Notes from the IAPP Canada: Digital policy wave in Canada gathers force

This week, I'm going to do something slightly different and resist the usual instinct to try to wrap everything up neatly in a few paragraphs.

Partly because it's been a busy stretch in Canada's digital policy world. But more than that, because "busy" doesn't quite capture it. Over the past few months, we've seen something closer to a tidal wave: the Office of the Privacy Commissioner's Annual Report, ongoing investigations into OpenAI and Grok, and the tabling of not one but two significant pieces of legislation, all landing in fairly quick succession.

Normally, each of those would be enough to anchor its own month or two of commentary. Instead, they've all shown up at once, overlapping and, in some cases, subtly reinforcing each other.

So rather than pretend this can be fully digested here, I sat down to talk it through with a friend and colleague.

The conversation was on the IAPP's Privacy Advisor podcast, which allows for a bit more space to connect the dots. IAPP Editorial Director Jedidiah Bracy and I unpack the recent flood of developments, including two bills that could, in very different ways, reshape Canada's digital landscape.

Bill C-34 takes direct aim at youth access to social media, putting forward a framework that would restrict access for those under age 16. It's the kind of proposal that raises immediate practical questions and, if we're being honest, a few enforcement puzzles that don't yet have clear answers.

Bill C-36, meanwhile, is the long-awaited replacement for the Personal Information Protection and Electronic Documents Act. In many respects, it will feel familiar to anyone who followed Bill C-27 in the last Parliament. There aren't a lot of surprises in the overall structure or substance. But there is one feature that has drawn more than a bit of attention.

The proposed enforcement model looks very different.

Instead of the OPC continuing in its current investigative and recommendation-based role with the private sector, the plan appears to shift enforcement to a more traditional administrative tribunal, with the ability to issue binding orders and impose meaningful monetary penalties. Think less ombudsman, more regulator with teeth, edging closer to what we've seen in Quebec and the EU.

That's a significant change, and one that seems to have arrived with relatively little public runway. It has already prompted some fairly pointed questions about how the model was developed and whether there should have been more consultation before such a structural shift was put on the table.

We get into all that in the podcast, along with a few candid observations about what this might mean in practice for organizations trying to navigate an environment that feels like it's changing faster than usual.

If you've had the sense lately that the pace is picking up in Canada, you're not imagining things. The more interesting issue may be what all this activity signals about where our industry is heading, and how quickly.

That's probably easier to hear in a conversation than read in a column. Listen here: All Things Canadian Digital Policy: A Conversation with Kris Klein.

Notes de l'IAPP Canada : La vague des politiques numériques au Canada prend de l'ampleur

Cette semaine, je vais faire quelque chose d’un peu différent et résister à l’envie habituelle de tout résumer bien proprement en quelques paragraphes.

En partie parce que l’actualité a été chargée dans le monde canadien des politiques numériques. Mais surtout parce que « chargé » ne rend pas vraiment justice à ce que nous venons de vivre. Au cours des derniers mois, nous avons plutôt assisté à une véritable vague de fond : le rapport annuel du Commissariat à la protection de la vie privée, les enquêtes en cours visant OpenAI et Grok et le dépôt de non pas un, mais deux projets de loi importants, le tout à un rythme assez soutenu.

Habituellement, chacun de ces éléments suffirait à alimenter un mois ou deux de commentaires. Cette fois-ci, ils sont tous arrivés en même temps, se chevauchent et, dans certains cas, se renforcent discrètement les uns les autres.

Plutôt que de prétendre que tout cela peut être pleinement digéré ici, j’ai donc pris le temps d’en discuter avec un ami et collègue.

La conversation a eu lieu dans le balado Privacy Advisor de l’IAPP, qui permet, heureusement, de prendre un peu plus de recul et de relier les points. Avec Jed Bracy de l’IAPP, nous revenons sur cette série récente de développements, notamment deux projets de loi qui pourraient, de façons très différentes, transformer le paysage numérique canadien.

Le projet de loi C-34 vise directement l’accès des jeunes aux médias sociaux, en proposant un cadre qui limiterait l’accès pour les personnes de moins de 16 ans. C’est le type de mesure qui soulève immédiatement des questions pratiques et, disons-le franchement, quelques défis d’application qui demeurent sans réponse claire.

Le projet de loi C-36, pour sa part, constitue le remplacement attendu depuis longtemps de la LPRPDE. À plusieurs égards, il semblera familier à ceux qui ont suivi le projet de loi C-27 lors de la dernière législature. On y retrouve peu de surprises dans la structure ou le fond. Mais un élément en particulier a retenu l’attention.

Le modèle d’application proposé est sensiblement différent.

Au lieu de maintenir le rôle actuel du Commissariat, fondé sur l’enquête et la recommandation dans le secteur privé, l’approche envisagée semble transférer l’application de la loi vers un tribunal administratif plus traditionnel, doté du pouvoir de rendre des ordonnances exécutoires et d’imposer des sanctions administratives pécuniaires significatives. Moins ombudsman, plus organisme de réglementation avec de réels moyens d’intervention, se rapprochant des modèles observés au Québec et en Europe.

Il s’agit d’un changement important, qui semble être apparu avec relativement peu de visibilité publique préalable. Il a déjà suscité certaines questions assez directes sur la manière dont ce modèle a été élaboré et sur l’opportunité d’avoir mené des consultations plus larges avant d’introduire un changement aussi structurant.

Nous abordons tout cela dans le balado, ainsi que quelques observations franches sur ce que cela pourrait signifier concrètement pour les organisations qui tentent de s’adapter à un environnement qui évolue plus rapidement qu’à l’habitude.

Si vous avez l’impression que le rythme s’accélère au Canada, vous n’avez pas tort. La question la plus intéressante est peut-être de savoir ce que cet ensemble de développements révèle quant à l’évolution du cadre canadien en matière de protection de la vie privée, et à la vitesse à laquelle celui-ci est en train de changer.

C’est probablement plus facile à entendre dans une conversation qu’à lire dans une chronique.

Vous pouvez écouter ici :
All Things Canadian Digital Policy: A Conversation with Kris Klein

This French companion article is not meant to be an exact translation, but rather an article that generally covers the same topic as the English article.