Privacy & Security22 avril 20258 min de lecture

LPRPDE expliquée : ce que votre entreprise doit faire pour rester conforme au Canada

La loi canadienne sur la protection des données s'applique à la plupart des entreprises. Voici ce que vous devez savoir et faire dès maintenant.

LocalHost Digital

Agence numérique canadienne · Ottawa

Si votre entreprise collecte ne serait-ce que le nom et l'adresse courriel d'un client, la loi fédérale canadienne sur la vie privée s'applique à vous. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la façon dont toute organisation du secteur privé au Canada collecte, utilise et divulgue des renseignements personnels dans le cadre d'activités commerciales. Ce n'est pas une loi qui s'applique uniquement aux grandes entreprises. Elle s'applique au cabinet comptable de deux personnes à Kanata, au salon de coiffure à Gatineau, à la boutique en ligne à Calgary et au consultant TI à Toronto — et la non-conformité entraîne des conséquences sérieuses.

Ce guide explique ce que la LPRPDE exige, ce que la Loi 25 du Québec ajoute, et vous fournit un plan de conformité concret et actionnable que vous pouvez commencer à mettre en œuvre aujourd'hui.

Qu'est-ce que la LPRPDE et à qui s'applique-t-elle?

La LPRPDE est en vigueur depuis 2001. Elle s'applique à toute organisation du secteur privé qui collecte, utilise ou divulgue des renseignements personnels dans le cadre d'activités commerciales. Les "renseignements personnels" sont définis largement : cela comprend les noms, adresses, numéros de téléphone, adresses courriel, adresses IP, historiques d'achats, dossiers financiers, renseignements sur la santé, dossiers d'employés, et même les photos et enregistrements vidéo.

L'Alberta, la Colombie-Britannique et le Québec disposent de lois provinciales jugées "essentiellement similaires", mais la LPRPDE continue de s'appliquer aux transferts de données interprovinciales et internationales.

Les 10 principes de la LPRPDE : ce qu'ils exigent concrètement

  1. Responsabilité : Votre organisation doit désigner un individu spécifique — un Responsable de la protection de la vie privée — chargé de la conformité. Vous avez également besoin de politiques et procédures documentées, et vous devez former votre personnel.
  2. Détermination des fins : Vous devez identifier la raison pour laquelle vous collectez des renseignements personnels avant ou au moment de la collecte. Réutiliser rétroactivement des données sans consentement supplémentaire est une violation de la LPRPDE.
  3. Consentement : Vous devez obtenir un consentement éclairé — informé, volontaire et adapté à la sensibilité des renseignements. Les cases pré-cochées, les conditions enfouies dans les petits caractères et le consentement implicite pour les données sensibles ne passent pas le test.
  4. Limitation de la collecte : Ne collectez que ce dont vous avez réellement besoin pour vos fins déclarées. Collecter des données "au cas où" sans objectif clair constitue une violation.
  5. Limitation de l'utilisation, de la divulgation et de la conservation : Utilisez les données personnelles uniquement aux fins que vous avez divulguées lors de la collecte. Ne les partagez pas avec des tiers sans consentement. Ne les conservez pas plus longtemps que nécessaire.
  6. Exactitude : Les renseignements personnels utilisés pour prendre des décisions affectant les individus doivent être exacts, complets et à jour. Mettez en place des processus pour que les clients puissent mettre à jour leurs données.
  7. Mesures de sécurité : Protégez les renseignements personnels avec des mesures appropriées à leur sensibilité : chiffrement SSL/TLS, contrôles d'accès, politiques de sécurité documentées, et protection renforcée pour les données sensibles.
  8. Transparence : Publiez une politique de confidentialité claire et accessible expliquant : ce que vous collectez, pourquoi, comment vous l'utilisez, avec qui vous le partagez, et comment les individus peuvent exercer leurs droits.
  9. Accès individuel : Les individus ont le droit de demander l'accès à leurs renseignements personnels détenus par votre organisation et de demander des corrections aux données inexactes. Vous avez 30 jours pour répondre à une demande d'accès.
  10. Recours : Les individus doivent pouvoir contester votre conformité à la LPRPDE. Votre Responsable est le contact désigné pour ces défis. Si une plainte interne ne peut être résolue, l'individu peut escalader au Commissariat à la protection de la vie privée du Canada.

Notification obligatoire des violations : ce que vous devez faire

Depuis novembre 2018, la LPRPDE exige que les organisations signalent les violations de données comportant un "risque réel de préjudice grave" au Commissariat à la protection de la vie privée (CPVP) et en informent les individus concernés.

Vos obligations lors d'une violation :

  • Signaler au CPVP : Dès que possible après avoir déterminé qu'une violation signalable s'est produite. Le CPVP fournit un formulaire de rapport de violation en ligne.
  • Notifier les individus concernés : Dès que possible également. La notification doit expliquer ce qui s'est passé, quelles informations étaient impliquées, et les mesures prises.
  • Tenir des registres : Vous devez conserver un registre de toutes les violations, qu'elles atteignent ou non le seuil de "risque réel de préjudice grave".
  • Pénalités : Les organisations qui omettent sciemment de signaler une violation risquent des amendes pouvant atteindre 100 000 $ par violation.

La Loi 25 du Québec : le régime de protection le plus strict du Canada

Si votre entreprise opère au Québec ou détient des renseignements personnels sur des résidents québécois, vous devez également vous conformer à la Loi 25 (anciennement Projet de loi 64), entrée pleinement en vigueur en septembre 2023. Elle est considérablement plus exigeante que la LPRPDE dans plusieurs domaines :

  • Évaluations des facteurs relatifs à la vie privée (ÉFVP) : Obligatoires avant tout nouveau projet impliquant la collecte de renseignements personnels.
  • Exigences de consentement explicite : Le consentement doit être en langage clair et simple. Les cases pré-cochées sont explicitement interdites.
  • Droit à la portabilité des données : Les individus peuvent demander leurs renseignements personnels dans un format structuré et couramment utilisé.
  • Droit à l'oubli : Les individus peuvent demander la suppression de leurs renseignements personnels dans certaines circonstances.
  • Désignation obligatoire du Responsable : Le nom et les coordonnées du Responsable désigné doivent être publiés sur votre site web.
  • Pénalités : Jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les violations graves — calquées directement sur les niveaux de pénalité du RGPD.

Votre liste de contrôle pratique de conformité LPRPDE

Voici un plan d'action concret pour mettre votre entreprise en conformité sur 90 jours :

  • Semaines 1–2 : Désignez votre Responsable de la protection de la vie privée. Nommez un individu spécifique, documentez ses responsabilités.
  • Semaines 1–2 : Effectuez un inventaire des données. Listez chaque type de données personnelles que vous collectez, où elles sont stockées, qui y a accès, et si vous les partagez avec des tiers.
  • Semaines 3–4 : Rédigez ou mettez à jour votre politique de confidentialité. Elle doit expliquer en langage simple : ce que vous collectez, pourquoi, comment vous l'utilisez, et comment les individus peuvent exercer leurs droits.
  • Semaines 3–4 : Mettez en place des mécanismes de consentement. Ajoutez une bannière de consentement aux cookies à votre site web. Ajoutez des cases à cocher opt-in explicites à tous vos formulaires de marketing courriel.
  • Semaines 5–6 : Sécurisez vos systèmes. Vérifiez que SSL est activé sur votre site. Activez l'AMF sur tous les systèmes contenant des données personnelles. Révisez qui a un accès administrateur.
  • Semaines 5–6 : Examinez vos fournisseurs tiers. Chaque fournisseur qui traite des données personnelles en votre nom doit avoir un Accord de traitement des données dans votre contrat.
  • Semaines 7–8 : Créez un plan de réponse aux incidents. Documentez comment vous détecterez une violation, qui est responsable de l'évaluation, et le processus de notification du CPVP.
  • Semaines 9–10 : Formez votre équipe. Chaque employé qui touche des données clients doit comprendre ses obligations.
  • En continu : Établissez un calendrier de conservation et de suppression. Définissez combien de temps vous conservez différentes catégories de données personnelles.

La conformité à la vie privée n'est pas un projet ponctuel — c'est une discipline opérationnelle continue. Mais établir les bases correctement est réalisable pour toute taille d'entreprise. Le coût de le faire correctement est une fraction du coût d'une seule enquête ou notification de violation. Réservez un audit gratuit de confidentialité et de sécurité avec notre équipe pour évaluer votre posture actuelle et élaborer une feuille de route de conformité pratique.

Besoin d'aide avec privacy & security ?

Réservez votre audit numérique gratuit

Notre équipe analysera votre situation et vous remettra un plan d'action personnalisé — sans frais, sans obligation.

Démarrer maintenantRetour au blogue