Terme du glossaire · P
PIPEDA (Personal Information Protection and Electronic Documents Act, Canada)
Définition
Le PIPEDA (Personal Information Protection and Electronic Documents Act, en français : Loi sur la protection des renseignements personnels et les documents électroniques) est la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé (L.C. 2000, ch. 5). Elle encadre la collecte, l'utilisation et la divulgation d'informations personnelles dans les activités commerciales interprovinciales et internationales. Son équivalent canadien du RGPD européen, bien que moins strict sur certains points (consentement implicite parfois admis, sanctions financières plus faibles).
Les 10 principes du PIPEDA (issus du Canadian Standards Association CAN/CSA-Q830) :
1. Responsabilité — désigner un responsable de la protection des renseignements personnels.
2. Détermination des fins — annoncer clairement la finalité de la collecte.
3. Consentement — recueillir un consentement éclairé.
4. Limitation de la collecte — collecter le strict nécessaire.
5. Limitation de l'utilisation — n'utiliser que pour les fins annoncées.
6. Exactitude — maintenir les données à jour.
7. Mesures de sécurité — protection technique et organisationnelle adaptée.
8. Transparence — politique de confidentialité publique.
9. Accès aux renseignements personnels — droit d'accès et de rectification.
10. Possibilité de porter plainte — au Commissariat à la protection de la vie privée du Canada.
PIPEDA et signature électronique : la signature électronique implique le traitement de données personnelles (nom, adresse e-mail, numéro de téléphone, IP, métadonnées de session, piste d'audit). Le PIPEDA exige :
• consentement éclairé du signataire avant collecte ;
• conservation sécurisée (chiffrement au repos, accès restreint) ;
• durée de conservation proportionnée à la finalité (10 ans pour les contrats commerciaux est généralement accepté) ;
• droit d'accès, de rectification et de suppression sur demande du signataire ;
• notification obligatoire en cas de violation présentant un risque réel de préjudice grave (depuis 2018).
Loi 25 du Québec : la province du Québec dispose de sa propre loi (Loi 25 / Loi modernisant les dispositions sur la protection des renseignements personnels, entrée en application 2022-2024) qui prévaut sur le PIPEDA pour les activités intra-québécoises. La Loi 25 est plus stricte que le PIPEDA — alignée sur le RGPD européen sur la plupart des points : consentement explicite obligatoire, désignation d'un responsable de la protection des renseignements personnels, évaluations d'impact (EFVP), sanctions jusqu'à 4 % du chiffre d'affaires mondial.
PIPEDA vs RGPD : la Commission européenne reconnaît le PIPEDA comme offrant un niveau de protection « adéquat » au sens de l'article 45 du RGPD (décision 2002/2/CE confirmée 2024). Les transferts de données personnelles de l'UE vers le Canada sont donc autorisés sans formalité supplémentaire. Pour les organisations canadiennes opérant en UE, le RGPD reste applicable sur les données des résidents européens (extraterritorialité, article 3).
Mise en œuvre Certyneo : conformité PIPEDA + Loi 25 + RGPD assurée par notre architecture de protection des données — hébergement souverain UE (IONOS Allemagne), chiffrement TLS 1.3 en transit + AES-256 au repos, journalisation des accès, droit à l'effacement complet sous 30 jours, sous-traitants conformes. Les transferts vers le Canada (rares — seulement les comptes hébergés à la demande au Canada) sont encadrés par les clauses contractuelles types RGPD-PIPEDA.
Les 10 principes du PIPEDA (issus du Canadian Standards Association CAN/CSA-Q830) :
1. Responsabilité — désigner un responsable de la protection des renseignements personnels.
2. Détermination des fins — annoncer clairement la finalité de la collecte.
3. Consentement — recueillir un consentement éclairé.
4. Limitation de la collecte — collecter le strict nécessaire.
5. Limitation de l'utilisation — n'utiliser que pour les fins annoncées.
6. Exactitude — maintenir les données à jour.
7. Mesures de sécurité — protection technique et organisationnelle adaptée.
8. Transparence — politique de confidentialité publique.
9. Accès aux renseignements personnels — droit d'accès et de rectification.
10. Possibilité de porter plainte — au Commissariat à la protection de la vie privée du Canada.
PIPEDA et signature électronique : la signature électronique implique le traitement de données personnelles (nom, adresse e-mail, numéro de téléphone, IP, métadonnées de session, piste d'audit). Le PIPEDA exige :
• consentement éclairé du signataire avant collecte ;
• conservation sécurisée (chiffrement au repos, accès restreint) ;
• durée de conservation proportionnée à la finalité (10 ans pour les contrats commerciaux est généralement accepté) ;
• droit d'accès, de rectification et de suppression sur demande du signataire ;
• notification obligatoire en cas de violation présentant un risque réel de préjudice grave (depuis 2018).
Loi 25 du Québec : la province du Québec dispose de sa propre loi (Loi 25 / Loi modernisant les dispositions sur la protection des renseignements personnels, entrée en application 2022-2024) qui prévaut sur le PIPEDA pour les activités intra-québécoises. La Loi 25 est plus stricte que le PIPEDA — alignée sur le RGPD européen sur la plupart des points : consentement explicite obligatoire, désignation d'un responsable de la protection des renseignements personnels, évaluations d'impact (EFVP), sanctions jusqu'à 4 % du chiffre d'affaires mondial.
PIPEDA vs RGPD : la Commission européenne reconnaît le PIPEDA comme offrant un niveau de protection « adéquat » au sens de l'article 45 du RGPD (décision 2002/2/CE confirmée 2024). Les transferts de données personnelles de l'UE vers le Canada sont donc autorisés sans formalité supplémentaire. Pour les organisations canadiennes opérant en UE, le RGPD reste applicable sur les données des résidents européens (extraterritorialité, article 3).
Mise en œuvre Certyneo : conformité PIPEDA + Loi 25 + RGPD assurée par notre architecture de protection des données — hébergement souverain UE (IONOS Allemagne), chiffrement TLS 1.3 en transit + AES-256 au repos, journalisation des accès, droit à l'effacement complet sous 30 jours, sous-traitants conformes. Les transferts vers le Canada (rares — seulement les comptes hébergés à la demande au Canada) sont encadrés par les clauses contractuelles types RGPD-PIPEDA.
Guides associés
Termes associés
Prêt à mettre en pratique ces concepts ?
Certyneo vous permet de créer des enveloppes de signature conformes eIDAS en quelques clics, sans installation.