McMillan LLP

07/09/2026 | Press release | Distributed by Public on 07/09/2026 15:14

Le Canada propose des réformes majeures aux lois fédérales régissant la protection de la vie privée, les agents conversationnels alimentés par l’IA et d’autres services en ligne

Le Canada propose des réformes majeures aux lois fédérales régissant la protection de la vie privée, les agents conversationnels alimentés par l'IA et d'autres services en ligne

16 juin 2026 Bulletin sur la protection de la vie privée et des données Lecture de 10 min

Le gouvernement fédéral du Canada a récemment lancé L'IA pour tous, une nouvelle stratégie nationale en matière d'intelligence artificielle (« IA ») visant à accroître l'innovation et l'adoption de l'IA au Canada (la « Stratégie en matière d'IA »).

Dans le cadre de la Stratégie en matière d'IA, le gouvernement s'est engagé à prendre des mesures pour protéger les Canadiens et Canadiennes contre les risques et les préjudices liés à l'IA, notamment en modernisant les lois pertinentes, en introduisant un régime de sécurité en ligne pour protéger les utilisateurs des médias sociaux et des agents conversationnels, et en améliorant la transparence de l'IA [1].

Le gouvernement fédéral a rapidement agi conformément à cette priorité en publiant une série de projets de loi visant à réglementer la protection de la vie privée et certains services en ligne. S'ils sont sanctionnés, ils auront de vastes répercussions pour les entreprises qui exercent leurs activités au Canada ou offrent leurs produits et services à la population canadienne.

Réglementation des médias sociaux, agents conversationnels alimentés par l'IA et autres services en ligne

Les pays aux quatre coins du monde sont aux prises avec les préjudices potentiels que les particuliers pourraient subir en raison de la prolifération de l'information (et de la désinformation) sur Internet. Le Canada se joint aux gouvernements qui cherchent à remédier à de tels préjudices, en particulier à leurs répercussions potentielles sur les enfants et les jeunes.

Plus précisément, le 10 juin 2026, le gouvernement du Canada a déposé le projet de loi C-34, Loi sur les médias sociaux sécuritaires, qui, s'il est sanctionné, édictera deux nouvelles lois, soit la Loi sur la sécurité numérique et la Loi sur la Commission canadienne de la sécurité numérique, et apportera des modifications corrélatives à plusieurs autres lois fédérales.

La Loi sur la sécurité numérique, comme l'énonce l'article 14, a pour objet :

  • de promouvoir la sécurité des personnes au Canada;
  • de protéger la santé physique et mentale des enfants;
  • d'atténuer le risque que des personnes au Canada soient exposées à un contenu préjudiciable en ligne et réduire les préjudices causés par un tel contenu;
  • de permettre aux personnes au Canada de participer au discours public et d'exercer leur liberté d'expression en ligne;
  • de permettre aux personnes au Canada de bénéficier des services d'agents conversationnels, tout en réduisant le risque de préjudice;
    • de rendre inaccessible en ligne le contenu représentant de la victimisation sexuelle d'enfants ou perpétuant la victimisation de survivants et le contenu intime communiqué de façon non consensuelle;
    • d'exiger la transparence et la reddition de compte des exploitants qui offrent des services en ligne réglementés;
    • de contribuer aux normes de sécurité en ligne.

La Loi sur la sécurité numérique s'appliquerait à certains services de médias sociaux, aux services d'agents conversationnels alimentés par l'IA et à d'autres services en ligne qui comptent un certain nombre minimal d'utilisateurs ou présentent un risque important de préjudice pour les enfants au Canada.

Il est important de noter que la Loi ne s'applique pas à l'ensemble des médias sociaux, des agents conversationnels ou des autres services en ligne. Le service doit avoir un certain nombre minimal d'utilisateurs qui sera fixé par des règlements pris en vertu de la Loi, ou autrement être désigné à titre de service réglementé dans les règlements (qui ne sont pas encore publiés). Par conséquent, pour le moment, une organisation ne peut pas déterminer définitivement si elle sera assujettie à cette nouvelle proposition législative. Toutefois, certains services de médias sociaux et d'agents conversationnels très populaires devraient être en mesure de respecter les critères, une fois ceux-ci définis.

Il est également important de noter que la Loi sur la sécurité numérique prévoit expressément que les services en ligne ne comprennent pas les sites Web et les applications dont le but principal est : i) de faciliter la vente, l'annonce ou la publicité de biens ou de services; ou ii) de fournir un accès à des répertoires, à des résultats de recherche, à des cartes géographiques ou à des outils de navigation.

La Loi sur la sécurité numérique définit sept catégories de « contenu préjudiciable ». Un tel contenu s'entend : « a) de contenu intime communiqué de façon non consensuelle; b) de contenu représentant de la victimisation sexuelle d'enfants ou perpétuant la victimisation de survivants; c) de contenu poussant un enfant à se porter préjudice; d) de contenu visant à intimider un enfant; e) de contenu fomentant la haine; f) de contenu incitant à la violence;

  1. g) de contenu de terrorisme ou d'extrémisme violent [2]». Chacune de ces catégories est également définie dans la Loi.

Les exploitants de services réglementés seront assujettis à un certain nombre d'obligations en vertu de la Loi sur la sécurité numérique, dans une certaine mesure en fonction du type de service qu'ils fournissent, notamment les suivants :

Obligations des services de médias sociaux - Les exploitants de services de médias sociaux réglementés doivent mettre en œuvre des mesures adéquates pour atténuer l'exposition à du contenu préjudiciable, fournir certains outils de blocage des utilisateurs et de signalement de contenu, étiqueter le contenu synthétique visé par la loi (lorsque cela est raisonnable), publier des lignes directrices à l'intention des utilisateurs, désigner une personne-ressource pour les préoccupations des utilisateurs et conserver certains contenus violents ou de terrorisme pendant un an. Les exploitants de services de médias sociaux réglementés doivent également soumettre des plans de sécurité numérique à la Commission canadienne de la sécurité numérique (la « Commission ») [3]. Ces plans doivent notamment présenter en détail leurs évaluations des risques, les mesures d'atténuation, les indicateurs d'efficacité, les données de modération du contenu et les recherches connexes. Ces plans doivent être mis à la disposition du public, sous réserve de quelques exceptions. De plus, les exploitants de services de médias sociaux réglementés doivent rendre inaccessible à des personnes au Canada, dans les 24 heures suivant leur détection ou leur signalement (ce délai pourrait être prolongé par voie de règlement), le contenu qui représente de la victimisation sexuelle d'enfants ou perpétue la victimisation de survivants ainsi que le contenu intime communiqué de façon non consensuelle.

  1. Obligations des services d'agents conversationnels- Les exploitants de services d'agents conversationnels réglementés devront atténuer le risque que le service communique du contenu préjudiciable et mettre en œuvre des mesures d'intervention de crise (y compris la redirection immédiate vers des services de crise dotés de personnel humain). Ils devront en outre atténuer les comportements préjudiciables et trompeurs tels que l'incitation à se mutiler ou à la violence envers autrui, l'usurpation d'identité humaine, y compris celle de membres d'un ordre professionnel, ou l'emploi de techniques d'engagement manipulatrices pour encourager les utilisateurs à former un attachement émotionnel d'une manière qui pourrait encourager l'utilisateur à se replier sur soi ou à perdre contact avec la réalité. Comme pour les exploitants de services de médias sociaux, les exploitants de services d'agents conversationnels sont également tenus de mettre en œuvre des outils permettant de signaler le contenu préjudiciable, de publier des lignes directrices à l'intention des utilisateurs, de soumettre à la Commission des plans de sécurité numérique qui comprennent le contenu visé par la loi et de désigner une personne-ressource pour les préoccupations des utilisateurs.
  2. Obligations des autres services en ligne réglementés - Les exploitants de services en ligne réglementés qui ne sont pas des services de médias sociaux ou des services d'agent conversationnel, et qui sont accessibles au Canada par Internet et permettent aux utilisateurs d'interagir avec un site Web ou une application, devront soumettre à la Commission des plans de sécurité numérique qui comprennent le contenu visé par la loi.
  3. Protection des enfants - Les exploitants de tous les services réglementés doivent intégrer des caractéristiques de conception assurant la sécurité des enfants et intégrer des mesures adéquates de vérification ou d'estimation de l'âge afin d'atténuer le risque d'exposition des enfants à du contenu pornographique. Les services de médias sociaux réglementés sont généralement tenus de prendre certaines mesures visant à empêcher les personnes de moins de seize ans d'avoir un compte.

Si elle est adoptée, la Loi sur la Commission canadienne de la sécurité numérique créera la Commission à titre de nouvel organisme de réglementation indépendant composé de personnes nommées par le gouverneur en conseil. Cette Commission serait responsable de l'administration et de l'application de la Loi sur la sécurité numérique. Elle aurait également de vastes pouvoirs d'application de la loi, y compris le pouvoir d'émettre des ordonnances de conformité et d'imposer des sanctions administratives pécuniaires pouvant atteindre la somme la plus élevée entre 10 000 000 $ CA et 3 % des revenus bruts globaux en cas de violation de la Loi sur la sécurité numérique.

De plus, en vertu de la Loi sur la sécurité numérique, certaines infractions sont passibles d'amendes pouvant atteindre la somme la plus élevée entre 20 000 000 $ CA et 5 % des revenus bruts globaux. Qui plus est, lorsqu'un utilisateur de médias sociaux a épuisé les processus internes de l'exploitant concernant une demande de retrait (après avoir fait de son mieux), il peut déposer une plainte auprès de la Commission. Cette dernière peut alors ordonner que le contenu soit rendu définitivement inaccessible.

Réforme fédérale de la législation sur la protection de la vie privée : la troisième fois sera-t-elle la bonne?

Peu après avoir déposé le projet de loi C-34, le gouvernement fédéral a déposé le projet de loi C-36, Loi édictant la Loi visant à protéger la vie privée etles données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportantdes modifications à d'autres lois.

S'il est adopté tel que déposé, le projet de loi C-36 créera une nouvelle loi fédérale sur la protection de la vie privée dans le secteur privé, la Loi visant à protéger la vie privée et les données des consommateurs (la « LPVPDC »), qui remplacera les dispositions relatives à la vie privée de la Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE »).

Les observateurs de la réforme de la législation sur la protection de la vie privée du Canada pourraient ressentir un sentiment de déjà-vu. Deux tentatives antérieures de réformer la législation canadienne sur la protection de la vie privée dans le secteur privé ont échoué en raison des deux dernières dissolutions du Parlement [4]. Cette fois, la réforme est liée aux objectifs énoncés dans la Stratégie en matière d'IA. Plus précisément, le gouvernement fédéral considère que l'adoption de la LPVPDC est un « élément clé » pour faire progresser la Stratégie en matière d'IA. Il souligne qu'il est essentiel de moderniser et de renforcer les lois canadiennes sur la protection des renseignements personnels pour atténuer les risques d'atteinte à la vie privée associés au développement et à l'adoption de l'IA et d'autres technologies numériques et pour favoriser la confiance du public à l'égard de leur utilisation [5].

La LPVPDC représenterait le changement le plus important apporté à la législation canadienne sur la protection de la vie privée dans le secteur privé depuis plus de deux décennies. Voici quelques-unes des principales modifications proposées :

  1. La notion de vie privée à titre de droit fondamental. La LPVPDC reconnaîtrait expressément que les individus ont un droit fondamental à la vie privée en ce qui concerne leurs renseignements personnels.
  2. De nouvelles exigences et exceptions en matière de consentement. La LPVPDC exigerait que certains avis soient rédigés en langage clair et soient fournis au plus tard au moment de demander à l'individu de consentir à la collecte, à l'utilisation ou à la communication de ses renseignements personnels. Toutefois, dans une évolution qui devrait être bien accueillie par les entreprises, la LPVPDC introduirait également de nouvelles exceptions à l'obligation d'obtenir le consentement, notamment pour permettre à une organisation de recueillir et d'utiliser les renseignements personnels d'un individu à son insu ou sans son consentement à des fins d'activités d'affaires, de recherche, d'analyse et de développement internes, ou d'activités dans lesquelles l'organisation a un intérêt légitime, dans chaque cas sous réserve de certaines conditions et limites.
  3. Des exigences de conformité transfrontalière. La LPVPDC, contrairement à la LPRPDE, réglementerait expressément le traitement transfrontalier des renseignements personnels en exigeant qu'une organisation procède à une évaluation des facteurs relatifs à la vie privée et réduise les risques cernés dans l'évaluation avant de communiquer ou de transférer des renseignements personnels à l'extérieur du Canada.
  4. Une analyse du caractère approprié. La LPVPDC va plus loin que la LPRPDE en énonçant les facteurs qui doivent être pris en compte pour déterminer si une fin et une manière de recueillir, d'utiliser ou de communiquer des renseignements personnels sont appropriées. Ces facteurs comprennent le degré d'efficacité de la collecte, de l'utilisation ou de la communication prévues des renseignements personnels pour répondre aux besoins commerciaux légitimes de l'organisation et l'existence de moyens portant une atteinte moindre à la vie privée de l'individu et permettant d'atteindre les fins visées à un coût et avec des avantages comparables.
  5. L'explicabilité des systèmes décisionnels automatisés. En vertu de la LPVPDC, une organisation qui utilise un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision (chacune, une « Décision») concernant un individu doit fournir une explication de cette Décision, à la demande de l'individu, lorsqu'elle pourrait avoir des effets juridiques pour ce dernier ou pourrait, de façon similaire, avoir une incidence importante sur lui. L'organisation doit également lui donner l'occasion de présenter, par écrit, ses observations à un employé de l'organisation qui peut réviser la Décision.
  6. Des lignes directrices pour la dépersonnalisation. Bien que la LPVPDC autoriserait une organisation à utiliser les renseignements personnels d'un individu à son insu ou sans son consentement afin de les dépersonnaliser ou de les anonymiser, elle imposerait également certaines obligations aux organisations qui utilisent des renseignements dépersonnalisés, notamment de tenir compte du risque qu'un individu puisse être identifié lorsqu'elles appliquent des procédés techniques et administratifs aux renseignements dépersonnalisés.
  7. Une dispense pour les fournisseurs de services. La plupart des dispositions de la LPVPDC ne s'appliquent pas aux fournisseurs de services relativement aux renseignements personnels qui leur sont transférés, à moins qu'ils recueillent, utilisent ou communiquent ces renseignements à toutes autres fins que celles pour lesquelles ceux-ci leur ont été transférés, ce qui n'était pas le cas aux termes de la LPRPDE. Cependant, les fournisseurs de services seront toujours tenus de protéger les renseignements qu'ils traitent et d'aviser l'organisation responsable d'une atteinte aux mesures de sécurité.
  8. De nouveaux droits pour les personnes concernées quant à leurs données. En plus des droits concernant les systèmes décisionnels automatisés énoncés ci-dessus, la LPVPDC introduirait le droit d'un individu de demander le retrait ou la communication à une autre organisation de ses renseignements personnels, dans chaque cas sous réserve de certaines conditions et exceptions.

Fait important, le projet de loi C-36 renforcerait les mécanismes d'application en prévoyant des ordonnances exécutoires ainsi que d'importantes sanctions administratives potentielles pour violation de certaines dispositions de la LPVPDC (c'est-à-dire jusqu'à concurrence de la somme la plus élevée entre 10 000 000 $ CA et 3 % des revenus bruts globaux de l'organisation au cours de l'exercice précédent) et des amendes pouvant atteindre la somme la plus élevée entre 25 000 000 $ CA et 5 % des revenus bruts globaux pour certaines infractions.

Étapes à venir

D'un côté, la Loi sur les médias sociaux sécuritaires a déjà suscité de nombreux commentaires et quelques controverses, tant de la part des entreprises que des défenseurs de la protection de la vie privée. D'un autre côté, à quelques exceptions remarquables près, la LPVPDC proposée est assez semblable aux deux précédents projets de loi proposés par le gouvernement fédéral pour remplacer la LPRPDE, laquelle est largement considérée comme désuète compte tenu des évolutions mondiales en matière de droit à la vie privée. Par conséquent, les trois nouvelles lois proposées pourraient progresser à un rythme différent dans les prochaines étapes du processus législatif. Toutefois, il est très vraisemblable que ces lois seront adoptées sous une forme ou une autre compte tenu du fait que les Libéraux ont obtenu une majorité gouvernementale plus tôt cette année.

McMillan surveillera de près l'évolution des projets de loi C-34 et C-36 ainsi que toute autre réforme législative proposée dans le cadre de la Stratégie en matière d'IA du Canada. Entre-temps, veuillez communiquer avec les auteures si vous avez des questions concernant l'incidence possible de ces propositions de réforme législative sur votre organisation ou si vous souhaitez discuter des mesures que votre organisation peut prendre dès maintenant pour répondre aux exigences canadiennes actuelles en matière de protection de la vie privée et/ou de services en ligne.

[1] Le premier ministre Carney lance L'IA pour tous, la nouvelle stratégie nationale du Canada en matière d'intelligence artificielle.
[2] Paragraphe 2(1).
[3] Il convient de noter que la Loi sur la Commission canadienne de la sécurité numérique crée la Commission canadienne de la sécurité numérique. Cependant, si le projet de loi C-36 est adopté, cette commission sera renommée Commission canadienne de la sécurité numérique et de la protection des données [c'est nous qui soulignons].
[4] Pour obtenir un bref historique des tentatives antérieures de réforme de la législation fédérale sur la protection de la vie privée dans le secteur privé, veuillez consulter notre bulletin.
[5] Document d'information : Le gouvernement du Canada présente un projet de loi visant à protéger la vie privée des Canadiens à l'ère numérique.

Par Lyndsay A. Wasser, Société professionnelle et Kristen Pennington

Mise en garde

Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2026

McMillan LLP published this content on July 09, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 09, 2026 at 21:14 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]