur internet (Bell, Vidéotron, Rogers) sont sous juridiction fédérale. Pour eux, c'est la LPRPDE qui s'applique — avec ses limites importantes.
Quelle est la différence concrète entre la LPRPDE et la Loi 25 ?
Sous la Loi 25, la CAI peut imposer des amendes directement — jusqu'à 25 millions de dollars. Sous la LPRPDE, le Commissariat fédéral ne peut qu'émettre des recommandations et, en cas de refus de l'entreprise, saisir les tribunaux — un processus long et rarement utilisé.
La Loi 25 donne aussi des droits plus explicites : suppression des données, portabilité, et explication des profils de décision. La LPRPDE est beaucoup plus vague sur ces points.
Peut-on déposer une plainte si une entreprise fédérale viole ma vie privée ?
Oui. Le Commissariat à la protection de la vie privée du Canada (CPVP) accepte les plaintes contre les organisations soumises à la LPRPDE. La démarche est gratuite et se fait en ligne.
Gardez en tête les limites : le Commissariat enquêtera et formulera des recommandations, mais ne peut pas imposer d'amende directement. Si l'entreprise refuse de s'y conformer, il doit saisir la Cour fédérale — ce qui arrive rarement. Ça reste utile, surtout pour les violations systémiques ou si vous coordonnez avec d'autres personnes concernées.
Y a-t-il un nouveau projet de loi sur la vie privée prévu en 2026 ?
Pas annoncé publiquement, au printemps 2026. Le nouveau Parlement élu en 2025 n'a pas encore déposé de projet de réforme fédérale sur la protection des données.
La prochaine fenêtre réaliste serait la session parlementaire de l'automne 2026 — mais entre le dépôt d'un projet, les travaux de comité et l'adoption, une loi ne pourrait pas entrer en vigueur avant 2027 au plus tôt. Et c'est en supposant que la réforme devient une priorité gouvernementale, ce qui n'est pas acquis.
Est-ce que l'Europe est vraiment mieux protégée que le Canada sur la vie privée ?
Sur le papier, oui — significativement. Le RGPD européen est en vigueur depuis 2018 et donne aux citoyens européens des droits directement applicables : suppression, portabilité, explication des décisions algorithmiques. Les amendes sont massives — Meta a écopé de 1,3 milliard d'euros d'amende en 2023. L'AI Act est en vigueur depuis août 2024.
L'application varie selon les pays européens, et le RGPD n'est pas parfait. Mais le contraste avec le cadre fédéral canadien reste frappant. La LPRPDE date de 2000, les amendes directes n'existent pas, et l'IA n'est pas encadrée. Le fossé est réel.
Approfondir votre protection numérique
Votre droit à l'anonymat en ligne au Québec
Loi 25, LPRPDE, FAI, Five Eyes — un guide complet sur ce que la loi protège et ce qu'elle ne protège pas, et comment combler les lacunes.
VPN gratuit vs payant — le comparatif honnête
En attendant une réforme législative, un bon VPN reste votre outil le plus efficace contre la surveillance de votre fournisseur internet.
WiFi public — les risques réels
Les réseaux ouverts dans les cafés, aéroports et universités du Québec — ce qu'on peut voir de votre connexion, et comment se protéger.