Ce que les entreprises canadiennes doivent savoir (si la loi est adoptée)
- Le projet de loi a une portée plus large que les précédentes propositions de réglementation sur la sécurité en ligne, et cible les services de médias sociaux réglementés, certains services en ligne et les agents conversationnels propulsés par l’IA en mettant l’accent sur la protection des enfants et le soutien aux victimes de préjudices en ligne.
- Les services réglementés ont l’obligation d’agir de manière responsable, de protéger les enfants, d’être transparents et de rendre certains contenus inaccessibles.
- Les services réglementés doivent mettre en œuvre et publier un plan de sécurité numérique.
- Un nouvel organisme de réglementation, la Commission de la sécurité numérique1, est créé et sera chargé de faire respecter la nouvelle loi.
- Le non-respect de ces obligations pourrait entraîner des sanctions administratives pécuniaires pouvant aller jusqu’à 10 M$ ou 3 % des revenus bruts globaux de l’entité fautive, et des sanctions pénales pouvant atteindre 20 M$ ou 5 % de ces mêmes revenus.
- La plupart des exigences opérationnelles restent à définir et dépendront de la réglementation et de directives à venir.
- Il sied de mettre proactivement en place un cadre de gouvernance et un plan de préparation aux risques.
Déposé le 10 juin 2026, le projet de loi C-34, Loi édictant la Loi sur la sécurité numérique et la Loi sur la Commission canadienne de la sécurité numérique et apportant des modifications corrélatives à d’autres lois (ci-après, le projet de loi C-34 ou la Loi sur les médias sociaux sécuritaires), marque l’évolution importante et très attendue du cadre réglementaire canadien de sécurité en ligne.
Le projet de loi C-34 a une plus grande portée que le projet de loi C-63, qui visait à réglementer les fournisseurs de services de médias sociaux. La Loi sur les médias sociaux sécuritaires, quant à elle, a pour but de lutter contre les préjudices en ligne, en particulier ceux causés aux enfants, et instaure des obligations de divulgations pour les plateformes de médias sociaux, les services en ligne et les agents conversationnels propulsés par l’intelligence artificielle (IA). Elle reflète aussi une volonté plus générale de renforcer la responsabilité des exploitants de services, bien qu’il reste de nombreux éléments clés à déterminer, ce qui entraîne une certaine incertitude quant aux paramètres définitifs de ce nouveau cadre juridique.
Aperçu
Le document d’information du gouvernement fédéral met l’accent sur le développement rapide de l’IA et les nouveaux défis que posent les environnements en ligne, surtout lorsque des enfants sont exposés à des risques. La tragédie de Tumbler Ridge est l’un des trop nombreux exemples illustrant à quel point les dangers liés à l’IA et aux services en ligne sont sous-estimés, car nous savons que les mesures prises de manière volontaire par les services numériques ne peuvent pas toujours suivre l’ampleur, la rapidité et la gravité des préjudices en ligne.
Le projet de loi C-34 établit un double cadre législatif en édictant la Loi sur la sécurité numérique et la Loi sur la Commission canadienne de la sécurité numérique. Ensemble, ces textes définissent les obligations de fond applicables aux services réglementés et créent un nouvel organisme institutionnel chargé de veiller à leur respect, soit la Commission de la sécurité numérique (ci-après, la Commission), dont la mission est de promouvoir la sécurité des personnes de moins de 18 ans en ligne; de réduire leur exposition à des contenus préjudiciables; et de veiller à ce que les exploitants de services réglementés rendent des comptes et se montrent transparents dans la conception et l’exploitation de leurs plateformes.
Obligations générales prévues par le projet de loi C-34
Le régime proposé regroupe les obligations en listes de devoirs fondamentaux, qui s’appliquent à tous les exploitants de services réglementés (médias sociaux, agents conversationnels ou services en ligne) ou à des services bien précis; nous présenterons ces devoirs plus en détail ci-dessous.
Les exploitants doivent protéger les enfants, notamment en mettant en place des mesures de vérification ou d’estimation de l’âge pour atténuer le risque que des enfants soient exposés à du contenu pornographique, ainsi qu’en intégrant les caractéristiques de conception prévues pour la protection des enfants.
Les exploitants ont également une obligation générale de transparence aux termes du projet de loi C-34. Pour la remplir, ils doivent déposer un plan de sécurité numérique à la Commission et tenir des registres attestant du respect de la loi. Le plan de sécurité numérique doit être adapté au service réglementé et mis à la disposition du public dans un format accessible et facile à lire. Cependant, des incertitudes subsistent quant aux exigences de mise à jour dudit plan.
Services de médias sociaux réglementés
Pour être considéré comme réglementé, un service de médias sociaux doit comprendre un nombre d’utilisateurs précis, prévu par règlement, ou être désigné comme tel par règlement.
Obligation de protéger les enfants
En plus de l’obligation générale de protéger les enfants qui incombe à chaque service de médias sociaux, les exploitants réglementés doivent mettre en œuvre des mesures adéquates de vérification ou d’estimation de l’âge destinées à empêcher les enfants de moins de 16 ans d’avoir un compte sur leurs services. Ils peuvent toutefois être exemptés de certaines conditions s’ils établissent et maintiennent des mesures de protection suffisantes pour les enfants.
Obligation d’agir de manière responsable
Les exploitants de services de médias sociaux réglementés doivent intégrer les mesures de conception et de sécurité prévues par la loi afin de réduire le risque d’exposition à du contenu préjudiciable. Selon le projet de loi, le terme « contenu préjudiciable » englobe :
- le contenu intime communiqué de façon non consensuelle;
- le contenu représentant de la victimisation sexuelle d’enfants ou perpétuant la victimisation de survivants;
- le contenu poussant un enfant à se porter préjudice;
- le contenu visant à intimider un enfant;
- le contenu fomentant la haine;
- le contenu incitant à la violence;
- le contenu de terrorisme ou d’extrémisme violent.
Les mesures de sécurité comprennent la mise en place d’outils permettant aux utilisateurs de bloquer d’autres personnes et de signaler du contenu préjudiciable, ainsi que l’obligation d’identifier tout type de contenu généré par l’IA à l’aide de mécanismes adaptés. L’exploitant doit mettre à la disposition du public, sur le service, des lignes directrices faciles à respecter qui présentent les normes de conduite applicables aux utilisateurs, ainsi que la description des mesures mises en œuvre à l’égard du contenu préjudiciable sur le service.
Les exploitants doivent également désigner une personne-ressource, dont les coordonnées sont facilement accessibles, qui peut aider les utilisateurs face aux contenus préjudiciables présents sur le service, et préserver certains contenus préjudiciables pour une période d’un an à compter de la date à laquelle ils ont été rendus inaccessibles. En outre, les exploitants de services de médias sociaux devront, à terme, se conformer à des mesures supplémentaires prévues par la réglementation, dont les modalités restent à définir.
Obligation de transparence
Le plan de sécurité numérique pour les services de médias sociaux réglementés doit décrire :
- l’évaluation du risque par l’exploitant;
- les mesures visant à limiter les contenus préjudiciables et, sur le service, les lignes directrices publiques de l’exploitant concernant ceux-ci;
- les mesures visant à protéger les enfants contre l’exposition à du contenu pornographique;
- les fonctions de sécurité pour les enfants;
- les mesures liées à l’âge;
- les processus de signalement aux organismes chargés de l’application de la loi;
- les ressources humaines ou automatisées allouées;
- le type et la quantité de contenu modéré;
- les outils et processus de signalement;
- un sommaire des résultats et conclusions concernant le contenu préjudiciable retrouvé sur le service, ou le contenu autre présentant un risque psychologique ou physique important;
- les mesures de conformité aux obligations de déclaration;
- les données électroniques utilisées;
- tout autre renseignement prévu par règlement.
Obligation de rendre certains contenus inaccessibles
Le projet de loi impose aux plateformes de médias sociaux de rendre inaccessibles au Canada certains types de contenus, notamment ceux représentant de la victimisation sexuelle d’enfants, perpétuant la victimisation de survivants ou communiqués de façon non consensuelle. En cas de signalement, les exploitants ont 24 heures pour interrompre leur diffusion.
Services d’agents conversationnels réglementés
Pour être considéré comme réglementé, un service d’agent conversationnel doit comprendre un nombre d’utilisateurs précis, prévu par règlement, ou être désigné comme tel par un règlement sans intégrer un système d’intelligence artificielle servant exclusivement un but prévu par règlement.
Obligation d’agir de manière responsable
L’une des caractéristiques particulièrement remarquables du projet de loi C-34 réside dans la réglementation explicite des services d’agents conversationnels propulsés par l’IA. Les exploitants doivent mettre en place des mesures de protection adéquates pour réduire le risque que les agents conversationnels distribuent du contenu préjudiciable ou adoptent des comportements préjudiciables. Le projet de loi définit les comportements interdits, notamment le fait de se faire passer pour un être humain de manière trompeuse, d’usurper l’identité de membres d’un ordre professionnel, comme des juristes ou des médecins, et d’utiliser des techniques d’engagement manipulatrices visant à inciter les utilisateurs à développer une dépendance affective.
L’exploitant doit mettre à la disposition du public, sur le service, des lignes directrices faciles à respecter qui comprennent une description des mesures prises pour atténuer le risque que le service diffuse du contenu préjudiciable; encourage l’automutilation, le suicide ou la commission d’actes qui pourraient causer des lésions corporelles graves à un individu ou sa mort; et se livre à tout type de comportements interdits précédemment mentionnés. Parmi les autres obligations figure celle d’assurer une intervention dans les situations de crise, par exemple, lorsqu’un utilisateur exprime des idées suicidaires ou l’intention de nuire à autrui.
Par ailleurs, les exploitants de services d’agents conversationnels réglementés doivent mettre des outils conviviaux et une personne-ressource à la disposition des utilisateurs, pour ainsi faciliter le signalement du contenu préjudiciable, des manquements à l’obligation d’intervenir face à un risque d’automutilation, de suicide ou de préjudice grave, ainsi que d’autres comportements nuisibles visés par le projet de loi. Les exploitants doivent aussi se doter d’un processus pour aviser l’utilisateur de la réception du signalement. La personne-ressource, dont les coordonnées doivent être facilement accessibles, aidera les utilisateurs relativement aux contenus préjudiciables pouvant résulter des interactions avec les agents conversationnels.
Les exploitants de services d’agents conversationnels propulsés par l’IA devront également, à terme, se conformer à des mesures supplémentaires prévues par la réglementation, dont les modalités restent à définir.
Obligation de transparence
Le plan de sécurité numérique pour les services d’agents conversationnels réglementés doit comprendre :
- les mesures de protection mises en place contre les communications et les comportements préjudiciables des agents conversationnels;
- les mesures d’intervention et d’urgence en cas de crise;
- les fonctions de sécurité pour les enfants;
- les mesures de vérification de l’âge;
- les mesures visant à réduire l’exposition des enfants au contenu pornographique;
- les processus de signalement aux organismes chargés de l’application de la loi;
- les outils et processus de signalement;
- les notifications connexes;
- les ressources humaines ou automatisées allouées;
- les mesures mises en œuvre pour respecter les obligations de déclaration, et les données électroniques utilisées à cet effet;
- tout autre renseignement prévu par règlement.
Services en ligne réglementés
Pour être considéré comme réglementé, un service en ligne doit compter un nombre précis d’utilisateurs, prévu par règlement, ou appartenir à une catégorie susceptible de présenter un risque important de préjudice pour les enfants au Canada, le tout aussi prévu par règlement. Le terme exclut toutefois les sites Web ou applications dont le but principal est soit de faciliter la vente, l’annonce ou la publicité de biens ou de services, ou de fournir un accès à des répertoires, à des résultats de recherches, à des cartes géographiques ou à des outils de navigation. Les obligations prévues par le projet de loi ne s’appliquent pas aux fonctionnalités de messagerie privée des services en ligne.
Obligation de transparence
Les exploitants de services en ligne réglementés ont un devoir de transparence, qui consiste à élaborer, à publier et à soumettre un plan de sécurité numérique à la Commission. Le plan de sécurité numérique pour les services en ligne réglementés doit comprendre :
- les fonctions de sécurité pour les enfants;
- les mesures de vérification de l’âge;
- les mesures visant à réduire l’exposition des enfants au contenu pornographique;
- les processus de signalement aux organismes chargés de l’application de la loi;
- les ressources humaines ou automatisées allouées à la prévention des risques;
- les mesures mises en œuvre pour respecter les obligations de déclaration, et les données électroniques utilisées à cet effet;
- tout autre renseignement prévu par règlement.
Mise en application du projet de loi C-34 et sanctions
L’application de la loi est confiée à la toute nouvelle Commission canadienne de la sécurité numérique (ou la « Commission canadienne de la sécurité numérique et de la protection des données » dans le projet de loi C-36), qui aura aussi un grand pouvoir de surveillance, non seulement en ligne, mais également en ce qui a trait à la protection de la vie privée et des données.
La Commission peut recevoir des plaintes concernant du contenu préjudiciable, mener des audiences et des inspections, et prononcer des ordonnances obligeant les plateformes à rendre certains contenus inaccessibles. Elle peut également demander l’accès aux données et aux documents pertinents afin de vérifier le respect de la loi. Outre les plaintes, le régime prévoit un mécanisme de « commentaires » permettant à quiconque de faire part de ses observations concernant les mesures de conformité d’une plateforme.
Le projet de loi C-34 s’appuie sur un régime de sanctions. Les sanctions administratives pécuniaires peuvent atteindre jusqu’à 10 M$ ou 3 % des revenus bruts globaux de l’entité fautive. Le montant est déterminé en fonction de la nature et de la portée de la violation, des antécédents de l’exploitant en ce qui a trait au respect de la loi et de tout avantage que ce dernier a retiré de la violation. Les sanctions pénales peuvent aller jusqu’à 20 M$ ou 5 % des revenus bruts globaux du contrevenant. Ces dispositions visent clairement à garantir que le régime ait un effet dissuasif réel, en particulier pour les grandes multinationales du domaine des technologies.
Incertitudes et questions en suspens
Le projet de loi C-34 soulève d’importantes questions quant à sa mise en œuvre concrète. On se demande surtout à quel point des obligations clés pourraient être modifiées par des règlements futurs : de nombreuses dispositions exigent explicitement des exploitants qu’ils mettent en place « toute mesure prévue par règlement ». Par ailleurs, plusieurs éléments essentiels, comme la portée des services réglementés, la nature des mécanismes de vérification de l’âge et les normes précises applicables au comportement des agents conversationnels, restent à définir. Cette structure rappelle la Loi sur l’intelligence artificielle et les données (LIAD) proposée précédemment, qui s’appuyait elle aussi sur un important cadre réglementaire pour mettre en œuvre des principes législatifs généraux.
Bien que le fait de s’en remettre à des règlements futurs introduise une certaine incertitude pour les entreprises, il ne faut pas oublier que le projet de loi C-34 n’est pas définitif. Il y aura une deuxième et une troisième lecture à la Chambre des communes, ainsi que des possibilités de consultation une fois que les règlements auront été proposés; nous continuerons de suivre la situation pour vous.
Le projet de loi C-34 doit également être replacé dans le contexte plus large du développement de la politique numérique du gouvernement fédéral, notamment de la stratégie nationale L’IA pour tous. Comme évoqué dans notre récent article intitulé IA pour tous : perspective commerciale sur la gouvernance de l’IA, son adoption et la souveraineté des données (9 juin 2026), le gouvernement a l’intention de définir des attentes concernant le développement et le déploiement de systèmes d’IA fiables et conformes, en s’appuyant à la fois sur la législation et sur l’élaboration de prochains règlements.
Avec le projet de loi C-34 et la récente Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportant des modifications à d’autres lois (projet de loi C-36), qui a été déposée le 15 juin 2026 (publication en cours), l’État pose le premier pilier de sa stratégie L’IA pour tous (pilier 1 – protéger les Canadiens et préserver notre système démocratique).
L’adoption de règlements détaillés pourrait toutefois prendre un certain temps, bien que la majorité parlementaire actuelle puisse accélérer le processus. En attendant, les entreprises doivent exercer leurs activités dans un paysage marqué par des attentes fluctuantes et un manque de clarté réglementaire.
Éléments à considérer avant l’entrée en vigueur de la Loi sur les médias sociaux sécuritaires
Les entreprises devraient d’ores et déjà déterminer si leurs services pourraient être considérés comme « réglementés » une fois les seuils et les exceptions fixés. Elles devraient également commencer à examiner les coulisses de leurs activités, soit pour élaborer un éventuel plan de sécurité numérique, soit pour passer en revue les ententes qui les lient à des services réglementés, sous l’angle de la responsabilité et des risques à la réputation.
Les sociétés devraient aussi évaluer les mesures d’atténuation des risques qu’elles ont mises en place, notamment les processus de modération de contenu, les pratiques de transparence et les fonctionnalités de sécurité intégrées dès la conception. Une attention particulière doit être accordée aux systèmes d’IA, notamment ceux capables d’interagir directement avec les utilisateurs, car ils feront l’objet d’une surveillance accrue.
Étant donné que les principales exigences de conformité du projet de loi C-34 dépendront de la réglementation à venir, il faudra adopter une approche proactive et souple, axée sur la gouvernance et l’évaluation des risques, afin de pallier l’incertitude importante qui entoure la portée exacte de ces obligations. À ce stade, les répercussions globales du régime ne seront pleinement connues qu’à mesure que le projet de loi C-34 suivra son cours.
Les autrices tiennent à remercier Sirine Abdi, étudiante en droit, pour sa contribution à cet article.