07/09/2026 | Press release | Distributed by Public on 07/09/2026 15:14
Le gouvernement fédéral du Canada a récemment lancé L'IA pour tous, une nouvelle stratégie nationale en matière d'intelligence artificielle (« IA ») visant à accroître l'innovation et l'adoption de l'IA au Canada (la « Stratégie en matière d'IA »).
Dans le cadre de la Stratégie en matière d'IA, le gouvernement s'est engagé à prendre des mesures pour protéger les Canadiens et Canadiennes contre les risques et les préjudices liés à l'IA, notamment en modernisant les lois pertinentes, en introduisant un régime de sécurité en ligne pour protéger les utilisateurs des médias sociaux et des agents conversationnels, et en améliorant la transparence de l'IA [1].
Le gouvernement fédéral a rapidement agi conformément à cette priorité en publiant une série de projets de loi visant à réglementer la protection de la vie privée et certains services en ligne. S'ils sont sanctionnés, ils auront de vastes répercussions pour les entreprises qui exercent leurs activités au Canada ou offrent leurs produits et services à la population canadienne.
Réglementation des médias sociaux, agents conversationnels alimentés par l'IA et autres services en ligne
Les pays aux quatre coins du monde sont aux prises avec les préjudices potentiels que les particuliers pourraient subir en raison de la prolifération de l'information (et de la désinformation) sur Internet. Le Canada se joint aux gouvernements qui cherchent à remédier à de tels préjudices, en particulier à leurs répercussions potentielles sur les enfants et les jeunes.
Plus précisément, le 10 juin 2026, le gouvernement du Canada a déposé le projet de loi C-34, Loi sur les médias sociaux sécuritaires, qui, s'il est sanctionné, édictera deux nouvelles lois, soit la Loi sur la sécurité numérique et la Loi sur la Commission canadienne de la sécurité numérique, et apportera des modifications corrélatives à plusieurs autres lois fédérales.
La Loi sur la sécurité numérique, comme l'énonce l'article 14, a pour objet :
La Loi sur la sécurité numérique s'appliquerait à certains services de médias sociaux, aux services d'agents conversationnels alimentés par l'IA et à d'autres services en ligne qui comptent un certain nombre minimal d'utilisateurs ou présentent un risque important de préjudice pour les enfants au Canada.
Il est important de noter que la Loi ne s'applique pas à l'ensemble des médias sociaux, des agents conversationnels ou des autres services en ligne. Le service doit avoir un certain nombre minimal d'utilisateurs qui sera fixé par des règlements pris en vertu de la Loi, ou autrement être désigné à titre de service réglementé dans les règlements (qui ne sont pas encore publiés). Par conséquent, pour le moment, une organisation ne peut pas déterminer définitivement si elle sera assujettie à cette nouvelle proposition législative. Toutefois, certains services de médias sociaux et d'agents conversationnels très populaires devraient être en mesure de respecter les critères, une fois ceux-ci définis.
Il est également important de noter que la Loi sur la sécurité numérique prévoit expressément que les services en ligne ne comprennent pas les sites Web et les applications dont le but principal est : i) de faciliter la vente, l'annonce ou la publicité de biens ou de services; ou ii) de fournir un accès à des répertoires, à des résultats de recherche, à des cartes géographiques ou à des outils de navigation.
La Loi sur la sécurité numérique définit sept catégories de « contenu préjudiciable ». Un tel contenu s'entend : « a) de contenu intime communiqué de façon non consensuelle; b) de contenu représentant de la victimisation sexuelle d'enfants ou perpétuant la victimisation de survivants; c) de contenu poussant un enfant à se porter préjudice; d) de contenu visant à intimider un enfant; e) de contenu fomentant la haine; f) de contenu incitant à la violence;
Les exploitants de services réglementés seront assujettis à un certain nombre d'obligations en vertu de la Loi sur la sécurité numérique, dans une certaine mesure en fonction du type de service qu'ils fournissent, notamment les suivants :
Obligations des services de médias sociaux - Les exploitants de services de médias sociaux réglementés doivent mettre en œuvre des mesures adéquates pour atténuer l'exposition à du contenu préjudiciable, fournir certains outils de blocage des utilisateurs et de signalement de contenu, étiqueter le contenu synthétique visé par la loi (lorsque cela est raisonnable), publier des lignes directrices à l'intention des utilisateurs, désigner une personne-ressource pour les préoccupations des utilisateurs et conserver certains contenus violents ou de terrorisme pendant un an. Les exploitants de services de médias sociaux réglementés doivent également soumettre des plans de sécurité numérique à la Commission canadienne de la sécurité numérique (la « Commission ») [3]. Ces plans doivent notamment présenter en détail leurs évaluations des risques, les mesures d'atténuation, les indicateurs d'efficacité, les données de modération du contenu et les recherches connexes. Ces plans doivent être mis à la disposition du public, sous réserve de quelques exceptions. De plus, les exploitants de services de médias sociaux réglementés doivent rendre inaccessible à des personnes au Canada, dans les 24 heures suivant leur détection ou leur signalement (ce délai pourrait être prolongé par voie de règlement), le contenu qui représente de la victimisation sexuelle d'enfants ou perpétue la victimisation de survivants ainsi que le contenu intime communiqué de façon non consensuelle.
Si elle est adoptée, la Loi sur la Commission canadienne de la sécurité numérique créera la Commission à titre de nouvel organisme de réglementation indépendant composé de personnes nommées par le gouverneur en conseil. Cette Commission serait responsable de l'administration et de l'application de la Loi sur la sécurité numérique. Elle aurait également de vastes pouvoirs d'application de la loi, y compris le pouvoir d'émettre des ordonnances de conformité et d'imposer des sanctions administratives pécuniaires pouvant atteindre la somme la plus élevée entre 10 000 000 $ CA et 3 % des revenus bruts globaux en cas de violation de la Loi sur la sécurité numérique.
De plus, en vertu de la Loi sur la sécurité numérique, certaines infractions sont passibles d'amendes pouvant atteindre la somme la plus élevée entre 20 000 000 $ CA et 5 % des revenus bruts globaux. Qui plus est, lorsqu'un utilisateur de médias sociaux a épuisé les processus internes de l'exploitant concernant une demande de retrait (après avoir fait de son mieux), il peut déposer une plainte auprès de la Commission. Cette dernière peut alors ordonner que le contenu soit rendu définitivement inaccessible.
Réforme fédérale de la législation sur la protection de la vie privée : la troisième fois sera-t-elle la bonne?
Peu après avoir déposé le projet de loi C-34, le gouvernement fédéral a déposé le projet de loi C-36, Loi édictant la Loi visant à protéger la vie privée etles données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportantdes modifications à d'autres lois.
S'il est adopté tel que déposé, le projet de loi C-36 créera une nouvelle loi fédérale sur la protection de la vie privée dans le secteur privé, la Loi visant à protéger la vie privée et les données des consommateurs (la « LPVPDC »), qui remplacera les dispositions relatives à la vie privée de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »).
Les observateurs de la réforme de la législation sur la protection de la vie privée du Canada pourraient ressentir un sentiment de déjà-vu. Deux tentatives antérieures de réformer la législation canadienne sur la protection de la vie privée dans le secteur privé ont échoué en raison des deux dernières dissolutions du Parlement [4]. Cette fois, la réforme est liée aux objectifs énoncés dans la Stratégie en matière d'IA. Plus précisément, le gouvernement fédéral considère que l'adoption de la LPVPDC est un « élément clé » pour faire progresser la Stratégie en matière d'IA. Il souligne qu'il est essentiel de moderniser et de renforcer les lois canadiennes sur la protection des renseignements personnels pour atténuer les risques d'atteinte à la vie privée associés au développement et à l'adoption de l'IA et d'autres technologies numériques et pour favoriser la confiance du public à l'égard de leur utilisation [5].
La LPVPDC représenterait le changement le plus important apporté à la législation canadienne sur la protection de la vie privée dans le secteur privé depuis plus de deux décennies. Voici quelques-unes des principales modifications proposées :
Fait important, le projet de loi C-36 renforcerait les mécanismes d'application en prévoyant des ordonnances exécutoires ainsi que d'importantes sanctions administratives potentielles pour violation de certaines dispositions de la LPVPDC (c'est-à-dire jusqu'à concurrence de la somme la plus élevée entre 10 000 000 $ CA et 3 % des revenus bruts globaux de l'organisation au cours de l'exercice précédent) et des amendes pouvant atteindre la somme la plus élevée entre 25 000 000 $ CA et 5 % des revenus bruts globaux pour certaines infractions.
Étapes à venir
D'un côté, la Loi sur les médias sociaux sécuritaires a déjà suscité de nombreux commentaires et quelques controverses, tant de la part des entreprises que des défenseurs de la protection de la vie privée. D'un autre côté, à quelques exceptions remarquables près, la LPVPDC proposée est assez semblable aux deux précédents projets de loi proposés par le gouvernement fédéral pour remplacer la LPRPDE, laquelle est largement considérée comme désuète compte tenu des évolutions mondiales en matière de droit à la vie privée. Par conséquent, les trois nouvelles lois proposées pourraient progresser à un rythme différent dans les prochaines étapes du processus législatif. Toutefois, il est très vraisemblable que ces lois seront adoptées sous une forme ou une autre compte tenu du fait que les Libéraux ont obtenu une majorité gouvernementale plus tôt cette année.
McMillan surveillera de près l'évolution des projets de loi C-34 et C-36 ainsi que toute autre réforme législative proposée dans le cadre de la Stratégie en matière d'IA du Canada. Entre-temps, veuillez communiquer avec les auteures si vous avez des questions concernant l'incidence possible de ces propositions de réforme législative sur votre organisation ou si vous souhaitez discuter des mesures que votre organisation peut prendre dès maintenant pour répondre aux exigences canadiennes actuelles en matière de protection de la vie privée et/ou de services en ligne.
[1] Le premier ministre Carney lance L'IA pour tous, la nouvelle stratégie nationale du Canada en matière d'intelligence artificielle.
[2] Paragraphe 2(1).
[3] Il convient de noter que la Loi sur la Commission canadienne de la sécurité numérique crée la Commission canadienne de la sécurité numérique. Cependant, si le projet de loi C-36 est adopté, cette commission sera renommée Commission canadienne de la sécurité numérique et de la protection des données [c'est nous qui soulignons].
[4] Pour obtenir un bref historique des tentatives antérieures de réforme de la législation fédérale sur la protection de la vie privée dans le secteur privé, veuillez consulter notre bulletin.
[5] Document d'information : Le gouvernement du Canada présente un projet de loi visant à protéger la vie privée des Canadiens à l'ère numérique.
Par Lyndsay A. Wasser, Société professionnelle et Kristen Pennington
Mise en garde
Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.
© McMillan S.E.N.C.R.L., s.r.l. 2026