anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

OPC Canada : De PIPEDA au projet de loi C-27...

L'OPC du Canada applique la PIPEDA pendant que le Parlement traite le projet de loi C-27 sur l'IA et la protection des données.

June 5, 202610 min de lecture
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

Le droit canadien à la vie privée évolue rapidement. L'Office de la protection de la vie privée (OPC) applique actuellement la LPRPDE. Le projet de loi C-27 remplacerait la LPRPDE par des règles plus strictes. L'accord de transfert de données entre le Canada et l'UE est également en cours de révision en 2026. Voici ce que vous devez savoir.

La loi canadienne actuelle sur la protection des données

La LPRPDE est la principale loi sur la protection des données dans le secteur privé au Canada. Elle est en vigueur depuis 2001. Elle couvre les entreprises des secteurs de réglementation fédérale. Elle s'applique aussi dans les provinces sans loi propre.

Trois provinces ont leur propre loi : l'Alberta, la Colombie-Britannique et le Québec.

La Loi 25 du Québec est la plus stricte. Elle est entrée en vigueur en phases en 2022 et 2023. Elle exige des évaluations d'impact sur la vie privée et un responsable désigné. Elle est bien plus proche du RGPD de l'UE que l'ancienne LPRPDE.

L'OPC a traité plus de 400 plaintes liées à la LPRPDE en 2024. Il a émis des ordonnances contraignantes contre Tim Hortons pour collecte de données de localisation sans consentement. Plusieurs opérateurs d'applications de santé ont également reçu des ordonnances cette année-là.

Projet de loi C-27 : Trois nouvelles lois

Le projet de loi C-27 progresse au Parlement. Il comporte trois parties.

Loi sur la protection de la vie privée des consommateurs (LPVPC) remplace la LPRPDE. Changements clés :

  • Règles de limitation des finalités et de minimisation des données.
  • Règles de consentement plus strictes.
  • Amendes pouvant atteindre 3 % du chiffre d'affaires mondial ou 10 M$ CAD — selon le montant le plus élevé.
  • Droits à la portabilité des données.
  • Règles de divulgation pour les décisions automatisées.

Loi sur l'intelligence artificielle et les données (LIAD) ajoute des règles sur l'IA :

  • Règles fondées sur le risque pour les systèmes d'IA.
  • Évaluations des risques obligatoires pour l'IA à fort impact.
  • Règles de divulgation pour l'IA qui affecte les personnes.
  • Une interdiction de l'IA conçue pour nuire.

Loi sur le Tribunal de la protection des renseignements personnels et des données crée un nouvel organe d'appel. Cela remplace l'actuelle procédure devant la Cour fédérale.

Découvrez comment le Canada se compare à d'autres lois sur la vie privée dans notre guide mondial de conformité à la protection des données.

Données personnelles canadiennes : ce qu'il faut détecter

Les fichiers canadiens contiennent des types d'identifiants uniques. Votre outil doit les gérer tous.

NAS (Numéro d'assurance sociale) : Neuf chiffres. Format : XXX-XXX-XXX. Il utilise la vérification Luhn. Le NAS figure dans les déclarations fiscales, les fiches de paie et les dossiers de prestations. C'est l'identifiant canadien le plus sensible.

Numéros de carte de santé provinciale : Le Canada compte 13 provinces et territoires. Chacun utilise un format différent. Il n'existe pas de norme fédérale. Formats principaux :

  • Ontario OHIP : 10 chiffres plus un code de 2 lettres.
  • Alberta AHCIP : numéro de santé personnel à 9 chiffres.
  • Carte Service CB : NPS à 10 chiffres.
  • Québec RAMQ : 12 caractères — code les initiales du nom de famille et la date de naissance.

Un outil conforme doit prendre en charge les 13 formats.

Numéro d'entreprise ARC : Neuf chiffres. Émis par l'Agence du revenu du Canada.

Données personnelles bilingues : anglais et français

Le Canada est officiellement bilingue. Les formulaires fédéraux mélangent souvent les deux langues sur une même page.

Les données personnelles en français ont leurs propres exigences :

  • Noms : Les noms français comportent des lettres accentuées. Un outil qui rate les accents ratera des entités.
  • Adresses : Les adresses québécoises utilisent des termes français — Rue, Avenue, Boulevard, Chemin. Les analyseurs doivent les traiter.
  • Numéros RAMQ : Le numéro de santé québécois encode les initiales du nom de famille. La détection doit être adaptée au français.

Pour une comparaison, voyez comment la DPDPA de l'Inde gère les données personnelles multilingues.

Le risque d'adéquation UE en 2026

La décision d'adéquation UE du Canada date de 2001. C'était la toute première accordée par la Commission européenne. Elle a passé toutes les révisions jusqu'à présent.

La révision 2026 est différente. Deux points se démarquent.

Premier point : la loi canadienne C-26 sur la cybersécurité (2024) oblige les entreprises critiques à signaler les incidents au CST. Le CST est l'agence de renseignement électronique du Canada. La Commission vérifiera si l'accès du CST à ces données est compatible avec le RGPD.

Deuxième point : le Canada fonctionne toujours sous la LPRPDE. La Commission a noté que l'application de la LPRPDE est faible. La LPVPC n'est pas encore en vigueur.

Si l'adéquation est suspendue ou révoquée, tous les transferts UE-Canada doivent immédiatement passer aux CCT ou aux RCE.

Commencez à planifier maintenant. Attendre la décision, c'est trop tard.

Pour comprendre l'impact du risque d'adéquation sur les entreprises, consultez notre guide des amendes RGPD.

Exigences minimales de conformité

Pour les organisations ayant des activités au Canada, la base technique est :

  1. Détection du NAS avec vérification Luhn.
  2. Traitement bilingue des données personnelles en anglais et en français.
  3. Détection de la carte de santé Ontario OHIP.
  4. Détection de la carte de santé Québec RAMQ.
  5. Les 13 formats provinciaux pour une conformité complète à la LPVPC.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.