Surveillance & Droits

CPVP vs CAI : qui surveille votre vie privée au Canada

Illustration: CPVP vs CAI : qui surveille votre vie privée au Canada
Mis à jour décembre 2025 5 min de lecture 0

J’ai vu ça plus d’une fois : quelqu’un envoie une plainte formelle contre une entreprise qui a mal géré ses données personnelles. Dix-huit mois plus tard, la réponse est : “Vous n’êtes pas au bon endroit.” Le dossier est transféré à l’autre organisme. On recommence à zéro.

Au Canada, la protection de la vie privée est partagée entre deux niveaux de gouvernement. Si vous ne savez pas lequel s’applique à votre situation, votre plainte peut tomber dans un trou juridictionnel.

CPVP — La juridiction fédérale

Le Commissariat à la protection de la vie privée du Canada (CPVP) applique la LPRPDE — Loi sur la protection des renseignements personnels et les documents électroniques — et bientôt la Loi C-27 (modernisation en cours au fédéral).

Le CPVP couvre les entreprises sous réglementation fédérale et celles qui font des activités commerciales entre provinces ou à l’international.

Entreprises sous juridiction CPVP :

  • Banques (Banque Nationale, TD, BMO, Desjardins quand elle opère hors Québec)
  • Compagnies d’assurance fédérales
  • Entreprises de télécommunications (Bell, Rogers, Telus, Vidéotron quand ses activités dépassent le Québec)
  • Transporteurs aériens (Air Canada, WestJet)
  • Entreprises interprovinciales ou internationales
  • Gouvernement fédéral et ses organismes

La LPRPDE impose des obligations de consentement, d’accès, de correction et de notification des violations. Depuis novembre 2018, les entreprises doivent notifier les individus et le CPVP en cas de brèche “à risque réel de préjudice grave”.

CAI — La juridiction provinciale

La Commission d’accès à l’information (CAI) applique la Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — et la Loi sur l’accès aux documents des organismes publics.

Le Québec est la seule province canadienne à avoir une loi sur la vie privée jugée “essentiellement similaire” à la LPRPDE par le fédéral — ce qui signifie que pour les entreprises provinciales québécoises, c’est la Loi 25 et la CAI qui s’appliquent, pas le fédéral.

Entreprises sous juridiction CAI :

  • PME québécoises (commerces, boutiques, restaurants)
  • Cliniques médicales, dentistes, optométristes
  • Notaires, avocats, comptables au Québec
  • Organismes à but non lucratif québécois
  • Municipalités et organismes publics provinciaux
  • Établissements d’enseignement (cégeps, universités provinciales)

La Loi 25 est maintenant pleinement en vigueur (phase 3 : septembre 2023). Les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial — ce n’est plus symbolique.

Tableau : qui régule quoi

Type d’entrepriseCPVP (fédéral)CAI (provincial)
Banques, caisses populaires interprovinciales
Desjardins (opérations québécoises)
Bell, Rogers, Telus
Vidéotron (opérations QC seulement)
Air Canada, WestJet
Clinique médicale au Québec
Notaire, avocat au Québec
PME e-commerce au Québec uniquement
Amazon, Google, Meta (Canada)
Gouvernement du Québec
Gouvernement fédéral
Hôpital provincial (CHU, CHSLD)

Pour les géants tech comme Google ou Meta, c’est le CPVP fédéral qui s’applique — mais la CAI a aussi émis des décisions contre certaines de leurs pratiques au Québec. Les deux organismes peuvent collaborer.

Comment porter plainte — processus concret

Plainte à la CAI

  1. Formulaire en ligne : cai.gouv.qc.ca → Déposer une plainte
  2. Délai : vous devez d’abord contacter l’entreprise et lui donner 30 jours pour répondre avant de plaindre à la CAI (sauf urgence)
  3. Ce que vous fournissez : nom de l’entreprise, description de la violation, vos tentatives de résolution
  4. Délai de traitement : variable, souvent 6-12 mois pour les cas simples
  5. Pouvoirs de la CAI : enquête, ordonnances, amendes, déclaration publique

Plainte au CPVP

  1. Formulaire en ligne : priv.gc.ca → Déposer une plainte
  2. Délai : délai de résidence similaire — tentative directe avec l’entreprise d’abord
  3. Ce que vous fournissez : même information, plus les échanges avec l’entreprise
  4. Délai de traitement : 12-18 mois en moyenne, dossiers complexes jusqu’à 3 ans
  5. Pouvoirs du CPVP : recommandations, puis recours au Tribunal canadien de protection des renseignements personnels (avec C-27)

Le piège à éviter

Le CPVP et la CAI ne transfèrent pas automatiquement les dossiers entre eux. Si vous envoyez votre plainte au mauvais organisme, vous perdez du temps. Vérifiez d’abord la juridiction.

En cas de doute : soumettez aux deux en parallèle. Expliquez dans chaque plainte que vous avez aussi contacté l’autre organisme. Ce n’est pas interdit — et pour les cas interprovincaux, les deux peuvent avoir juridiction.

Ce qui se passe si une entreprise ignore les deux

Les deux organismes ont des pouvoirs d’enquête et de sanction. Mais historiquement, leurs décisions n’étaient que des “recommandations” non contraignantes.

Ça a changé.

La Loi 25 donne à la CAI le pouvoir d’émettre des sanctions administratives pécuniaires directement — sans passer par les tribunaux. Les premières amendes sous la Loi 25 ont été émises en 2024 contre des entreprises québécoises.

Le CPVP est en transition avec C-27 : si adopté, il aura des pouvoirs similaires de sanctions directes. En attendant, le CPVP peut rendre des “décisions” (depuis la Loi 25 fédérale de 2020) — mais l’application reste via les tribunaux.

Ce que vous pouvez faire maintenant

  1. Identifiez l’organisme compétent avant de porter plainte — une erreur de juridiction vous coûte des mois
  2. Documentez vos échanges avec l’entreprise avant de plaindre — les deux organismes veulent voir que vous avez tenté la résolution directe
  3. Si vous êtes une PME québécoise : c’est la CAI et la Loi 25 qui s’appliquent à vous — pas le CPVP fédéral. Un audit de conformité Loi 25 est la façon la plus directe de savoir où vous en êtes

La protection de la vie privée au Canada est fragmentée par conception. Ce n’est pas un défaut — c’est le fédéralisme. Mais ça crée de la confusion pour les particuliers qui veulent se défendre, et pour les entreprises qui veulent se conformer.

Pour les entreprises québécoises, la Loi 25 est la référence. Elle est plus exigeante que la LPRPDE sur plusieurs points — notamment sur le consentement, la transparence et les délais de notification.

Sequr — Agent certifié québécois

À lire aussi :

Khalid Mokrini

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5) Québec, Canada

Articles connexes

Surveillance & Droits

Warrant Canary : le silence d'un site comme alarme

Reddit a retiré son Warrant Canary en 2016 — signal discret que quelque chose avait changé. Expliqué.
Surveillance & Droits

Caméra extérieure : guide pour bien choisir et installer

Comment choisir et installer une caméra de surveillance extérieure en 2026. Résolution, stockage, résistance au froid québécois, positionnement optimal.
Surveillance & Droits

Self-Sovereign Identity : posséder son identité en ligne

Instagram peut supprimer votre compte demain. Le SSI permet de posséder votre identité sans serveur central.

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec