Qu'est-ce que la LPRPDE?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est entrée en vigueur en 2001. Elle s'applique aux organisations du secteur privé qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales de compétence fédérale.

La LPRPDE vise à établir un équilibre entre le droit des individus à la vie privée et le besoin des organisations de recueillir, d'utiliser et de divulguer des renseignements personnels à des fins légitimes.

À qui s'applique la LPRPDE?

La loi s'applique:

  • Aux entreprises de compétence fédérale (banques, télécommunications, transport interprovincial)
  • Aux organisations qui transfèrent des données personnelles hors du Canada dans le cadre de leurs activités commerciales
  • Aux provinces qui n'ont pas de législation provinciale jugée substantiellement similaire

Au Québec, la Loi 25 s'applique plutôt pour les entreprises de compétence provinciale, car elle est considérée comme substantiellement similaire à la LPRPDE.

Les 10 principes de la LPRPDE

La LPRPDE repose sur 10 principes d'équité en matière d'information:

1. Responsabilité - Les organisations sont responsables des renseignements personnels sous leur contrôle.

2. Détermination des fins - Les fins auxquelles les renseignements personnels sont recueillis doivent être déterminées avant ou au moment de la collecte.

3. Consentement - Le consentement de la personne concernée est requis pour la collecte, l'utilisation ou la communication de renseignements personnels.

4. Limitation de la collecte - La collecte de renseignements personnels doit se limiter à ce qui est nécessaire aux fins déterminées.

5. Limitation de l'utilisation, de la communication et de la conservation - Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis.

6. Exactitude - Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.

7. Mesures de sécurité - Les renseignements personnels doivent être protégés au moyen de mesures de sécurité appropriées.

8. Transparence - Les organisations doivent rendre aisément accessibles des renseignements précis sur leurs politiques et pratiques concernant la gestion des renseignements personnels.

9. Accès aux renseignements personnels - Sur demande, une personne doit être informée de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers.

10. Possibilité de porter plainte - Une personne doit pouvoir contester le respect des principes auprès du responsable désigné de l'organisation.

Vos droits en vertu de la LPRPDE

En tant que citoyen canadien, vous avez plusieurs droits importants:

  • Droit d'accès - Vous pouvez demander à une organisation quels renseignements personnels elle détient à votre sujet
  • Droit de rectification - Vous pouvez faire corriger des renseignements inexacts
  • Droit au retrait du consentement - Vous pouvez retirer votre consentement à tout moment, sous réserve de restrictions légales ou contractuelles
  • Droit de porter plainte - Vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada

Notification des atteintes à la vie privée

Depuis 2018, la LPRPDE exige que les organisations:

  • Signalent au Commissariat à la protection de la vie privée toute atteinte aux mesures de sécurité présentant un risque réel de préjudice grave
  • Avisent les personnes touchées par l'atteinte
  • Tiennent un registre de toutes les atteintes

Cette disposition renforce la responsabilité des entreprises et vous permet d'être informé rapidement en cas de violation de données vous concernant.

Le Commissariat à la protection de la vie privée du Canada

Le Commissariat est un organisme fédéral indépendant qui veille au respect de la LPRPDE. Il:

  • Enquête sur les plaintes concernant le secteur privé
  • Effectue des vérifications de conformité
  • Publie des lignes directrices et des pratiques exemplaires
  • Sensibilise le public à leurs droits en matière de vie privée

Pour déposer une plainte ou obtenir plus d'information, visitez le site du Commissariat: www.priv.gc.ca

Différences avec la Loi 25 du Québec

Bien que substantiellement similaires, la LPRPDE et la Loi 25 du Québec présentent quelques différences importantes:

  • La Loi 25 impose des amendes administratives pouvant aller jusqu'à 25 millions $ ou 4% du chiffre d'affaires mondial
  • La Loi 25 exige la désignation d'un responsable de la protection des renseignements personnels
  • La Loi 25 impose une évaluation des facteurs relatifs à la vie privée (EFVP) pour certains projets
  • La Loi 25 a des exigences plus strictes concernant le transfert de données hors Québec

Le projet de loi C-27 : la LPRPDE bientôt remplacée

La LPRPDE est en voie d'être remplacée par le projet de loi C-27 (Loi de mise en œuvre de la Charte numérique, 2022). Les principaux changements proposés :

  • Vraies sanctions financières : amendes pouvant atteindre 5 % du CA mondial ou 25 M$ — contrairement à la LPRPDE actuelle où le Commissaire n'a qu'un rôle d'ombudsman.
  • Tribunal indépendant : un nouveau tribunal de la protection des données personnelles trancherait les plaintes.
  • Droit à la portabilité et à l'oubli, absents de la LPRPDE actuelle.
  • Encadrement de l'IA (via la Loi sur l'intelligence artificielle et les données, LIAD) — un cadre inédit au Canada.
  • Consentement renforcé : plus exigeant et clairement révocable à tout moment.

Les entreprises sont encouragées à commencer dès maintenant leur analyse des écarts par rapport aux exigences proposées dans C-27.

Comment exercer vos droits

Pour exercer vos droits en vertu de la LPRPDE :

  1. Contactez directement l'organisation concernée et faites votre demande par écrit (courriel ou lettre recommandée).
  2. L'organisation doit répondre dans les 30 jours.
  3. Si vous n'êtes pas satisfait de la réponse, déposez une plainte au Commissariat à la protection de la vie privée du Canada.
  4. Le Commissariat enquêtera et tentera de résoudre le différend.
  5. Si nécessaire, vous pouvez porter l'affaire devant la Cour fédérale du Canada.

Ressources utiles

Pour en savoir plus sur la LPRPDE et les réformes en cours :