Skip to Content
OPINION

Notes from the IAPP Canada: Is it time to rethink longstanding privacy principles?

Privacy law should evolve beyond decades-old principles toward a modern data governance framework that asks whether data uses are fair, ethical, accountable and beneficial to society.

Published
Subscribe to IAPP Newsletters

Contributors:

Kris Klein

CIPP/C, CIPM, FIP

Country Leader, Canada, IAPP; Partner

nNovation

Editor's note

The IAPP is policy neutral. We publish contributed opinion pieces to enable our members to hear a broad spectrum of views in our domains. 

Is it time to retire the privacy principles we've grown up with? Privacy professionals have a peculiar habit. We spend our days discussing artificial intelligence, agentic systems, predictive analytics and personalized medicine. Then we walk back to our desks and try to govern all of it using principles developed when disco was still on the radio.

The foundation of modern privacy law remains a collection of concepts that emerged from the Fair Information Practices of the 1970s and the Organisation for Economic Co-operation and Development Guidelines of 1980. Those principles became the basis for privacy laws around the world and, in Canada, eventually found their way into the Personal Information Protection and Electronic Documents Act through the Canadian Standards Association Model Code. 

The familiar ideas remain with us today: identify purposes, obtain consent, limit collection, restrict new uses and keep personal information only as long as necessary.

Those principles were brilliant for their time. They were designed for a world where organizations collected information for specific purposes, stored it in identifiable databases and used it in predictable ways. The greatest privacy risk was that individuals would lose control over information about themselves. But that world no longer exists.

Today, data generates value precisely because it can be combined, analyzed and reused in ways that were not foreseeable at the moment of collection. AI systems do not simply store information; they learn from it. Medical breakthroughs increasingly depend on vast datasets assembled over decades. Fraud detection relies on connecting dots across organizations and purposes. Traffic management, public health planning, accessibility technologies and climate modeling all benefit from data uses that would have been impossible to articulate in a privacy notice years earlier.

Yet our regulatory instincts remain rooted in the idea that the safest data is data that is never collected, never shared and never used for a new purpose. When Bill C-36 was recently tabled, we quickly heard that many of the privacy principles remain embedded and relevant. I think we should ask ourselves an uncomfortable question: what if some of the principles we regard as sacrosanct have become obstacles to societal benefit?

Take data minimization. Collect only what is necessary. Sounds sensible enough. But necessary for what? The purpose we can envision today? Or the purpose that may emerge tomorrow?

Take purpose limitation. Use information only for the purpose originally specified. Again, reasonable in theory. But some of the most valuable discoveries in science, medicine and public policy arise when existing information is examined from a new perspective. If a dataset collected to study one disease helps identify another, should privacy law's first instinct be "stop" or "show us why this benefits society?"

Even consent, perhaps the most celebrated principle of modern privacy law, is showing its age. We ask individuals to make complex decisions about technologies, algorithms and future uses they cannot reasonably understand and generally don't take the time to read. Then we pretend that clicking a button represents meaningful control.

Maybe the question isn't whether people consented, but whether the use is fair.

Imagine if we were writing privacy principles from scratch in 2026 rather than 1980.

Would "collect as little data as possible" really make the list, or would we instead write principles such as:

  • Use data in ways that demonstrably benefit people.
  • Avoid foreseeable harm and unfair discrimination.
  • Be transparent about significant impacts.
  • Share benefits as broadly as possible.
  • Maintain human accountability for consequential decisions.
  • Ensure individuals can challenge outcomes that affect them.
  • Protect against abuse, manipulation and exploitation.
  • Continuously assess whether the societal benefits outweigh the risks.

The privacy profession has spent decades treating data as something dangerous that must be contained and protected. That mindset made sense when our primary concern was preventing misuse — and I'm not suggesting that protecting data from bad actors is a bad idea. Today, the greater challenge however may be ensuring that society can also realize the extraordinary benefits of data while preventing new forms of harm.

I don't think the goal should be to use less data. The goal should be to use data better.

The Fair Information Practices gave us a strong foundation. They protected individuals during the first 50 years of the information age. But foundations are not meant to be ceilings. As AI and data-driven systems become central to nearly every aspect of modern life, perhaps it's time to stop asking whether data collection and reuse comply with principles written half a century ago. Perhaps it's time to ask an arguably more important question: Is this use of data fair, ethical and beneficial to humanity?

Because that feels a lot more like the privacy challenge of the next 50 years and what the next generation of data governance rules need to look like.

Notes de l'IAPP Canada: Il est peut-être temps de repenser les principes de protection de la vie privée que nous tenons pour acquis

Les professionnels de la protection de la vie privée vivent dans une étrange contradiction. Nous passons nos journées à discuter d’intelligence artificielle, d’agents autonomes, d’analytique prédictive, de médecine personnalisée et d’utilisation massive des données. Puis nous retournons à nos bureaux pour tenter d’encadrer toutes ces innovations à l’aide de principes conçus à une époque où l’ordinateur personnel n’existait pas encore dans la plupart des foyers.

Les fondements du droit moderne de la protection des renseignements personnels reposent encore largement sur des concepts élaborés dans les années 1970 et 1980. Ces principes ont été remarquablement influents. Ils ont inspiré les lois adoptées partout dans le monde et, au Canada, ils ont trouvé leur expression dans la LPRPDE par l’intermédiaire du Code type de l’Association canadienne de normalisation.

Les notions nous sont familières : déterminer les fins de la collecte, obtenir un consentement, limiter la collecte, restreindre les utilisations secondaires et conserver les renseignements uniquement pendant la période nécessaire.

Rien de cela n’était mauvais. Au contraire.

Ces principes répondaient parfaitement aux défis de leur époque. Ils ont été conçus pour un monde où les organisations recueillaient des renseignements précis à des fins précises, les conservaient dans des bases de données identifiables et les utilisaient de manière relativement prévisible. La principale préoccupation était d’éviter que les individus perdent le contrôle de l’information les concernant.

Mais ce monde a profondément changé.

Aujourd’hui, la valeur des données découle souvent de leur capacité à être combinées, analysées et réutilisées dans des contextes qu’il était impossible d’anticiper au moment de la collecte. Les systèmes d’intelligence artificielle ne se contentent pas d’entreposer l’information; ils en tirent des apprentissages. Les avancées médicales reposent sur l’analyse de vastes ensembles de données accumulés pendant des décennies. La détection de la fraude dépend de la capacité de relier des informations provenant de multiples organisations et de multiples contextes.

De même, l’amélioration des transports, la planification en santé publique, les technologies d’accessibilité et même la lutte contre les changements climatiques bénéficient toutes d’utilisations des données qui auraient été difficiles, voire impossibles, à décrire avec précision dans un avis de confidentialité rédigé plusieurs années auparavant.

Pourtant, notre réflexe réglementaire demeure souvent le même : considérer que la meilleure façon de protéger la vie privée consiste à recueillir moins de données, à partager moins de données et à réutiliser le moins possible les données déjà disponibles.

Cette approche mérite peut-être d’être reconsidérée.

Prenons le principe de minimisation des données. À première vue, il paraît évident. Ne recueillir que ce qui est nécessaire. Mais nécessaire pour quoi exactement? Pour l’objectif que nous sommes capables d’imaginer aujourd’hui? Ou pour les usages légitimes et bénéfiques qui pourraient émerger demain?

Le même questionnement s’applique à la limitation des fins. Il est certainement raisonnable d’exiger que les organisations expliquent pourquoi elles recueillent des renseignements. Toutefois, certaines des découvertes scientifiques, médicales et sociales les plus importantes de notre époque résultent précisément de l’examen de données existantes sous un nouvel angle.

Si des renseignements recueillis pour étudier un problème de santé permettent éventuellement d’en comprendre un autre, notre première réaction devrait-elle être d’interdire cette utilisation? Ou devrions-nous plutôt nous demander si elle est équitable, proportionnée et bénéfique pour la société?

Même le consentement, longtemps considéré comme la pierre angulaire de la protection de la vie privée, montre certaines limites dans un environnement alimenté par des systèmes complexes et évolutifs.

Nous demandons régulièrement aux individus de prendre des décisions concernant des algorithmes, des modèles prédictifs et des utilisations futures qu’ils ne peuvent raisonnablement pas comprendre en détail. Ensuite, nous considérons qu’un simple clic constitue une forme de contrôle véritablement significative.

Peut-être que la question fondamentale n’est plus uniquement de savoir si une personne a consenti.

Peut-être devrions-nous davantage nous interroger sur l’équité de l’utilisation proposée.

Si nous devions rédiger aujourd’hui de nouveaux principes de gouvernance des données, sans être influencés par les cadres historiques, ils ressembleraient peut-être moins à des règles de restriction et davantage à des principes de responsabilité et de bénéfice collectif.

Nous pourrions notamment exiger que les données soient utilisées d’une manière démontrablement bénéfique, que les préjudices prévisibles soient évités, que les impacts importants soient expliqués de façon transparente et que les décisions ayant des conséquences importantes demeurent soumises à une véritable responsabilité humaine.

Nous pourrions également reconnaître explicitement le droit des personnes de contester les décisions qui les touchent, tout en évaluant continuellement si les bénéfices sociaux d’une utilisation donnée justifient les risques qu’elle comporte.

Pendant des décennies, le secteur de la protection de la vie privée a souvent considéré les données avant tout comme un risque devant être contenu et contrôlé. Cette perspective était parfaitement compréhensible lorsque la principale menace provenait d’une utilisation abusive ou irresponsable des renseignements personnels.

Aujourd’hui, le défi est plus nuancé.

Nous devons évidemment continuer à protéger les individus contre les utilisations abusives, la discrimination, la manipulation et les atteintes à la vie privée. Mais nous devons également nous assurer que les règles que nous adoptons ne nous privent pas collectivement des bénéfices extraordinaires que les données peuvent générer lorsqu’elles sont utilisées de manière responsable.

L’objectif n’est pas nécessairement d’utiliser moins de données.

L’objectif devrait être d’utiliser les données plus intelligemment.

Les principes historiques de protection de la vie privée nous ont fourni une base solide. Ils ont permis de protéger les individus pendant les premières décennies de l’ère numérique. Mais une fondation n’est pas censée devenir un plafond.

À mesure que l’intelligence artificielle et les systèmes fondés sur les données prennent une place centrale dans nos sociétés, nous devons peut-être cesser de nous demander uniquement si une utilisation respecte des principes rédigés il y a près d’un demi-siècle.

La question la plus importante pour les prochaines décennies pourrait être beaucoup plus simple : cette utilisation des données est-elle juste, éthique et bénéfique pour la société?C’est peut-être là que se trouve le véritable défi de la gouvernance des données pour les cinquante prochaines années.

This French companion article is not meant to be an exact translation, but rather an article that generally covers the same topic as the English article.

This article originally appeared in the Canada Dashboard Digest, a free weekly IAPP newsletter. Subscriptions to this and other IAPP newsletters can be found here.

CPE credit badge

This content is eligible for Continuing Professional Education credits. Please self-submit according to CPE policy guidelines.

Submit for CPEs

Contributors:

Kris Klein

CIPP/C, CIPM, FIP

Country Leader, Canada, IAPP; Partner

nNovation

Tags:

Law and regulationPrivacy

Related Stories