La PIPEDA (LPRPDE) en bref
La PIPEDA (Personal Information Protection and Electronic Documents Act) — connue en français sous le nom de LPRPDE — est la loi fédérale canadienne encadrant la collecte, l'utilisation et la communication de renseignements personnels par le secteur privé dans le cadre d'activités commerciales.
Adoptée en 2000 et entrée en vigueur progressive jusqu'en 2004, elle est fondée sur 10 principes d'équité. Bien qu'amendée en 2018 pour introduire l'obligation de signaler les atteintes, elle est aujourd'hui considérée comme désuète face aux enjeux numériques contemporains.
Les limites reconnues de la PIPEDA
Les experts et groupes de défense des droits pointent plusieurs lacunes :
- Aucune sanction financière directe : le Commissaire à la protection de la vie privée du Canada ne peut imposer d'amendes — il doit s'adresser aux tribunaux, ce qui est long et coûteux.
- Consentement ambigu : les règles sont moins précises que dans le RGPD ou la Loi 25.
- Aucun droit à la portabilité : la loi ne prévoit pas ce droit fondamental.
- IA non encadrée : aucune disposition sur les décisions algorithmiques.
- Dépassée par les lois provinciales : la Loi 25 du Québec est jugée "substantiellement similaire" à la PIPEDA, mais la surpasse largement en obligations et sanctions.
C-27 : un changement de paradigme
Le projet de loi C-27 propose de remplacer la PIPEDA par la Loi sur la protection de la vie privée des consommateurs (LPVPC). Tableau comparatif :
| Aspect | PIPEDA (actuelle) | LPVPC via C-27 (proposée) |
|---|---|---|
| Sanctions financières | Aucune directe (rôle d'ombudsman) | Jusqu'à 25 M$ ou 5 % du CA mondial |
| Tribunal indépendant | Non | Oui (Tribunal de la protection des données) |
| Portabilité des données | Non | Oui |
| Décisions automatisées | Non encadré | Droit d'être informé et de contester |
| Intérêt légitime | Non prévu | Prévu (sous conditions strictes) |
| Intelligence artificielle | Non encadrée | LIAD (cadre dédié) |
| Niveau de consentement | Implicite accepté | "Significatif" — clair et facilement révocable |
Le passage de la PIPEDA à la LPVPC représente un changement de paradigme : on passe d'une approche de sensibilisation et de persuasion à une approche de conformité coercitive avec des sanctions réelles.
Articulation avec la Loi 25 du Québec
La coexistence de C-27 et de la Loi 25 soulève une question importante :
- Aujourd'hui, la PIPEDA ne s'applique pas aux entreprises québécoises de compétence provinciale, car la Loi 25 est jugée "substantiellement similaire".
- C-27 introduit un nouveau test pour cette équivalence. La Loi 25 devra être réévaluée pour savoir si elle reste "substantiellement similaire" à la LPVPC.
- En attendant cette décision, les entreprises québécoises qui ont des activités interprovinciales ou fédérales devront se conformer aux deux lois.
Ce que les entreprises doivent faire maintenant
Même si C-27 n'est pas encore adopté, les entreprises canadiennes peuvent dès maintenant se préparer :
- Réaliser une analyse des écarts (gap analysis) entre leurs pratiques actuelles et les exigences proposées dans C-27.
- Renforcer leurs pratiques de consentement pour se rapprocher des standards du RGPD et de la Loi 25.
- Établir un registre des activités de traitement.
- Nommer un responsable de la vie privée identifié.
- Surveiller l'évolution parlementaire de C-27 sur parl.ca.
Ce que les citoyens peuvent faire dès aujourd'hui
En attendant l'adoption de C-27 :
- Exercez vos droits en vertu de la PIPEDA actuelle : droit d'accès, droit de rectification, droit de retrait du consentement.
- Si vous êtes au Québec, profitez de la Loi 25, plus protectrice.
- Portez plainte auprès du Commissaire à la protection de la vie privée du Canada en cas de manquement d'une entreprise fédérale.