Guide de conformité à la LPRPDE — les fondamentaux de la loi canadienne sur la vie privée, cours gratuit
Qu'est-ce que la LPRPDE?
Qu'est-ce que la LPRPDE?
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale canadienne sur la vie privée qui régit la façon dont les organisations du secteur privé recueillent, utilisent et communiquent les renseignements personnels dans le cadre d'activités commerciales.
Adoptée en 2000 et pleinement en vigueur depuis le 1er janvier 2004, la LPRPDE a fait du Canada l'un des premiers pays au monde à se doter d'une législation exhaustive sur la protection de la vie privée dans le secteur privé. Elle est administrée par le Commissariat à la protection de la vie privée du Canada (CPVP).
Pourquoi la LPRPDE existe
Avant la LPRPDE, aucune loi fédérale ne régissait la façon dont les entreprises traitaient les renseignements personnels. L'Association canadienne de normalisation (CSA) avait élaboré un Code type volontaire pour la protection des renseignements personnels en 1996, mais son application était facultative. La LPRPDE a rendu les principes fondamentaux de ce code juridiquement contraignants.
La LPRPDE a aussi été conçue pour soutenir le commerce international. La directive européenne sur la protection des données exigeait que les pays recevant les données des citoyens de l'UE offrent des protections « adéquates » de la vie privée. La LPRPDE a permis au Canada d'obtenir ce statut d'adéquation — un avantage décisif pour les entreprises canadiennes actives à l'international.
À qui s'applique la LPRPDE?
La LPRPDE s'applique à toute organisation du secteur privé au Canada qui recueille, utilise ou communique des renseignements personnels dans le cadre d'une activité commerciale. Cela comprend :
- Les entreprises de toutes tailles (il n'existe aucune exemption pour les petites entreprises)
- Les organismes sans but lucratif et les organismes de bienfaisance exerçant une activité commerciale
- Les ouvrages, entreprises et affaires de compétence fédérale (banques, compagnies aériennes, télécommunications, chemins de fer, transport interprovincial)
Exemptions provinciales : Trois provinces ont adopté une législation « essentiellement similaire » sur la protection de la vie privée dans le secteur privé :
| Province | Loi | Année |
|---|---|---|
| Québec | Loi 25 | 2022–2024 (par étapes) |
| Colombie-Britannique | PIPA C.-B. | 2004 |
| Alberta | PIPA Alberta | 2004 |
Même dans ces provinces, la LPRPDE s'applique toujours :
- Aux secteurs de compétence fédérale — banques (RBC, TD, BMO), compagnies aériennes (Air Canada, WestJet), télécommunications (Bell, Rogers, Telus)
- Aux transferts de données interprovinciaux et internationaux
- Aux renseignements personnels des employés du gouvernement fédéral
Les renseignements sur la santé font l'objet de lois additionnelles essentiellement similaires dans plusieurs provinces :
| Province | Loi sur la protection des renseignements sur la santé |
|---|---|
| Ontario | PHIPA |
| Nouveau-Brunswick | PHIPAA |
| Nouvelle-Écosse | PHIA |
| Manitoba | PHIA |
| Saskatchewan | HIPA |
| Alberta | HIA |
Qu'est-ce qu'un « renseignement personnel »?
Sous le régime de la LPRPDE, un renseignement personnel s'entend de tout renseignement, factuel ou subjectif, concernant une personne identifiable. Cette définition est volontairement large.
| Catégorie | Exemples |
|---|---|
| Identité | Nom, âge, date de naissance, poids, taille |
| Pièces d'identité gouvernementales | NAS, permis de conduire, passeport, carte d'assurance maladie |
| Coordonnées | Adresse domiciliaire, numéro de téléphone, courriel personnel |
| Financier | Revenu, achats, antécédents de crédit, comptes bancaires |
| Santé | Dossiers médicaux, diagnostics, ordonnances |
| Numérique | Adresse IP, identifiants d'appareil, historique de navigation |
| Sensible | Race, origine ethnique, religion, orientation sexuelle |
Ce qui N'EST PAS un renseignement personnel sous la LPRPDE :
- Les coordonnées d'affaires utilisées à des fins professionnelles
- Les renseignements sur des organisations (et non des individus)
- Les renseignements rendus véritablement anonymes (ne pouvant être réidentifiés)
Exemple concret
Scénario : Un cabinet d'avocats de Toronto recueille le NAS, l'adresse domiciliaire, le numéro de téléphone et les antécédents médicaux d'un client dans le cadre d'un dossier de préjudice corporel.
Résultat : La LPRPDE s'applique. Le cabinet doit respecter les 10 principes relatifs à l'équité dans le traitement de l'information. L'Ontario ne dispose pas d'une législation générale essentiellement similaire sur la vie privée dans le secteur privé — la PHIPA ne couvre que les dépositaires de renseignements sur la santé.
Pourquoi la LPRPDE vous concerne
- 1Conformité juridique — Le CPVP enquête sur des centaines de plaintes par année. Les manquements à la déclaration des incidents de confidentialité peuvent entraîner des amendes pouvant atteindre 100 000 $.
- 2Confiance de la clientèle — 92 % des Canadiens se disent préoccupés par leur vie privée (sondage du CPVP).
- 3Obligations professionnelles — Les avocats, médecins et comptables ont des devoirs additionnels. La LPRPDE constitue le seuil de base.
- 4IA et technologie — L'utilisation d'outils d'IA (ChatGPT, Claude, Copilot) avec des données de clients soulève d'importantes préoccupations au regard de la LPRPDE. Comprendre la loi est la première étape pour utiliser l'IA en toute sûreté.
Quiz du module
1. La LPRPDE s'applique à quel type d'organisations?
2. Dans les provinces dotées d'une législation « essentiellement similaire », la LPRPDE s'applique-t-elle toujours aux banques?
3. Lequel des éléments suivants N'EST PAS considéré comme un renseignement personnel sous la LPRPDE?
4. Combien de provinces ont une législation « essentiellement similaire » sur la vie privée dans le secteur privé?
5. Un cabinet d'avocats de Toronto recueille le NAS d'un client pour un dossier de préjudice corporel — la LPRPDE s'applique-t-elle?
Tous les modules
Rédigé et tenu à jour par Vivek Chakravarthy, fondateur de Canuckt.
Articles connexes
Approfondissez avec ces analyses du blogue Canuckt.
Les agents immobiliers canadiens sont assis sur une bombe à retardement de renseignements personnels
Les agents immobiliers manipulent couramment des NAS, des relevés bancaires, des pièces d'identité et des antécédents financiers. La plupart traitent ces renseignements avec bien moins de soin que ne l'exige la LPRPDE.
LireLes 6 types de renseignements personnels cachés dans vos documents d'affaires qu'aucun scanneur ne repère
Six catégories de renseignements personnels apparaissent régulièrement dans les documents d'affaires canadiens et échappent à la révision manuelle. La plupart des scanneurs de base repèrent les noms et les courriels. Ces six-là exigent une détection plus sophistiquée.
LireVotre politique de confidentialité ne vous rend pas conforme à la LPRPDE. Voici ce qui le fait.
Une politique de confidentialité correspond au principe de transparence de la LPRPDE — l'un des dix. Les entreprises canadiennes qui s'arrêtent là sont non conformes à 90 % sans le savoir.
LireLa liste de vérification LPRPDE qui correspond à ce que le CPVP recherche vraiment
La plupart des listes de vérification LPRPDE ne sont que du jargon juridique générique. Celle-ci est bâtie à partir de véritables conclusions d'enquêtes du CPVP — ce que le Commissaire à la protection de la vie privée recherche réellement lorsqu'une plainte est déposée.
Lire