Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

La LPRPDE est la loi fédérale canadienne sur la vie privée du secteur privé, en vigueur depuis 2000 et s'appliquant aux organisations qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre d'activités commerciales. La loi repose sur dix principes de traitement équitable de l'information : responsabilité, détermination des fins, consentement, limitation de la collecte, limitation de l'utilisation, de la divulgation et de la conservation, exactitude, mesures de sécurité, transparence, accès individuel et possibilité de contester la conformité. La LPRPDE s'applique dans tout le Canada, sauf dans les provinces disposant d'une législation provinciale essentiellement similaire (Québec, Colombie-Britannique, Alberta).

Le cadre de consentement de la LPRPDE distingue entre le consentement exprès (requis pour les renseignements sensibles) et le consentement implicite (acceptable pour les renseignements non sensibles dont la finalité serait évidente pour une personne raisonnable). La loi fait l'objet d'une réforme importante, avec une proposition de législation de remplacement visant à moderniser le cadre canadien de protection de la vie privée. Le Commissariat à la protection de la vie privée du Canada (CPVP) supervise la conformité, bien que ses pouvoirs d'application aient historiquement été plus limités que ceux des APD européennes. Le CPVP peut enquêter sur les plaintes, mener des audits et publier des conclusions, mais ne peut pas directement imposer d'amendes — une limitation que les réformes proposées cherchent à corriger.