LPRPDE — Loi fédérale canadienne sur les renseignements personnels

LPRPDE en langage clair —
quand la loi fédérale s'invite chez une PME québécoise

La LPRPDE n'est pas qu'une affaire de banques et de télécoms. Dès qu'une PME québécoise vend hors Québec, sous-traite pour un secteur fédéral ou collecte des données interprovinciales, elle entre dans le radar du Commissariat fédéral. Ce guide explique quand la loi s'applique, ce qu'elle exige et comment elle se compare à la Loi 25.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre la LPRPDE — guide pratique pour les PME québécoises

Ce contenu approfondit la page d'introduction Loi 25 vs LPRPDE, qui couvre la question « quelle loi s'applique ». La présente page approfondit le contenu de la LPRPDE elle-même.

Préalable conseillé : avant d'aborder cette page, parcourir la vue d'ensemble Loi 25 vs LPRPDE pour comprendre quelle loi s'applique à votre organisation. La présente fiche présume cette base et entre dans le détail du régime fédéral.

Qu'est-ce que la LPRPDE et pourquoi c'est pertinent pour une PME québécoise

Définition : La LPRPDE — Loi sur la protection des renseignements personnels et les documents électroniques — est la loi fédérale canadienne adoptée en 2000 qui encadre la collecte, l'utilisation et la communication des renseignements personnels par les organisations privées dans le cadre d'activités commerciales. Elle est administrée par le Commissariat à la protection de la vie privée du Canada (CPVP).

À première vue, la LPRPDE peut sembler étrangère à une organisation québécoise — la Loi 25 est la loi locale, c'est elle qui s'applique au Québec. Mais dès qu'une activité commerciale traverse une frontière provinciale ou implique une organisation sous compétence fédérale, la LPRPDE entre en jeu.

Cas typiques où elle devient pertinente pour une PME québécoise :

  • Vente ou livraison hors Québec — un commerce en ligne basé à Lévis qui expédie en Ontario, un consultant montréalais qui sert un client albertain, une PME de Trois-Rivières qui collecte des coordonnées de prospects partout au Canada.
  • Contrat avec une organisation fédérale — banques, télécommunications, transport aérien et interprovincial, ports, aéroports, certains secteurs énergétiques. Le mandat lui-même peut tomber sous LPRPDE.
  • Sous-traitants ou partenaires dans des provinces sans loi privée — leurs activités relèvent par défaut de la LPRPDE, ce qui crée des asymétries dans les ententes contractuelles.

Le risque concret en cas d'ignorance : construire toute votre démarche de conformité sur la Loi 25 seule, puis découvrir lors d'une plainte ou d'un contrôle qu'une partie de vos activités relevait aussi du Commissariat fédéral — avec des notifications mal calibrées, le mauvais interlocuteur contacté, des exigences manquantes (comme le principe de responsabilité formelle exigé pour les transferts transfrontaliers selon les lignes directrices fédérales).

À retenir

La nature de l'activité prime sur l'adresse de l'organisation. Une PME québécoise peut être soumise à la LPRPDE sans avoir d'établissement hors Québec — il suffit qu'une activité commerciale traverse une frontière provinciale.

Méthode de tri du régime applicable — 5 questions à poser

Définition : Le droit canadien de la protection des renseignements personnels repose sur une logique de compétences constitutionnelles. Plusieurs lois peuvent sembler applicables à une situation donnée, mais une seule sera dominante. La méthode de tri permet d'identifier le régime principal avant de plonger dans les obligations de conformité.

Avant toute analyse de conformité, posez-vous ces cinq questions dans l'ordre :

  1. Qui est l'organisation? Privée ou publique? La LPRPDE encadre uniquement le secteur privé dans le cadre d'activités commerciales. Une organisation publique relève d'autres régimes (loi fédérale sur la vie privée pour le fédéral, loi sur l'accès au Québec).
  2. Quelle est la nature de son activité? Commerciale ou non? La LPRPDE ne s'applique qu'aux activités commerciales — les organisations à but non lucratif sans dimension commerciale en sont généralement exclues.
  3. Relève-t-elle d'une compétence fédérale? Banques, télécoms, transport interprovincial, radiodiffusion : peu importe leur localisation, elles relèvent du fédéral.
  4. Le traitement est-il interprovincial ou international? Les flux de renseignements personnels qui traversent une frontière provinciale dans le cadre d'une transaction commerciale activent la LPRPDE, même pour une organisation provinciale.
  5. S'agit-il d'un dossier clinique ou administratif? Les renseignements de santé ont souvent un régime particulier (Loi sur les services de santé et services sociaux au Québec, par exemple) qui peut prendre le pas sur les autres régimes.

Erreurs de raisonnement fréquentes à éviter :

  • ❌ Confondre lieu d'hébergement des données et loi applicable
  • ❌ Appliquer mécaniquement la Loi 25 à toute organisation québécoise sans analyser ses flux interprovinciaux
  • ❌ Oublier la compétence fédérale (banques, télécoms) qui prime sur la localisation
  • ❌ Mélanger secteur public et secteur privé dans une même analyse

À retenir

Toujours trancher le régime principal avant d'analyser les obligations. Une seule loi est généralement dominante — les autres peuvent s'appliquer de façon résiduelle ou complémentaire selon les flux de données concernés.

Structure de la LPRPDE — six parties et 10 principes équitables

Définition : La LPRPDE comporte six parties principales. Pour les PME, ce sont les Parties 1 (protection des renseignements personnels) et 2 (documents électroniques) qui ont une portée pratique directe. L'Annexe 1, qui reprend le Code CSA Q830, contient les 10 principes équitables qui constituent le cœur opérationnel de la loi.

Partie 1 — Protection des renseignements personnels (cœur de la loi) : couvre la collecte, l'utilisation et la communication des renseignements personnels par les organisations dans le cadre d'activités commerciales. C'est cette partie qui contient les obligations concrètes.

Partie 2 — Documents électroniques : établit la valeur juridique des documents électroniques, des signatures électroniques et des transactions numériques avec le gouvernement fédéral. Beaucoup moins citée que la Partie 1, mais utile pour comprendre la dimension « documents électroniques » du nom de la loi.

Parties 3 à 6 : modifications à d'autres lois fédérales (Loi sur la preuve au Canada notamment) et entrée en vigueur progressive. Pas d'impact opérationnel direct pour une PME.

Annexe 1 — Les 10 principes équitables (Code CSA) :

  1. Responsabilité — désigner une personne responsable de la conformité, documenter les politiques et les pratiques.
  2. Détermination des fins — préciser les finalités de la collecte avant ou au moment où elle se produit.
  3. Consentement — obtenir le consentement valide de la personne, sauf exception prévue par la loi.
  4. Limitation de la collecte — collecter seulement ce qui est nécessaire aux fins déclarées, par des moyens loyaux et licites.
  5. Limitation de l'utilisation, de la communication et de la conservation — n'utiliser et conserver les renseignements que pour les fins prévues.
  6. Exactitude — maintenir les renseignements exacts, complets et à jour.
  7. Mesures de sécurité — protéger les renseignements par des mesures proportionnées à leur sensibilité.
  8. Transparence — rendre les politiques et pratiques accessibles sur demande.
  9. Accès aux renseignements personnels — permettre à la personne de consulter et corriger ses renseignements.
  10. Possibilité de porter plainte — fournir un mécanisme de plainte interne et informer du recours au Commissariat fédéral.

Ces 10 principes ressemblent fortement aux obligations de la Loi 25, ce qui n'est pas un hasard : les deux lois découlent du même Code CSA Q830 et des mêmes recommandations OCDE de 1980.

Lois provinciales « substantiellement similaires » reconnues par le gouvernement fédéral : Loi 25 (Québec), PIPA (Alberta), PIPA (Colombie-Britannique). Pour les activités intraprovinciales dans ces trois provinces, c'est la loi provinciale qui s'applique. Pour les activités interprovinciales ou fédérales, la LPRPDE s'applique partout au Canada.

À retenir

Les 10 principes équitables sont le cœur opérationnel de la LPRPDE. Si vous avez structuré votre conformité Loi 25 (politique, registre, procédure d'accès, gestion des incidents), vous couvrez déjà l'essentiel des principes équitables — c'est la même filiation Code CSA.

Différences substantielles entre la LPRPDE et la Loi 25

Définition : Les deux lois protègent les renseignements personnels, mais avec des intensités, des autorités et des outils différents. Une organisation soumise aux deux régimes doit comprendre où la Loi 25 est plus stricte (la majorité des points) et où la LPRPDE impose des exigences propres (transferts transfrontaliers, secteurs fédéraux).
Élément LPRPDE (fédéral) Loi 25 (Québec)
Autorité de contrôle CPVP — rôle d'ombudsman, pouvoir d'ordonnance limité CAI — pouvoir d'ordonnance contraignante avec force exécutoire
Sanctions Recours civil possible après recommandation ; amendes peu appliquées Sanctions administratives jusqu'à 10 M$ ou 2 % CA mondial ; pénales jusqu'à 25 M$ ou 4 %
Responsable PRP Désignation requise (principe 1) — peu de précisions Désignation obligatoire avec coordonnées publiques (art. 3.1) — par défaut le plus haut dirigeant
EFVP Pratique recommandée — pas d'obligation explicite Obligatoire dans plusieurs cas (art. 3.3)
Notification d'incident Obligation depuis 2018 (art. 10.1) — « risque réel de préjudice grave » Obligation depuis 2022 — « risque qu'un préjudice sérieux soit causé »
Transferts hors juridiction Principe de responsabilité — l'organisation reste responsable Évaluation explicite obligatoire avant transfert hors Québec (art. 17)
Droit à la portabilité Non prévu Prévu (art. 27)
Décisions automatisées Non encadrées spécifiquement Encadrement explicite (art. 12.1) — droit à l'information sur la logique du traitement

Constat global : sur la majorité des points, la Loi 25 est plus stricte que la LPRPDE. Une organisation québécoise qui structure correctement sa conformité Loi 25 couvre généralement les exigences fédérales — sauf dans les nuances de notification (deux interlocuteurs différents) et de clauses contractuelles avec partenaires hors Québec.

À retenir

Viser la conformité Loi 25 d'abord = c'est le standard le plus strict applicable au Québec. Les organisations qui s'alignent correctement couvrent en pratique la majorité des exigences LPRPDE. La nuance critique se trouve dans les mécanismes de notification (deux autorités) et dans les clauses contractuelles avec partenaires hors Québec.

Quand la LPRPDE s'applique au Québec — trois situations concrètes

Définition : Une organisation québécoise est soumise à la LPRPDE — en plus ou à la place de la Loi 25 — dans trois situations principales : activités commerciales interprovinciales, organisation sous compétence fédérale, ou transferts internationaux non couverts par la Loi 25.

Situation 1 — Activités commerciales interprovinciales : flux de renseignements personnels traversant la frontière du Québec dans le cadre d'une transaction. Exemples : facturation d'un client en Ontario, livraison en Alberta, prestation de services à une entreprise au Manitoba. Ce sont les cas les plus fréquents pour une PME québécoise.

Situation 2 — Organisation sous compétence fédérale : peu de PME sont entièrement sous compétence fédérale, mais certaines activités spécifiques le sont. Exemple : un consultant qui agit comme sous-traitant pour une banque ou un télécom — le mandat lui-même tombe sous LPRPDE même si la PME est québécoise.

Situation 3 — Transferts internationaux dans le cadre d'activités interprovinciales : la Loi 25 encadre les transferts hors Québec, mais la LPRPDE peut aussi imposer ses obligations sur ces flux quand l'activité est interprovinciale. Cas d'usage du chevauchement.

Cas typique d'application mixte : une boutique en ligne québécoise qui vend partout au Canada doit composer avec les deux régimes. Pour les clients québécois, Loi 25. Pour les clients hors Québec, LPRPDE. En pratique, l'organisation applique le régime le plus strict pour chaque obligation — souvent la Loi 25, parfois la LPRPDE quand celle-ci est plus précise (notamment pour les transferts interprovinciaux).

À retenir

Une PME qui sert plusieurs provinces n'a pas à appliquer mécaniquement le régime le plus strict partout. La bonne pratique est de cartographier les flux de renseignements personnels par destination, et d'appliquer le régime correct pour chaque flux — Loi 25 pour les activités intraprovinciales, LPRPDE pour les flux interprovinciaux.

Particularités interprovinciales — quel régime s'applique selon la province

Définition : Trois lois provinciales sont reconnues « substantiellement similaires » à la LPRPDE pour le secteur privé : la Loi 25 au Québec, et les deux PIPA (Personal Information Protection Act) en Alberta et en Colombie-Britannique. Pour toutes les autres provinces et territoires, la LPRPDE fédérale s'applique par défaut aux activités commerciales. Une PME québécoise qui sert plusieurs provinces compose donc avec un patchwork de régimes selon la destination.
Province / territoire Régime applicable au privé Autorité de contrôle
Québec Loi 25 (LPRPSP modifiée) CAI Québec
Alberta PIPA Alberta Commissaire de l'information et de la vie privée de l'Alberta
Colombie-Britannique PIPA Colombie-Britannique Office of the Information and Privacy Commissioner of BC
Ontario, Manitoba, Saskatchewan, Nouveau-Brunswick, Nouvelle-Écosse, Île-du-Prince-Édouard, Terre-Neuve-et-Labrador LPRPDE fédérale (par défaut au privé) Commissariat à la protection de la vie privée du Canada
Yukon, Territoires du Nord-Ouest, Nunavut LPRPDE fédérale (par défaut au privé) Commissariat à la protection de la vie privée du Canada

Note : certaines provinces ont aussi une loi spécifique pour le secteur de la santé (ex. Personal Health Information Protection Act de l'Ontario), qui peut prendre le pas sur la LPRPDE pour les renseignements de santé.

Application pratique pour une PME québécoise :

  • Client en Ontario, Manitoba, Maritimes ou Territoires — le flux de renseignements personnels traversant la frontière du Québec dans le cadre d'une transaction active la LPRPDE pour cette portion du traitement. Le client peut porter plainte au Commissariat fédéral.
  • Client en Alberta ou en Colombie-Britannique — situation plus complexe : pour les activités intraprovinciales du client, c'est sa loi PIPA locale qui s'applique. Pour les flux transitant entre votre PME québécoise et lui, le régime LPRPDE peut s'appliquer en complément. En pratique, on documente dans la politique que les renseignements traités sont soumis aux régimes applicables selon la destination.
  • Sous-traitance pour une banque, un télécom ou un transporteur interprovincial — peu importe la province, ces secteurs sont sous compétence fédérale. La LPRPDE s'applique à toute portion de mandat traitant leurs renseignements personnels, même pour une PME québécoise.

Avenir de la LPRPDE en bref

Le projet de loi C-27, qui aurait remplacé la LPRPDE par la Consumer Privacy Protection Act (CPPA) et créé un cadre fédéral de l'IA (AIDA), n'a pas été adopté avant la prorogation du Parlement en janvier 2025. La LPRPDE reste en vigueur en 2026, sans modernisation majeure depuis l'introduction des obligations de notification d'incidents en 2018. Si une réforme fédérale arrive éventuellement, le différentiel entre LPRPDE et Loi 25 devrait diminuer — la Loi 25 a déjà servi de modèle aux discussions fédérales sur la modernisation.

À retenir

Une PME québécoise qui sert plusieurs provinces n'applique pas un seul régime universel — elle cartographie ses flux par destination et applique le régime correspondant. Pour les obligations qui se chevauchent, le réflexe pratique est d'appliquer le standard le plus strict (souvent la Loi 25), tout en documentant la pertinence d'autres régimes (LPRPDE, PIPA AB, PIPA BC) dans la politique interne.

Pour aller plus loin : cette page s'inscrit dans le guide Normes internationales (gouvernance) qui présente ISO 27001/27701, la LPRPDE et les régimes internationaux (RGPD, CCPA et 19 lois US d'État) — vue d'ensemble pour situer votre démarche.

En résumé

La LPRPDE est la loi fédérale canadienne sur les renseignements personnels, en vigueur depuis 2000. Elle s'applique aux activités commerciales interprovinciales et aux secteurs sous compétence fédérale (banques, télécoms). Pour une PME québécoise, elle s'invite dès qu'une activité traverse la frontière provinciale. Les 10 principes équitables de l'Annexe 1 (Code CSA Q830) en sont le cœur opérationnel — proches des obligations de la Loi 25, qui en est issue de la même filiation. La LPRPDE reste en vigueur en 2026 — le projet de loi C-27 (CPPA) n'a pas été adopté avant la prorogation de janvier 2025.

Réponse rapide

Une PME québécoise est-elle automatiquement soumise à la LPRPDE? Non. La Loi 25 est reconnue substantiellement similaire à la LPRPDE pour les activités intraprovinciales. La LPRPDE s'invite dès qu'il y a des flux interprovinciaux ou un mandat fédéral.

Loi 25 et LPRPDE — laquelle prime? Pour les activités au Québec : Loi 25. Pour les activités interprovinciales : LPRPDE. Une PME qui sert plusieurs provinces applique le régime correspondant à chaque flux, pas un régime universel.