Comprendre la LPRPDE : ce que les diététistes doivent savoir

31 mars 2026

La loi fédérale canadienne régissant la protection de la vie privée dans le secteur privé.

Mise à jour : 2026

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale canadienne régissant la protection de la vie privée dans le secteur privé. Bien qu’elle soit entrée pleinement en vigueur en janvier 2004, cette loi continue d’évoluer.

À la fin de 2025, le gouvernement fédéral a présenté des modifications dans le cadre du projet de loi C-15, instaurant un nouveau droit à la mobilité des données. Cela témoigne de la modernisation continue de la législation fédérale canadienne en matière de protection de la vie privée.

Qu’est-ce que la LPRPDE?

La LPRPDE est une loi fédérale qui régit la manière dont les organisations du secteur privé collectent, utilisent et divulguent les renseignements personnels dans le cadre de leurs activités commerciales.

Cette loi vise à protéger les renseignements personnels contre la perte et l’accès, l’utilisation, la divulgation et la modification non autorisés, tout en accordant aux personnes concernées certains droits sur leurs renseignements personnels.

En vertu de la LPRPDE, les personnes ont le droit de :

  • Savoir pourquoi leurs renseignements personnels sont collectés.
  • Accéder à leurs renseignements personnels.
  • Demander la correction de renseignements inexacts.
  • Demander le transfert de leurs renseignements personnels entre des organisations participant à un cadre approuvé (mobilité des données). 

Dans quels cas la LPRPDE s’applique-t-elle aux diététistes?

La LPRPDE s’applique lorsque les diététistes exercent des activités commerciales. Voici quelques exemples :

  • Exercer en cabinet privé et facturer directement la clientèle.
  • Vendre des produits ou des services (comme des plans de repas, des cours ou des livres électroniques).
  • Recueillir des renseignements personnels pour le traitement des paiements ou à des fins de marketing.
  • Participer à des activités commerciales impliquant des données à caractère personnel au-delà des frontières provinciales (par exemple, en utilisant des plateformes basées sur le nuage).

La LPRPDE définit l’activité commerciale au sens large comme « toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds ».

Dans quels cas la LPRPDE ne s’applique-t-elle pas?

En règle générale, la LPRPDE ne s’applique pas aux diététistes qui exercent exclusivement dans le secteur public, comme les hôpitaux publics ou les organismes gouvernementaux, à condition qu’ils ou elles n’exercent aucune activité commerciale.

Dans ces milieux, les obligations en matière de protection de la vie privée sont généralement régies par la législation provinciale, comme la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) en Ontario, ainsi que par les politiques internes des organismes.

Pour les diététistes exerçant au sein d’organisations privées exerçant une activité commerciale, c’est l’employeur qui est responsable du respect de la LPRPDE, mais chaque prestataire doit se conformer aux politiques de protection de la vie privée de l’organisation. 

Diététistes relevant de la LPRPDE

La LPRPDE s’applique quand :

  • Les diététistes exercent une activité commerciale, y compris la facturation directe de la clientèle, même si leur activité est modeste ou exercée à temps partiel (par exemple, si vous recueillez une adresse personnelle et un numéro de carte de crédit pour traiter une vente).

Quels sont les renseignements personnels visés par la LPRPDE?

La LPRPDE protège les renseignements personnels, c’est-à-dire toute information concernant des personnes identifiables. Voici quelques exemples pertinents pour l’exercice de la diététique :

  • Nom et coordonnées
  • Données démographiques
  • Renseignements de paiement et de facturation
  • Situation familiale ou personnelle
  • Renseignements sur la santé lorsqu’ils sont collectés dans le cadre d’une activité commerciale

Quelles sont les obligations des diététistes en vertu de la LPRPDE?

La LPRPDE exige ce qui suit des diététistes :

  • Obtenir le consentement (explicite ou implicite, selon le contexte), sauf si une autre autorisation légale s’applique.
  • Préciser clairement le but de la collecte, de l’utilisation ou de la divulgation des renseignements personnels.
  • Accorder aux personnes concernées des droits d’accès et de correction des renseignements.
  • Mettre en place des mesures de protection raisonnables adaptées au caractère sensible des renseignements.

Les professionnel·le·s de la santé doivent également se conformer à la Loi canadienne anti-pourriel, qui exige l’obtention du consentement préalable pour l’envoi de messages électroniques à caractère commercial. 

Quelle est la différence entre la LPRPS et la LPRPDE? 

La Loi sur la protection des renseignements personnels sur la santé (LPRPS) :

  • est la loi provinciale de l’Ontario relative à la protection des renseignements personnels dans le domaine de la santé;
  • s’applique aux dépositaires de renseignements sur la santé (DRS), comme les hôpitaux, les médecins, les diététistes, les cliniques, les pharmacies et les laboratoires;
  • régit uniquement les renseignements personnels sur la santé (RPS).

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) :

  • est une loi fédérale sur la protection de la vie privée dans le secteur privé qui s’applique à l’ensemble du Canada;
  • s’applique aux organisations exerçant une activité commerciale, y compris certains services liés à la santé lorsqu’ils sont fournis à des fins commerciales;
  • couvre toutes les données à caractère personnel, et pas seulement les renseignements sur la santé.

Tableau 1 – Résumé des différences entre la LPRPS et la LPRPDE

Ce tableau présente un résumé des principales caractéristiques des deux lois. 

Caractéristiques LPRPS LPRPDE
Territoire de compétence Ontario (loi provinciale) Partout au Canada (loi fédérale)
Portée Renseignements sur la santé seulement Tous les renseignements personnels
Application Dépositaires de renseignements sur la santé Organisations du secteur privé exerçant une activité commerciale
Contexte clé Soins cliniques et dossiers de santé Transactions commerciales, documents commerciaux
Modèle de consentement Implicite au sein du cercle de soins; explicite pour les autres Consentement éclairé requis, souvent de manière expresse
Organisme de réglementation Commissaire à l’information et à la protection de la vie privée de l’Ontario Commissariat à la protection de la vie privée du Canada

 

En Ontario, la LPRPS a été jugée « substantiellement similaire » à la LPRPDE en ce qui concerne les renseignements sur la santé. Par conséquent, la LPRPS régit généralement les soins cliniques et les dossiers de santé, tandis que la LPRPDE s’applique généralement aux activités commerciales impliquant des renseignements personnels.

Violations de la vie privée en vertu de la LPRPDE

Depuis le 1er novembre 2018, toutes les organisations assujetties à la LPRPDE — y compris les petites entreprises — doivent se conformer à des exigences précises en matière de signalement des violations (atteintes). Si une violation présente un risque réel de préjudice grave, les organisations doivent :

  • Signaler la violation au Commissariat à la protection de la vie privée du Canada. Informer les personnes concernées dès que possible.

Les organisations doivent également conserver les registres de toutes les violations, même celles qui ne présentent pas de risque de préjudice grave, pendant au moins 24 mois à compter de la date de la violation. 

Développements récents : mobilité des données (projet de loi C-15, 2025)

Les récentes modifications apportées à la LPRPDE instaurent un droit à la mobilité des données, qui permet aux personnes de demander que leurs renseignements personnels soient transférés entre des organisations participant à des cadres approuvés.

Bien que la mise en œuvre soit encore en cours, ce changement pourrait concerner les diététistes qui utilisent des plateformes de santé numériques ou des logiciels de gestion clinique permettant le transfert des dossiers de la clientèle entre prestataires ou entre systèmes.

Quelles sont mes responsabilités en vertu de la LPRPDE?

Vous devez vous conformer à la LPRPDE si :

  • Vous facturez directement la clientèle.
  • Vous exercez en cabinet privé.
  • Vous dirigez une entreprise de consultation impliquant des renseignements personnels sur la santé.
  • Vous participez à des activités commerciales comme la vente de produits ou la prestation de programmes payants.

Si votre employeur (clinique, entreprise, groupe d’exercice privé) gère l’activité commerciale, c’est à l’organisation qu’incombe la responsabilité première en matière de conformité — mais vous devez connaître et respecter son programme de protection de la vie privée.

Liste de contrôle à l’intention des diététistes ayant des activités commerciales

Les diététistes doivent prendre des mesures pour s’assurer que leurs pratiques en matière de protection de la vie privée sont conformes aux exigences de la LPRPDE.

Voici des mesures clés :

  1. Déterminer si vos activités commerciales ont un caractère commercial.
  2. Évaluer la manière dont vous collectez, utilisez et divulguez les renseignements personnels.
  3. Examiner et consigner vos pratiques actuelles en matière de protection de la vie privée.
  4. Élaborer une politique de protection de la vie privée écrite et accessible à la clientèle. Consulter la trousse sur la protection de la vie privée pour obtenir de l’aide.
  5. Créer ou mettre à jour les procédures et les formulaires de consentement.
  6. Examiner et établir des accords de confidentialité avec les prestataires de services externes (par exemple, les plateformes de soins virtuels, les services de facturation).
  7. Désigner une personne responsable de la protection de la vie privée et des données — vous êtes cette personne si vous exercez en solo.
  8. Former tout membre du personnel ou prestataire intervenant dans le traitement des renseignements personnels.
  9. Éviter les atteintes à la vie privée et savoir comment et quand les signaler si elles se produisent.
  10. Tenir un registre précis de toutes les violations, même s’il n’y a pas de risque de préjudice grave.

Qui peut fournir du soutien aux diététistes?

Les diététistes qui souhaitent obtenir d’autres conseils peuvent consulter :

  • Le Commissariat à la protection de la vie privée du Canada, qui fournit régulièrement des conseils et publie des mises à jour concernant la réforme de la LPRPDE.
  • Le Service de consultation sur l’exercice de l’Ordre des diététistes de l’Ontario, qui propose des ressources et des listes de contrôle concernant les exigences en matière de protection de la vie privée dans le cadre de l’exercice privé (voir la trousse sur la protection de la vie privée).
  • Pour obtenir des conseils juridiques, consultez votre propre avocat·e spécialisé·e en protection de la vie privée, en particulier si vous traitez des données clients de nature délicate ou utilisez des plateformes numériques.

Références 

Normes, lignes directrices et autres articles de l’Ordre
Ordre des diététistes de l’Ontario (2025). Normes et lignes directrices d’exercice de la profession – Pratiques de facturation professionnelles.
Ordre des diététistes de l’Ontario (2024). Normes et lignes directrices en matière de publicité et marketing.
Ordre des diététistes de l’Ontario. (2020). Privacy of Personal Information Dietetic Practice Tool Kit.
Ordre des diététistes de l’Ontario. (2020). Violation de la vie privée : les obligations des diététistes.

Lois

Lois fédérales
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Loi provinciale
Loi de 2004 sur la protection des renseignements personnels sur la santé. (LPRPS)