CapGRC
Retour aux ressources
RéglementationCanada fédéralProtection des données

Comprendre PIPEDA / LPRPDE : la loi fédérale canadienne sur la vie privée

La LPRPDE (connue sous l'acronyme anglais PIPEDA) s'applique aux organisations privées sous réglementation fédérale au Canada. Voici ce que vous devez savoir, incluant la future Loi C-27.

10 min de lectureMars 2026

Qu'est-ce que la LPRPDE (PIPEDA) ?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), désignée par son acronyme anglais PIPEDA (Personal Information Protection and Electronic Documents Act), est la loi fédérale canadienne encadrant la collecte, l'utilisation et la communication de renseignements personnels dans le cadre d'activités commerciales.

Elle s'applique aux organisations privées dont les activités sont de nature interprovinciale ou internationale — notamment les banques à charte fédérale, les entreprises de télécommunications, les transporteurs aériens et les entreprises dont les opérations traversent les frontières provinciales.

Les organisations québécoises sont principalement soumises à la Loi 25. Cependant, si elles traitent des données de personnes hors Québec ou exercent des activités fédérales, la LPRPDE peut aussi s'appliquer en parallèle.

Les 6 obligations principales

1

Responsabilité organisationnelle

Désigner un responsable de la protection des renseignements personnels, mettre en place des politiques et former le personnel. La responsabilité ne peut être transférée à un sous-traitant.

CapGRC :Module CapCOM — Désignation du responsable et gestion des politiques
2

Identification des finalités

Documenter avant la collecte pourquoi les renseignements personnels sont recueillis. Les finalités doivent être intelligibles pour la personne concernée.

CapGRC :Module CapCOM — Registre des traitements et finalités
3

Consentement

Obtenir le consentement de la personne concernée. Le consentement doit être libre, éclairé et donné à des fins raisonnables. Des règles spéciales s'appliquent aux mineurs.

CapGRC :Module CapCOM — Gestion du consentement et des préférences
4

Limitation de la collecte

Collecter uniquement les renseignements personnels nécessaires aux finalités identifiées, par des moyens équitables et licites.

CapGRC :Module CapPROSEC — Analyse d'impact sur la vie privée (AIVP)
5

Signalement des atteintes

Notifier le Commissaire à la protection de la vie privée du Canada et les personnes concernées lors d'une atteinte présentant un risque réel de préjudice grave. Tenir un registre de toutes les atteintes.

CapGRC :Module CapCOM — Registre des incidents et notifications réglementaires
6

Accès et rectification

Répondre aux demandes d'accès aux renseignements personnels dans un délai de 30 jours. Permettre la rectification des informations inexactes ou incomplètes.

CapGRC :Module CapCOM — Gestion des demandes des personnes concernées

Évolution de la LPRPDE

2000

Entrée en vigueur de la LPRPDE pour les organisations sous réglementation fédérale

2004

Extension à toutes les organisations privées dont les activités sont de nature interprovinciale

2015

Modifications — nouvelles obligations de signalement des violations (Digital Privacy Act)

Novembre 2018

Entrée en vigueur des règles de signalement obligatoire des atteintes à la vie privée

Juin 2022

Dépôt du projet de Loi C-27 (Loi sur la mise en œuvre de la Charte du numérique)

En cours

Adoption attendue de la Loi C-27 — amendes accrues, IA Act, droits renforcés

PIPEDA vs Loi 25 : les différences clés

CritèrePIPEDA (LPRPDE)Loi 25 (Québec)
JuridictionFédérale (LPRPDE)Provinciale Québec (Loi 25)
Champ d'applicationActivités commerciales interprovinciales et fédéralesToutes organisations ayant des renseignements sur des Québécois
Autorité de surveillanceCommissaire à la protection de la vie privée du CanadaCommission d'accès à l'information (CAI)
EFVP / AIVPNon obligatoire (bonne pratique)Obligatoire avant tout nouveau projet
Délai de signalementDès que raisonnablement possible72 heures pour certains incidents
Amendes maximales100 000 $ (actuellement)25 M$ ou 4 % des revenus (Loi C-27)

La future Loi C-27 : ce qui va changer

Loi C-27 en cours d'adoption

  • Amendes pouvant atteindre 25 M$ ou 5 % des revenus mondiaux
  • Droits renforcés des individus : portabilité, transparence algorithmique
  • Loi sur l'intelligence artificielle et les données (LIAD) intégrée
  • Remplacement complet de la LPRPDE par la Loi sur la protection de la vie privée des consommateurs (LPVPC)
  • Nouveaux pouvoirs d'enquête du Commissariat à la vie privée

CapGRC et PIPEDA

CapGRC couvre les obligations PIPEDA et prépare votre organisation à la Loi C-27. Demandez une démonstration.

Demander une démoVoir aussi : Loi 25

Articles connexes

Prêt à moderniser votre programme GRC ?

Demandez une démonstration gratuite et découvrez comment CapGRC peut transformer votre approche de la gouvernance, des risques et de la conformité.

Demander une démo gratuiteNous contacter