Notes from the IAPP Canada: From playoff hopes to privacy reform, Ottawa eyes long-overdue comeback

The Ottawa Senators are heading back to the playoffs and, in Ottawa, that is reason enough for optimism. So, too, perhaps, is the federal government's long overdue plan to overhaul Canada's privacy.

The Privacy Act came into force in 1983 and badly shows its age. It does not impose modern baseline duties that most people would now expect, such as clear breach notification, disposal requirements once personal information is no longer needed or stronger enforcement powers for the privacy commissioner. In practical terms, Canada's core public sector privacy law has not kept pace with the digital state it's supposed to govern. 

That may now change. After nearly a decade of reports, consultations and collective hand-wringing, the Treasury Board of Canada Secretariat launched a comprehensive review of the Privacy Act, complete with a public consultation paper outlining big reform ideas. In fact, it's organized around six themes, which together would amount to a top-to-bottom overhaul of how federal institutions handle our personal data. 

Enabling better integrated services. The goal is to let departments share data more effectively so Canadians do not have to keep providing the same information to multiple programs. Done properly, this could improve service delivery. Done badly, it could simply expand internal data sharing without enough restraint.

Enhancing accountability and transparency. Simply put, this includes making privacy impact assessments mandatory in law, publishing plain-language summaries and creating clearer public reporting on how personal information is used, shared and affected by automated systems. In plain terms: fewer black boxes.

Stronger safeguards for our data. This theme would add basics the act still lacks, including mandatory breach notification, a clear necessity-and-proportionality standard for collection and use, and rules for retention and disposal. That matters because it would not just require government to protect personal information better, but to justify collecting and keeping it in the first place. These are overdue baseline protections.

Modernizing the foundation — and recognizing privacy as a right. Perhaps the most symbolic change on the table is an explicit recognition of privacy as a fundamental right in the law's text. That matters because it would make clear that privacy is not just a bureaucratic box to tick, but a core value that should shape how the act is interpreted and applied.

Beyond that, this theme is about updating the definitions and concepts in the act that have not kept pace with technology, whether that means rethinking terms like "record" and "personal information" for the age of big data or clarifying how the law applies to cloud services and artificial intelligence. 

It also includes improving how individuals access their own information and bringing the federal regime into better alignment with provincial and international standards. In short, this is the legal and conceptual reset needed to bring the act into line with 2026 realities, rather than leaving it tethered to its floppy-disk era origins.

Respecting Indigenous data sovereignty. One notably overdue addition in these reforms addresses something the original Privacy Act essentially ignored: the distinct privacy and data interests of Indigenous peoples. The proposals acknowledge that First Nations, Inuit and Métis communities should have greater control over personal and community data that relates to them. 

In practice, that could mean facilitating data-sharing arrangements that allow Indigenous governments and organizations to access federal data about their members more readily, while also ensuring Indigenous perspectives help shape how that data is collected, used and protected. The proposals also contemplate updating outdated terminology in the act itself. The bottom line is that a one-size-fits-all privacy law does not cut it here, and frankly never did.

Boosting oversight and enforcement. Last but certainly not least, the reform is looking to give the Privacy Act some real teeth. Right now, if a federal institution violates your privacy rights, the privacy commissioner can investigate and politely suggest fixes — but can't force a department to comply. 

The proposals would strengthen that framework, potentially by giving the commissioner order-making powers so findings carry legal force rather than polite institutional suggestion. The possibility of penalties for serious breaches or repeat offenders is also part of the logic here. Just as important, the paper contemplates a regular review cycle for the act itself, so we do not once again go 40-plus years without a serious update. That may be the least flashy proposal in the package, but it is one of the smartest if we want to avoid ending up back in the cassette-tape era a decade from now.

All told, these six themes promise a significant overhaul — basically dragging the federal privacy regime into the 21st century. It's still early days — these are proposals, after all, not final changes — and the government is collecting feedback until July. After that, they'll draft a bill and we'll see how much of their wish list actually makes it into law. Still, just having this blueprint is a big step forward considering how long experts and advocates have been calling for reform. It's the kind of comprehensive update that would address many of the Privacy Act's long-standing weaknesses, from transparency to enforcement.

So there you have it: a long-neglected privacy law might finally get the renovation it desperately needs. If everything goes right, Canadians could soon have a public-sector privacy law fit for the digital age — one that guards our rights while allowing government to serve us better. And hey, if a last-place hockey team can turn into a contender by spring, maybe a 40-year-old law can transform into something new and improved, too. One miracle at a time, right? For now, let's enjoy the playoff ride and keep an eye on Ottawa's other big comeback story. Go Sens go.

Notes de l’IAPP Canada : Des espoirs de séries éliminatoires à la réforme de la vie privée, Ottawa regarde un retour attendu depuis longtemps

Les Sénateurs d’Ottawa retournent en séries éliminatoires et, à Ottawa, cela suffit presque à nourrir l’optimisme. Il y a peut-être aussi une autre raison de l’être : le projet, attendu depuis longtemps, du gouvernement fédéral de moderniser la Loi sur la protection des renseignements personnels.

La Loi sur la protection des renseignements personnels est entrée en vigueur en 1983 et accuse sérieusement son âge. Elle n’impose pas certaines obligations de base qu’on tiendrait aujourd’hui pour acquises, comme une obligation claire de signaler les atteintes à la vie privée, des exigences d’élimination des renseignements personnels lorsqu’ils ne sont plus nécessaires ou des pouvoirs d’application plus robustes pour le Commissaire à la protection de la vie privée. En pratique, la principale loi fédérale sur la protection des renseignements personnels dans le secteur public n’a pas suivi l’évolution de l’État numérique qu’elle est censée encadrer.

Cela pourrait maintenant changer. Après près de dix ans de rapports, de consultations et de débats, le Secrétariat du Conseil du Trésor a lancé un examen complet de la Loi sur la protection des renseignements personnels, accompagné d’un document de consultation publique qui présente d’importantes pistes de réforme. Le tout s’articule autour de six thèmes qui, ensemble, équivaudraient à une refonte en profondeur de la façon dont les institutions fédérales traitent nos renseignements personnels. En voici un bref aperçu :

• Facilitation des services intégrés. L’objectif est de permettre aux ministères de communiquer les données plus efficacement afin que les Canadiens et Canadiennes n’aient pas à fournir les mêmes renseignements à plusieurs programmes. Bien encadré, cela pourrait améliorer la prestation des services. Mal encadré, cela pourrait simplement élargir le partage interne des données sans limites suffisantes.
• Amélioration de la responsabilisation et de la transparence. En clair, il s’agirait notamment de faire des évaluations des facteurs relatifs à la vie privée (EFVP) une obligation prévue par la loi, d’en publier des résumés en langage clair et d’améliorer l’information fournie au public sur la façon dont les renseignements personnels sont utilisés, communiqués et touchés par des systèmes décisionnels automatisés. En termes simples : moins de boîtes noires.
• Amélioration des mesures de protection pour l’ensemble du spectre de sensibilité des données. Ce thème ajouterait des protections de base qui manquent encore à la Loi, notamment une obligation de signalement en cas d’atteinte, une norme claire de nécessité et de proportionnalité pour la collecte et l’utilisation, ainsi que des règles sur la conservation et l’élimination. C’est important, parce qu’il ne s’agirait pas seulement d’obliger l’État à mieux protéger les renseignements personnels, mais aussi à justifier leur collecte et leur conservation dès le départ. Ce sont des protections de base attendues depuis longtemps.
• Modernisation des fondements de la protection de la vie privée et maintien de la confiance. Le changement le plus symbolique proposé est sans doute la reconnaissance explicite, dans le texte de loi, de la protection des renseignements personnels comme droit fondamental. C’est important parce que cela viendrait confirmer qu’il ne s’agit pas simplement d’une case administrative à cocher, mais d’une valeur centrale qui doit orienter l’interprétation et l’application de la Loi. Au-delà de cela, ce thème vise à mettre à jour les définitions et les concepts qui n’ont pas suivi le rythme de la technologie, qu’il s’agisse de repenser des termes comme « document » et « renseignement personnel » à l’ère des mégadonnées ou de préciser l’application de la Loi aux services infonuagiques et à l’intelligence artificielle. Il comprend aussi l’amélioration de l’accès des personnes à leurs propres renseignements et un meilleur arrimage du régime fédéral avec les normes provinciales et internationales. Bref, c’est la remise à niveau juridique et conceptuelle nécessaire pour adapter la Loi aux réalités de 2026 au lieu de la laisser attachée à l’ère de la disquette.
• L’accès des peuples autochtones à leurs données et protection de celles-ci. Un autre ajout nettement en retard dans ces réformes vise quelque chose que la Loi sur la protection des renseignements personnels d’origine a largement laissé de côté : les intérêts distincts des peuples autochtones en matière de protection des renseignements personnels et de données. Les propositions reconnaissent que les Premières Nations, les Inuit et les Métis devraient avoir un plus grand contrôle sur les renseignements personnels et les données communautaires qui les concernent. En pratique, cela pourrait passer par des mécanismes de partage de données permettant aux gouvernements et aux organisations autochtones d’accéder plus facilement aux données fédérales concernant leurs membres, tout en veillant à ce que les perspectives autochtones contribuent à orienter la façon dont ces données sont recueillies, utilisées et protégées. Les propositions envisagent aussi de mettre à jour la terminologie désuète dans la Loi elle-même. En clair, une loi uniforme en matière de protection des renseignements personnels ne suffit pas ici et, franchement, n’a jamais suffi.
• Mise à jour du cadre de conformité. Enfin, la réforme vise à donner de vraies dents à la Loi sur la protection des renseignements personnels. À l’heure actuelle, lorsqu’une institution fédérale porte atteinte à vos droits à la vie privée, le Commissaire à la protection de la vie privée peut enquêter et recommander poliment des correctifs, mais il ne peut pas obliger un ministère à s’y conformer. Les propositions visent à renforcer ce cadre, notamment en conférant potentiellement au Commissaire le pouvoir de rendre des ordonnances, de sorte que ses conclusions aient une véritable portée juridique plutôt que la force d’une simple suggestion institutionnelle. La possibilité de sanctions pour les atteintes graves ou les contrevenants récidivistes fait aussi partie de la réflexion. Tout aussi important, le document envisage un cycle d’examen régulier de la Loi elle-même, afin qu’on n’attende pas de nouveau plus de quarante ans avant une mise à jour sérieuse. Ce n’est peut-être pas la proposition la plus spectaculaire du lot, mais c’est l’une des plus judicieuses si l’on veut éviter de se retrouver encore coincés à l’ère de la cassette dans dix ans.

Dans l’ensemble, ces six thèmes annoncent une réforme importante, autrement dit une tentative de faire entrer enfin le régime fédéral de protection des renseignements personnels dans le XXIe siècle. Nous n’en sommes encore qu’aux premières étapes — il s’agit de propositions, pas encore de changements définitifs — et le gouvernement recueille des commentaires jusqu’au 10 juillet 2026. Ensuite, il rédigera un projet de loi, et nous verrons quelle part de cette liste de souhaits se retrouvera réellement dans le texte final. Cela dit, le simple fait d’avoir maintenant cette feuille de route constitue déjà un pas important, compte tenu du temps depuis lequel les experts et les défenseurs de la vie privée réclament une réforme. C’est le genre de mise à jour globale qui pourrait enfin corriger plusieurs faiblesses de longue date de la Loi, de la transparence à l’application.

En somme, une loi sur la protection des renseignements personnels longtemps négligée pourrait enfin obtenir la rénovation dont elle a désespérément besoin. Si tout se passe bien, les Canadiens et Canadiennes pourraient bientôt avoir une loi du secteur public adaptée à l’ère numérique, une loi qui protège leurs droits tout en permettant au gouvernement de mieux les servir. Et, bon, si une équipe de hockey bonne dernière peut devenir prétendante au printemps, peut-être qu’une loi de 40 ans peut elle aussi se transformer en quelque chose de nouveau et de meilleur. Un miracle à la fois. Pour l’instant, profitons de la série et gardons un œil sur l’autre grand retour qui se joue à Ottawa. (Go Sens Go!)

This French companion article is not meant to be an exact translation, but rather an article that generally covers the same topic as the English article.