anonym.legal
Retour au blogGDPR & Conformité

OPC Canada : De PIPEDA au projet de loi C-27 — La modernisation de la vie privée au Canada et ce que cela signifie pour l'IA

L'OPC du Canada applique la PIPEDA pendant que le Parlement traite le projet de loi C-27 sur l'IA et la protection des données. Le Canada conserve l'adéquation du RGPD de l'UE lors de l'examen de 2026. Le NAS, les cartes de santé provinciales et les exigences de traitement bilingue.

March 7, 202610 min de lecture
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

Le Bureau du commissaire à la protection de la vie privée du Canada (OPC) supervise une transition significative dans la législation canadienne sur la vie privée. La Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) — la loi fédérale canadienne sur la vie privée du secteur privé depuis 2001 — est remplacée par la Loi sur la protection de la vie privée des consommateurs (CPPA) dans le cadre du projet de loi C-27, qui créerait également une nouvelle Loi sur l'intelligence artificielle et la protection des données (AIDA). Cette transition législative se produit alors que la décision d'adéquation du Canada au RGPD de l'UE est en cours d'examen en 2026.

Le paysage actuel de la vie privée au Canada

PIPEDA régit le traitement des renseignements personnels dans le secteur privé dans les industries réglementées au niveau fédéral et dans les provinces sans législation substantiellement similaire. L'Alberta, la Colombie-Britannique et le Québec ont leurs propres lois provinciales sur le secteur privé. La Loi 25 du Québec (mise en œuvre échelonnée 2022-2023) est la loi provinciale la plus similaire au RGPD, exigeant des évaluations d'impact sur la vie privée et des nominations d'agents de protection de la vie privée.

Application par l'OPC : L'OPC a enquêté sur plus de 400 plaintes PIPEDA en 2024, avec des ordonnances contraignantes contre Tim Hortons (collecte de données de localisation sans consentement) et plusieurs opérateurs d'applications de santé étant les actions d'application les plus significatives de 2024.

Adéquation avec l'UE : Le Canada conserve sa décision d'adéquation au RGPD de l'UE — accordée en 2001 dans le cadre du cadre d'adéquation original. Cela signifie que les données personnelles de l'UE peuvent être transférées au Canada sans garanties supplémentaires (SCC, BCR). Cependant, la Commission européenne effectue un examen en 2026, et l'adéquation n'est pas garantie de survivre à l'examen compte tenu de l'évolution du paysage législatif sur la surveillance au Canada.

Projet de loi C-27 : Le cadre proposé

Le projet de loi C-27 progresse au Parlement avec trois composantes :

Loi sur la protection de la vie privée des consommateurs (CPPA) : Remplace la PIPEDA par :

  • Des exigences de limitation des finalités et de minimisation des données (plus proches du RGPD que de la PIPEDA)
  • Des exigences de consentement significatif
  • Une application considérablement renforcée — l'OPC peut désormais imposer des pénalités administratives allant jusqu'à 3 % du chiffre d'affaires mondial ou 10 millions de dollars canadiens, selon le montant le plus élevé
  • Des droits à la portabilité des données
  • Des exigences de transparence pour la prise de décision automatisée

Loi sur l'intelligence artificielle et la protection des données (AIDA) :

  • Surveillance basée sur le risque des systèmes d'IA (l'IA à fort impact nécessite une évaluation obligatoire)
  • Exigences de transparence pour les décisions automatisées affectant les individus
  • Interdiction des systèmes d'IA conçus pour causer des dommages

Loi sur le tribunal de la protection des renseignements personnels et des données : Crée un nouveau tribunal pour entendre les appels des ordonnances de l'OPC — réduisant le cycle actuel de plainte-enquête-Cour fédérale.

Identifiants nationaux canadiens

NAS (Numéro d'assurance sociale) : Numéro à 9 chiffres attribué à tous les résidents canadiens pour l'accès à l'emploi et aux prestations sociales. Format XXX-XXX-XXX, avec un chiffre de contrôle utilisant l'algorithme de Luhn. Le NAS est l'identifiant canadien le plus sensible — il apparaît dans les dossiers d'emploi, les documents fiscaux et l'inscription aux prestations.

Numéros de carte de santé provinciale : Le Canada compte 13 provinces et territoires, chacun ayant son propre système de numérotation des cartes de santé. Les numéros de santé provinciaux ne sont pas standardisés au niveau fédéral :

  • OHIP (Ontario) : numéro à 10 chiffres + code de version à 2 lettres
  • AHCIP (Alberta) : numéro de santé personnel à 9 chiffres
  • Carte de services de la Colombie-Britannique (BC) : numéro de santé personnel à 10 chiffres
  • RAMQ (Québec) : format alphanumérique à 12 caractères (format HHH-AAAA-MMDD encodant les initiales du nom de famille, la date de naissance)
  • Autres provinces : divers formats

Un outil canadien de PII doit gérer au moins 13 formats distincts de cartes de santé provinciales pour une conformité complète à la PIPEDA/CPPA.

Numéro d'entreprise de l'ARC : Numéro d'entreprise à 9 chiffres (BN) délivré par l'Agence du revenu du Canada pour toutes les entreprises canadiennes. Format NNNNNNNNN.

Traitement bilingue : anglais et français

Le Canada est officiellement bilingue — anglais et français. Les organisations opérant au niveau fédéral ou dans des contextes bilingues traitent des documents dans les deux langues, souvent dans le même document (par exemple, les formulaires gouvernementaux fédéraux bilingues).

Exigences PII bilingues :

  • Noms : les noms en français incluent des caractères comme é, è, ê, ë, à, â, î, ô, û, ç, œ. Les modèles de traitement du langage naturel qui ne gèrent pas correctement les caractères accentués en français génèrent des erreurs dans la reconnaissance des entités en langue française.
  • Adresses : les adresses du Québec utilisent des conventions françaises ("Rue," "Avenue," "Boulevard," "Chemin"). Les modèles d'analyse d'adresses doivent gérer les formats d'adresses en langue française.
  • Numéros RAMQ : le format du numéro de santé du Québec encode les initiales du nom de famille — un identifiant en langue française qui nécessite une détection consciente du français.

L'adéquation du Canada avec l'UE : Le risque de 2026

La décision d'adéquation de 2001 du Canada a été la première décision d'adéquation de l'UE jamais accordée. Elle a survécu à plusieurs examens. Mais l'examen de 2026 se déroule dans un contexte différent :

  • La législation canadienne sur la cybersécurité C-26 (2024) exige que les infrastructures critiques signalent les incidents cybernétiques au Centre de la sécurité des télécommunications (CST) — l'agence de renseignement des signaux du Canada. L'examen de l'adéquation évaluera si l'accès du CST aux données d'incidents constitue un conflit avec la loi sur la surveillance du RGPD.
  • Le Canada n'a pas encore mis en œuvre la CPPA ou l'AIDA du projet de loi C-27, ce qui signifie que l'examen se déroule sous la PIPEDA — une loi que la Commission a précédemment notée comme ayant des faiblesses d'application.

Les organisations utilisant la décision d'adéquation du Canada au RGPD comme base pour les transferts UE-Canada devraient surveiller l'examen de 2026. Si l'adéquation est suspendue ou révoquée, la mise en œuvre immédiate des SCC ou des BCR serait requise.

Pour les organisations ayant des opérations canadiennes : la détection du NAS avec validation de Luhn, le traitement bilingue des PII en anglais/français, et le support au moins pour les numéros de santé provinciaux OHIP de l'Ontario et RAMQ du Québec sont les exigences de conformité de base en matière de PII au Canada.

Sources :

Articles connexes

GDPR & Conformité

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Conformité

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Conformité

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités