Passer au contenu
;

Projet de loi S-4

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

S-4
S-4
Second Session, Forty-first Parliament,
Deuxième session, quarante et unième législature,
62-63 Elizabeth II, 2013-2014
62-63 Elizabeth II, 2013-2014
SENATE OF CANADA
SÉNAT DU CANADA
BILL S-4
PROJET DE LOI S-4
An Act to amend the Personal Information Protection and Electronic Documents Act and to make a consequential amendment to another Act
Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence


AS PASSED
BY THE SENATE
JUNE 16, 2014
ADOPTÉ
PAR LE SÉNAT
LE 16 JUIN 2014


90730



SUMMARY
This enactment amends the Personal Information Protection and Electronic Documents Act to, among other things,
(a) specify the elements of valid consent for the collection, use or disclosure of personal information;
(b) permit the disclosure of personal information without the knowledge or consent of an individual for the purposes of
(i) identifying an injured, ill or deceased individual and communicating with their next of kin,
(ii) preventing, detecting or suppressing fraud, or
(iii) protecting victims of financial abuse;
(c) permit organizations, for certain purposes, to collect, use and disclose, without the knowledge or consent of an individual, personal information
(i) contained in witness statements related to insurance claims, or
(ii) produced by the individual in the course of their employment, business or profession;
(d) permit organizations, for certain purposes, to use and disclose, without the knowledge or consent of an individual, personal information related to prospective or completed business transactions;
(e) permit federal works, undertakings and businesses to collect, use and disclose personal information, without the knowledge or consent of an individual, to establish, manage or terminate their employment relationships with the individual;
(f) require organizations to notify certain individuals and organizations of certain breaches of security safeguards that create a real risk of significant harm and to report them to the Privacy Commissioner;
(g) require organizations to keep and maintain a record of every breach of security safeguards involving personal information under their control;
(h) create offences in relation to the contravention of certain obligations respecting breaches of security safeguards;
(i) extend the period within which a complainant may apply to the Federal Court for a hearing on matters related to their complaint;
(j) provide that the Privacy Commissioner may, in certain circumstances, enter into a compliance agreement with an organization to ensure compliance with Part 1 of the Act; and
(k) modify the information that the Privacy Commissioner may make public if he or she considers that it is in the public interest to do so.
SOMMAIRE
Le texte modifie la Loi sur la protection des renseignements personnels et les documents électroniques afin, notamment :
a) de préciser les éléments nécessaires à la validité du consentement à la collecte, à l’utilisation ou à la communication de renseignements personnels;
b) de permettre la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement aux fins suivantes :
(i) identifier un individu qui est blessé, malade ou décédé, et communiquer avec son parent le plus proche,
(ii) prévenir une fraude, la détecter ou y mettre fin,
(iii) protéger la victime d’exploitation financière;
c) de permettre à des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels, à l’insu de l’intéressé ou sans son consentement et à certaines fins, dans les cas suivants :
(i) ils sont contenus dans la déclaration d’un témoin relative à une réclamation d’assurance,
(ii) ils sont produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession;
d) de permettre à des organisations d’utiliser et de communiquer, à l’insu de l’intéressé ou sans son consentement et à certaines fins, des renseignements personnels afférents à une transaction commerciale, qu’elle soit éventuelle ou déjà effectuée;
e) de permettre à des entreprises fédérales de recueillir, d’utiliser et de communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement afin d’établir ou de gérer la relation d’emploi entre elles et lui, ou d’y mettre fin;
f) d’exiger que les organisations avisent certains individus et organisations de certaines atteintes aux mesures de sécurité présentant un risque réel de préjudice grave et qu’elles les déclarent au Commissaire à la protection de la vie privée;
g) d’exiger que les organisations tiennent et conservent un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion;
h) de créer des infractions relatives à la contravention à certaines obligations en matière d’atteintes aux mesures de sécurité;
i) de prolonger la période durant laquelle un plaignant peut saisir la Cour fédérale d’une question relative à sa plainte;
j) de permettre au Commissaire à la protection de la vie privée, dans certaines circonstances, de conclure avec une organisation un accord de conformité visant à faire respecter la partie 1 de cette loi;
k) de modifier l’information que le Commissaire à la protection de la vie privée peut, s’il l’estime dans l’intérêt public, rendre publique.
Available on the Parliament of Canada Web Site at the following address:
http://www.parl.gc.ca
Disponible sur le site Web du Parlement du Canada à l’adresse suivante :
http://www.parl.gc.ca

2nd Session, 41st Parliament,
2e session, 41e législature,
62-63 Elizabeth II, 2013-2014
62-63 Elizabeth II, 2013-2014
senate of canada
sénat du canada
BILL S-4
PROJET DE LOI S-4
An Act to amend the Personal Information Protection and Electronic Documents Act and to make a consequential amendment to another Act
Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence
Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:
Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :
SHORT TITLE
TITRE ABRÉGÉ
Short title

1. This Act may be cited as the Digital Privacy Act.
1. Loi sur la protection des renseignements personnels numériques.
Titre abrégé

2000, c. 5

PERSONAL INFORMATION PROTECTION AND ELECTRONIC DOCUMENTS ACT
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES
2000, ch. 5

2. (1) The definition “personal information” in subsection 2(1) of the Personal Information Protection and Electronic Documents Act is replaced by the following:
2. (1) La définition de « renseignement personnel », au paragraphe 2(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, est remplacée par ce qui suit :
“personal information”
« renseignement personnel »

“personal information” means information about an identifiable individual.
« renseignement personnel » Tout renseignement concernant un individu identifiable.
« renseignement personnel »
personal information

(2) Paragraph (g) of the definition “federal work, undertaking or business” in subsection 2(1) of the Act is replaced by the following:
(2) L’alinéa g) de la définition de « entreprises fédérales », au paragraphe 2(1) de la même loi, est remplacé par ce qui suit :
(g) a bank or an authorized foreign bank as defined in section 2 of the Bank Act;
g) les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;
(3) Subsection 2(1) of the Act is amended by adding the following in alphabetical order:
(3) Le paragraphe 2(1) de la même loi est modifié par adjonction, selon l’ordre alphabétique, de ce qui suit :
“breach of security safeguards”
« atteinte aux mesures de sécurité »

“breach of security safeguards” means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in clause 4.7 of Schedule 1 or from a failure to establish those safeguards.
“business contact information”
« coordonnées d’affaires »

“business contact information” means any information that is used for the purpose of communicating or facilitating communication with an individual in relation to their employment, business or profession such as the individual’s name, position name or title, work address, work telephone number, work fax number or work electronic address.
“business transaction”
« transaction commerciale »

“business transaction” includes

(a) the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;

(b) the merger or amalgamation of two or more organizations;

(c) the making of a loan or provision of other financing to an organization or a part of an organization;

(d) the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;

(e) the lease or licensing of any of an organization’s assets; and

(f) any other prescribed arrangement between two or more organizations to conduct a business activity.
“prescribed”
Version anglaise seulement

“prescribed” means prescribed by regulation.
« atteinte aux mesures de sécurité » Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 ou du fait que ces mesures n’ont pas été mises en place.
« atteinte aux mesures de sécurité »
breach of security safeguards

« coordonnées d’affaires » Tout renseignement permettant d’entrer en contact — ou de faciliter la prise de contact — avec un individu dans le cadre de son emploi, de son entreprise ou de sa profession, tel que son nom, son poste ou son titre, l’adresse ou les numéros de téléphone ou de télécopieur de son lieu de travail ou son adresse électronique au travail.
« coordonnées d’affaires »
business contact information

« transaction commerciale » S’entend notamment des transactions suivantes :
« transaction commerciale »
business transaction

a) l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;

b) la fusion ou le regroupement d’organisations;

c) le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;

d) le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;

e) la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;

f) tout autre arrangement prévu par règlement entre des organisations pour la poursuite d’activités d’affaires.

3. Paragraph 4(1)(b) of the Act is replaced by the following:
3. L’alinéa 4(1)b) de la même loi est remplacé par ce qui suit :
(b) is about an employee of, or an applicant for employment with, the organization and that the organization collects, uses or discloses in connection with the operation of a federal work, undertaking or business.
b) soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.
4. The Act is amended by adding the following after section 4:
4. La même loi est modifiée par adjonction, après l’article 4, de ce qui suit :
Business contact information

4.01 This Part does not apply to an organization in respect of the business contact information of an individual that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession.
4.01 La présente partie ne s’applique pas à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession.
Coordonnées d’affaires

5. The Act is amended by adding the following after section 6:
5. La même loi est modifiée par adjonction, après l’article 6, de ce qui suit :
Valid consent

6.1 For the purposes of clause 4.3 of Schedule 1, the consent of an individual is only valid if it is reasonable to expect that an individual to whom the organization’s activities are directed would understand the nature, purpose and consequences of the collection, use or disclosure of the personal information to which they are consenting.
6.1 Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
Validité du consentement

6. (1) The portion of subsection 7(1) of the French version of the Act before paragraph (a) is replaced by the following:
6. (1) Le passage du paragraphe 7(1) de la version française de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
Collecte à l’insu de l’intéressé ou sans son consentement

7. (1) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
7. (1) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
Collecte à l’insu de l’intéressé ou sans son consentement

(2) Paragraph 7(1)(b) of the French version of the Act is replaced by the following:
(2) L’alinéa 7(1)b) de la version française de la même loi est remplacé par ce qui suit :
b) il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’intéressé compromette l’exactitude du renseignement ou l’accès à celui-ci, et la collecte est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial;
b) il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’intéressé compromette l’exactitude du renseignement ou l’accès à celui-ci, et la collecte est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial;
(3) Subsection 7(1) of the Act is amended by adding the following after paragraph (b):
(3) Le paragraphe 7(1) de la même loi est modifié par adjonction, après l’alinéa b), de ce qui suit :
(b.1) it is contained in a witness statement and the collection is necessary to assess, process or settle an insurance claim;
(b.2) it was produced by the individual in the course of their employment, business or profession and the collection is consistent with the purposes for which the information was produced;
b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la collecte est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte est compatible avec les fins auxquelles il a été produit;
(4) The portion of subsection 7(2) of the French version of the Act before paragraph (a) is replaced by the following:
(4) Le passage du paragraphe 7(2) de la version française de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
Utilisation à l’insu de l’intéressé ou sans son consentement

(2) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut utiliser de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
(2) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut utiliser de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
Utilisation à l’insu de l’intéressé ou sans son consentement

(5) Subsection 7(2) of the Act is amended by adding the following after paragraph (b):
(5) Le paragraphe 7(2) de la même loi est modifié par adjonction, après l’alinéa b), de ce qui suit :
(b.1) the information is contained in a witness statement and the use is necessary to assess, process or settle an insurance claim;
(b.2) the information was produced by the individual in the course of their employment, business or profession and the use is consistent with the purposes for which the information was produced;
b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont l’utilisation est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont l’utilisation est compatible avec les fins auxquelles il a été produit;
(6) The portion of subsection 7(3) of the French version of the Act before paragraph (a) is replaced by the following:
(6) Le passage du paragraphe 7(3) de la version française de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
Communication à l’insu de l’intéressé ou sans son consentement

(3) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
(3) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
Communication à l’insu de l’intéressé ou sans son consentement

(7) Paragraph 7(3)(c.1) of the Act is amended by striking out “or” at the end of subparagraph (ii), by adding “or” at the end of subparagraph (iii) and by adding the following after subparagraph (iii):
(7) L’alinéa 7(3)c.1) de la même loi est modifié par adjonction, après le sous-alinéa (iii), de ce qui suit :
(iv) the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual;
(iv) qu’elle est demandée afin d’entrer en contact avec le plus proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé;
2000, c. 17, par. 97(1)(a)

(8) Paragraph 7(3)(c.2) of the Act, as enacted by paragraph 97(1)(a) of chapter 17 of the Statutes of Canada, 2000, is repealed.
(8) L’alinéa 7(3)c.2) de la même loi, édicté par l’alinéa 97(1)a) du chapitre 17 des Lois du Canada (2000), est abrogé.
2000, ch. 17, al. 97(1)a)

(9) The portion of paragraph 7(3)(d) of the Act before subparagraph (ii) is replaced by the following:
(9) L’alinéa 7(3)d) de la même loi est remplacé par ce qui suit :
(d) made on the initiative of the organization to a government institution or a part of a government institution and the organization
(i) has reasonable grounds to believe that the information relates to a contravention of the laws of Canada, a province or a foreign jurisdiction that has been, is being or is about to be committed, or
d) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou une subdivision d’une telle institution et l’organisation :
(i) soit a des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être,
(ii) soit soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
(10) Subsection 7(3) of the Act is amended by adding the following after paragraph (d):
(10) Le paragraphe 7(3) de la même loi est modifié par adjonction, après l’alinéa d), de ce qui suit :
(d.1) made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of the laws of Canada or a province that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation;
(d.2) made to another organization and is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the knowledge or consent of the individual would compromise the ability to prevent, detect or suppress the fraud;
(d.3) made on the initiative of the organization to a government institution, a part of a government institution or the individual’s next of kin or authorized representative and
(i) the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse,
(ii) the disclosure is made solely for purposes related to preventing or investigating the abuse, and
(iii) it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse;
(d.4) necessary to identify the individual who is injured, ill or deceased, made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative and, if the individual is alive, the organization informs that individual in writing without delay of the disclosure;
d.1) elle est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête;
d.2) elle est faite à une autre organisation et est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin;
d.3) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, si les conditions ci-après sont remplies :
(i) l’organisation a des motifs raisonnables de croire que l’intéressé a été, est ou pourrait être victime d’exploitation financière,
(ii) la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête y ayant trait,
(iii) il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci;
d.4) elle est nécessaire aux fins d’identification de l’intéressé qui est blessé, malade ou décédé et est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’intéressé ou à son représentant autorisé et, si l’intéressé est vivant, l’organisation en informe celui-ci par écrit et sans délai;
(11) Subsection 7(3) of the Act is amended by adding the following after paragraph (e):
(11) Le paragraphe 7(3) de la même loi est modifié par adjonction, après l’alinéa e), de ce qui suit :
(e.1) of information that is contained in a witness statement and the disclosure is necessary to assess, process or settle an insurance claim;
(e.2) of information that was produced by the individual in the course of their employment, business or profession and the disclosure is consistent with the purposes for which the information was produced;
e.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
e.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise, ou de sa profession, et dont la communication est compatible avec les fins auxquelles il a été produit;
(12) Paragraph 7(3)(f) of the French version of the Act is replaced by the following:
(12) L’alinéa 7(3)f) de la version française de la même loi est remplacé par ce qui suit :
f) la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit communiqué, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de la communication avant de la faire;
f) la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit communiqué, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de la communication avant de la faire;
(13) Subsection 7(3) of the Act is amended by adding “or” at the end of paragraph (h.1) and by repealing paragraph (h.2).
(13) L’alinéa 7(3)h.2) de la même loi est abrogé.
(14) Paragraph 7(3)(i) of the French version of the Act is replaced by the following:
(14) L’alinéa 7(3)i) de la version française de la même loi est remplacé par ce qui suit :
i) la communication est exigée par la loi.
i) la communication est exigée par la loi.
(15) Subsection 7(5) of the Act is replaced by the following:
(15) Le paragraphe 7(5) de la même loi est remplacé par ce qui suit :
Disclosure without consent

(5) Despite clause 4.5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in any of the circumstances set out in paragraphs (3)(a) to (h.1).
(5) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux alinéas (3)a) à h.1), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Communication sans consentement

7. The Act is amended by adding the following before section 8:
7. La même loi est modifiée par adjonction, avant l’article 8, de ce qui suit :
Prospective business transaction

7.2 (1) In addition to the circumstances set out in subsections 7(2) and (3), for the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, organizations that are parties to a prospective business transaction may use and disclose personal information without the knowledge or consent of the individual if

(a) the organizations have entered into an agreement that requires the organization that receives the personal information

(i) to use and disclose that information solely for purposes related to the transaction,

(ii) to protect that information by security safeguards appropriate to the sensitivity of the information, and

(iii) if the transaction does not proceed, to return that information to the organization that disclosed it, or destroy it, within a reasonable time; and

(b) the personal information is necessary

(i) to determine whether to proceed with the transaction, and

(ii) if the determination is made to proceed with the transaction, to complete it.
7.2 (1) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser et communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si, à la fois :
Transaction commerciale éventuelle

a) elles ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :

(i) à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,

(ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité,

(iii) si la transaction n’a pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à les détruire, dans un délai raisonnable;

b) les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.

Completed business transaction

(2) In addition to the circumstances set out in subsections 7(2) and (3), for the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, if the business transaction is completed, organizations that are parties to the transaction may use and disclose personal information, which was disclosed under subsection (1), without the knowledge or consent of the individual if

(a) the organizations have entered into an agreement that requires each of them

(i) to use and disclose the personal information under its control solely for the purposes for which the personal information was collected, permitted to be used or disclosed before the transaction was completed,

(ii) to protect that information by security safeguards appropriate to the sensitivity of the information, and

(iii) to give effect to any withdrawal of consent made under clause 4.3.8 of Schedule 1;

(b) the personal information is necessary for carrying on the business or activity that was the object of the transaction; and

(c) one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their personal information has been disclosed under subsection (1).
(2) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels, communiqués en vertu du paragraphe (1), à l’insu de l’intéressé ou sans son consentement dans le cas où :
Transaction commerciale effectuée

a) elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :

(i) à n’utiliser et ne communiquer les renseignements dont elle a la gestion qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,

(ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité,

(iii) à donner effet à tout retrait de consentement fait en conformité avec l’article 4.3.8 de l’annexe 1;

b) les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;

c) dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’intéressé du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).

Agreements binding

(3) An organization shall comply with the terms of any agreement into which it enters under paragraph (1)(a) or (2)(a).
(3) L’organisation est tenue de se conformer aux modalités de tout accord conclu aux termes des alinéas (1)a) ou (2)a).
Valeur contraignante des accords

Exception

(4) Subsections (1) and (2) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.
(4) Les paragraphes (1) et (2) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.
Exception

Employment relationship

7.3 In addition to the circumstances set out in section 7, for the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, a federal work, undertaking or business may collect, use and disclose personal information without the consent of the individual if

(a) the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the federal work, undertaking or business and the individual; and

(b) the federal work, undertaking or business has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.
7.3 En plus des cas visés à l’article 7, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, une entreprise fédérale peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin, et si elle a au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins.
Relation d’emploi

Use without consent

7.4 (1) Despite clause 4.5 of Schedule 1, an organization may use personal information for purposes other than those for which it was collected in any of the circumstances set out in subsection 7.2(1) or (2) or section 7.3.
7.4 (1) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, utiliser un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Utilisation sans le consentement de l’intéressé

Disclosure without consent

(2) Despite clause 4.5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in any of the circumstances set out in subsection 7.2(1) or (2) or section 7.3.
(2) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Communication sans le consentement de l’intéressé

8. Subsection 8(8) of the French version of the Act is replaced by the following:
8. Le paragraphe 8(8) de la version française de la même loi est remplacé par ce qui suit :
Conservation des renseignements

(8) Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente partie.
(8) Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente partie.
Conservation des renseignements

2000, c. 17, par. 97(1)(c)

9. (1) Paragraph 9(2.3)(a.1) of the Act, as enacted by paragraph 97(1)(c) of chapter 17 of the Statutes of Canada, 2000, is repealed.
9. (1) L’alinéa 9(2.3)a.1) de la même loi, édicté par l’alinéa 97(1)c) du chapitre 17 des Lois du Canada (2000), est abrogé.
2000, ch. 17, al. 97(1)c)

(2) Subparagraph 9(2.4)(c)(iii) of the French version of the Act is replaced by the following:
(2) Le sous-alinéa 9(2.4)c)(iii) de la version française de la même loi est remplacé par ce qui suit :
(iii) ni le fait que l’institution ou la subdivision s’oppose à ce que l’organisation acquiesce à la demande.
(iii) ni le fait que l’institution ou la subdivision s’oppose à ce que l’organisation acquiesce à la demande.
(3) Paragraph 9(3)(a) of the Act is replaced by the following:
(3) L’alinéa 9(3)a) de la même loi est remplacé par ce qui suit :
(a) the information is protected by solicitor-client privilege or, in civil law, by the professional secrecy of lawyers and notaries;
a) les renseignements sont protégés par le secret professionnel liant l’avocat ou le notaire à son client;
10. The Act is amended by adding the following after section 10:
10. La même loi est modifiée par adjonction, après l’article 10, de ce qui suit :
Division 1.1
Section 1.1
Breaches of Security Safeguards
Atteintes aux mesures de sécurité
Report to Commissioner

10.1 (1) An organization shall report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.
10.1 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
Déclaration au commissaire

Report requirements

(2) The report shall contain the prescribed information and shall be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.
(2) La déclaration contient les renseignements prévus par règlement et est faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Modalités de la déclaration

Notification to individual

(3) Unless otherwise prohibited by law, an organization shall notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.
(3) À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.
Avis à l’intéressé

Contents of notification

(4) The notification shall contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It shall also contain any other prescribed information.
(4) L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire.
Contenu de l’avis

Form and manner

(5) The notification shall be conspicuous and shall be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it shall be given indirectly in the prescribed form and manner.
(5) L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires.
Modalités de l’avis

Time to give notification

(6) The notification shall be given as soon as feasible after the organization determines that the breach has occurred.
(6) L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Délai de l’avis

Definition of “significant harm”

(7) For the purpose of this section, “significant harm” includes bodily harm, humiliation, damage to reputation or relationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.
(7) Pour l’application du présent article, « préjudice grave » vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
Définition de « préjudice grave »

Real risk of significant harm — factors

(8) The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include

(a) the sensitivity of the personal information involved in the breach;

(b) the probability that the personal information has been, is being or will be misused; and

(c) any other prescribed factor.
(8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.
Risque réel de préjudice grave : facteurs

Notification to organizations

10.2 (1) An organization that notifies an individual of a breach of security safeguards under subsection 10.1(3) shall notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.
10.2 (1) L’organisation qui, en application du paragraphe 10.1(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à des conditions précisées par règlement.
Avis à une organisation

Time to give notification

(2) The notification shall be given as soon as feasible after the organization determines that the breach has occurred.
(2) Elle le fait le plus tôt possible après avoir conclu qu’il y a eu atteinte.
Délai de l’avis

Disclosure of personal information

(3) In addition to the circumstances set out in subsection 7(3), for the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, an organization may disclose personal information without the knowledge or consent of the individual if

(a) the disclosure is made to the other organization, the government institution or the part of a government institution that was notified of the breach under subsection (1); and

(b) the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.
(3) En plus des cas visés au paragraphe 7(3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si :
Communication de renseignements personnels

a) d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou la subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe (1);

b) d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’intéressé qui pourrait résulter de l’atteinte ou atténuer ce préjudice.

Disclosure without consent

(4) Despite clause 4.5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in the circumstance set out in subsection (3).
(4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans le cas visé au paragraphe (3), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Communication sans consentement

Records

10.3 (1) An organization shall, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.
10.3 (1) L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion.
Registre

Provision to Commissioner

(2) An organization shall, on request, provide the Commissioner with access to, or a copy of, a record.
(2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.
Accès au registre ou copie

11. Subsection 11(1) of the Act is replaced by the following:
11. Le paragraphe 11(1) de la même loi est remplacé par ce qui suit :
Contravention

11. (1) An individual may file with the Commissioner a written complaint against an organization for contravening a provision of Division 1 or 1.1 or for not following a recommendation set out in Schedule 1.
11. (1) Tout intéressé peut déposer auprès du commissaire une plainte contre une organisation qui contrevient à l’une des dispositions des sections 1 ou 1.1, ou qui omet de mettre en oeuvre une recommandation énoncée dans l’annexe 1.
Violation

12. Subsection 12.2(1) of the Act is amended by adding the following after paragraph (c):
12. Le paragraphe 12.2(1) de la même loi est modifié par adjonction, après l’alinéa c), de ce qui suit :
(c.1) the matter is the object of a compliance agreement entered into under subsection 17.1(1);
c.1) que la question qui a donné lieu à la plainte fait l’objet d’un accord de conformité conclu en vertu du paragraphe 17.1(1);
2010, c. 23, s. 85

13. Subsections 14(1) and (2) of the Act are replaced by the following:
13. Les paragraphes 14(1) et (2) de la même loi sont remplacés par ce qui suit :
2010, ch. 23, art. 85

Application

14. (1) A complainant may, after receiving the Commissioner’s report or being notified under subsection 12.2(3) that the investigation of the complaint has been discontinued, apply to the Court for a hearing in respect of any matter in respect of which the complaint was made, or that is referred to in the Commissioner’s report, and that is referred to in clause 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 or 4.8 of Schedule 1, in clause 4.3, 4.5 or 4.9 of that Schedule as modified or clarified by Division 1 or 1.1, in subsection 5(3) or 8(6) or (7), in section 10 or in Division 1.1.
14. (1) Après avoir reçu le rapport du commissaire ou l’avis l’informant de la fin de l’examen de la plainte au titre du paragraphe 12.2(3), le plaignant peut demander que la Cour entende toute question qui a fait l’objet de la plainte — ou qui est mentionnée dans le rapport — et qui est visée aux articles 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 ou 4.8 de l’annexe 1, aux articles 4.3, 4.5 ou 4.9 de cette annexe tels qu’ils sont modifiés ou clarifiés par les sections 1 ou 1.1, aux paragraphes 5(3) ou 8(6) ou (7), à l’article 10 ou à la section 1.1.
Demande

Time for application

(2) A complainant shall make an application within one year after the report or notification is sent or within any longer period that the Court may, either before or after the expiry of that year, allow.
(2) La demande est faite dans l’année suivant la transmission du rapport ou de l’avis ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année.
Délai de la demande

14. Paragraph 16(a) of the Act is replaced by the following:
14. L’alinéa 16a) de la même loi est remplacé par ce qui suit :
(a) order an organization to correct its practices in order to comply with Divisions 1 and 1.1;
a) ordonner à l’organisation de revoir ses pratiques en vue de se conformer aux sections 1 et 1.1;
15. The Act is amended by adding the following after section 17:
15. La même loi est modifiée par adjonction, après l’article 17, de ce qui suit :
Compliance Agreements
Accord de conformité
Compliance agreement

17.1 (1) If the Commissioner believes on reasonable grounds that an organization has committed, is about to commit or is likely to commit an act or omission that could constitute a contravention of a provision of Division 1 or 1.1 or a failure to follow a recommendation set out in Schedule 1, the Commissioner may enter into a compliance agreement, aimed at ensuring compliance with this Part, with that organization.
17.1 (1) Le commissaire peut, s’il a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission — pouvant constituer une contravention à l’une des dispositions des sections 1 ou 1.1 ou une omission de mettre en oeuvre une recommandation énoncée dans l’annexe 1, conclure avec l’organisation intéressée un accord, appelé « accord de conformité », visant à faire respecter la présente partie.
Conclusion d’un accord de conformité

Terms

(2) A compliance agreement may contain any terms that the Commissioner considers necessary to ensure compliance with this Part.
(2) L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la présente partie.
Conditions

Effect of compliance agreement — no application

(3) When a compliance agreement is entered into, the Commissioner, in respect of any matter covered under the agreement,

(a) shall not apply to the Court for a hearing under subsection 14(1) or paragraph 15(a); and

(b) shall apply to the court for the suspension of any pending applications that were made by the Commissioner under those provisions.
(3) Lorsqu’un accord de conformité a été conclu, le commissaire :
Effet de l’accord de conformité

a) ne peut demander à la Cour, aux termes du paragraphe 14(1) ou de l’alinéa 15a), une audition à l’égard de toute question visée par l’accord;

b) demande la suspension de toute demande d’audition d’une question visée par l’accord qu’il a faite et qui est pendante au moment de la conclusion de l’accord.

For greater certainty

(4) For greater certainty, a compliance agreement does not preclude

(a) an individual from applying for a hearing under section 14; or

(b) the prosecution of an offence under the Act.
(4) Il est entendu que la conclusion de l’accord n’a pas pour effet d’empêcher les poursuites pour infraction à la présente loi, ou d’empêcher un plaignant — autre que le commissaire — de faire une demande d’audition de la question aux termes de l’article 14.
Précision

Agreement complied with

17.2 (1) If the Commissioner is of the opinion that a compliance agreement has been complied with, the Commissioner shall provide written notice to that effect to the organization and withdraw any applications that were made under subsection 14(1) or paragraph 15(a) in respect of any matter covered under the agreement.
17.2 (1) S’il estime que l’accord de conformité a été respecté, le commissaire en fait part à l’organisation intéressée par avis écrit et il retire toute demande d’audition, faite aux termes du paragraphe 14(1) ou de l’alinéa 15a), d’une question visée par l’accord.
Accord respecté

Agreement not complied with

(2) If the Commissioner is of the opinion that an organization is not complying with the terms of a compliance agreement, the Commissioner shall notify the organization and may apply to the Court for

(a) an order requiring the organization to comply with the terms of the agreement, in addition to any other remedies it may give; or

(b) a hearing under subsection 14(1) or paragraph 15(a) or to reinstate proceedings that have been suspended as a result of an application made under paragraph 17.1(3)(b).
(2) S’il estime que l’accord de conformité n’a pas été respecté, le commissaire envoie à l’organisation intéressée un avis de défaut. Il peut alors demander à la Cour :
Accord non respecté

a) soit une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, en sus de toute autre réparation que la Cour peut accorder;

b) soit une audition de la question, aux termes du paragraphe 14(1) ou de l’alinéa 15a) ou, en cas de suspension de l’audition à la suite d’une demande faite en application de l’alinéa 17.1(3)b), le rétablissement de l’audition.

Time for application

(3) Despite subsection 14(2), the application shall be made within one year after notification is sent or within any longer period that the Court may, either before or after the expiry of that year, allow.
(3) Malgré le paragraphe 14(2), la demande est faite dans l’année suivant l’envoi de l’avis de défaut ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année.
Délai de la demande

16. The portion of subsection 18(1) of the Act before paragraph (a) is replaced by the following:
16. Le passage du paragraphe 18(1) de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
To ensure compliance

18. (1) The Commissioner may, on reasonable notice and at any reasonable time, audit the personal information management practices of an organization if the Commissioner has reasonable grounds to believe that the organization has contravened a provision of Division 1 or 1.1 or is not following a recommendation set out in Schedule 1, and for that purpose may
18. (1) Le commissaire peut, sur préavis suffisant et à toute heure convenable, procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels s’il a des motifs raisonnables de croire que celle-ci a contrevenu à l’une des dispositions des sections 1 ou 1.1 ou n’a pas mis en oeuvre une recommandation énoncée dans l’annexe 1; il a, à cette fin, le pouvoir :
Contrôle d’application

2010, c. 23, s. 86(1)

17. (1) Subsection 20(1) of the Act is replaced by the following:
17. (1) Le paragraphe 20(1) de la même loi est remplacé par ce qui suit :
2010, ch. 23, par. 86(1)

Confidentiality

20. (1) Subject to subsections (2) to (6), 12(3), 12.2(3), 13(3), 19(1), 23(3) and 23.1(1) and section 25, the Commissioner or any person acting on behalf or under the direction of the Commissioner shall not disclose any information that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part other than those referred to in subsection 10.1(1) or 10.3(2).
20. (1) Sous réserve des paragraphes (2) à (6), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2).
Secret

Confidentiality — reports and records

(1.1) Subject to subsections (2) to (6), 12(3), 12.2(3), 13(3), 19(1), 23(3) and 23.1(1) and section 25, the Commissioner or any person acting on behalf or under the direction of the Commissioner shall not disclose any information contained in a report made under subsection 10.1(1) or in a record obtained under subsection 10.3(2).
(1.1) Sous réserve des paragraphes (2) à (6), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2).
Secret — déclarations et registre

(2) Subsection 20(2) of the Act is replaced by the following:
(2) Le paragraphe 20(2) de la même loi est remplacé par ce qui suit :
Public interest

(2) The Commissioner may, if the Commissioner considers that it is in the public interest to do so, make public any information that comes to his or her knowledge in the performance or exercise of any of his or her duties or powers under this Part.
(2) Le commissaire peut rendre publique toute information dont il prend connaissance par suite de l’exercice des attributions que la présente partie lui confère, s’il estime que cela est dans l’intérêt public.
Intérêt public

(3) Subsection 20(4) of the Act is amended by striking out “or” at the end of paragraph (c), by adding “or” at the end of paragraph (d) and by adding the following after that paragraph:
(3) Le paragraphe 20(4) de la même loi est remplacé par ce qui suit :
(e) a judicial review in relation to the performance or exercise of any of the Commissioner’s duties or powers under this Part.
(4) Il peut également communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — des renseignements :
a) dans le cadre des procédures intentées pour l’infraction visée à l’article 28;
b) dans le cadre des procédures intentées pour l’infraction visée à l’article 132 du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la présente partie;
c) lors d’une audience de la Cour prévue par cette partie;
d) lors de l’appel de la décision rendue par la Cour;
e) dans le cadre d’un contrôle judiciaire à l’égard de l’exercice des attributions que la présente partie confère au commissaire.
(4) Section 20 of the Act is amended by adding the following after subsection (5):
(4) L’article 20 de la même loi est modifié par adjonction, après le paragraphe (5), de ce qui suit :
Disclosure of breach of security safeguards

(6) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose to a government institution or a part of a government institution, any information contained in a report made under subsection 10.1(1) or in a record obtained under subsection 10.3(2) if the Commissioner has reasonable grounds to believe that the information could be useful in the investigation of a contravention of the laws of Canada or a province that has been, is being or is about to be committed.
(6) Le commissaire peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — tout renseignement figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2) à une institution gouvernementale ou à une subdivision d’une telle institution, si le commissaire a des motifs raisonnables de croire qu’il pourrait être utile à une enquête sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être.
Communication — atteinte aux mesures de sécurité

18. (1) The portion of subsection 22(2) of the Act before paragraph (a) is replaced by the following:
18. (1) Le passage du paragraphe 22(2) de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
Defamation

(2) No action lies in defamation with respect to
(2) Ne peuvent donner lieu à poursuites pour diffamation :
Diffamation

(2) Paragraphs 22(2)(a) and (b) of the English version of the Act are replaced by the following:
(2) Les alinéas 22(2)a) et b) de la version anglaise de la même loi sont remplacés par ce qui suit :
(a) anything said, any information supplied or any record or thing produced in good faith in the course of an investigation or audit carried out by or on behalf of the Commissioner under this Part; and
(b) any report made in good faith by the Commissioner under this Part and any fair and accurate account of the report made in good faith for the purpose of news reporting.
(a) anything said, any information supplied or any record or thing produced in good faith in the course of an investigation or audit carried out by or on behalf of the Commissioner under this Part; and
(b) any report made in good faith by the Commissioner under this Part and any fair and accurate account of the report made in good faith for the purpose of news reporting.
19. Paragraph 24(c) of the Act is replaced by the following:
19. L’alinéa 24c) de la même loi est remplacé par ce qui suit :
(c) encourage organizations to develop detailed policies and practices, including organizational codes of practice, to comply with Divisions 1 and 1.1; and
c) encourage les organisations à élaborer des politiques détaillées — notamment des codes de pratiques — en vue de se conformer aux sections 1 et 1.1;
20. (1) Subsection 25(1) of the Act is replaced by the following:
20. (1) Le paragraphe 25(1) de la même loi est remplacé par ce qui suit :
Annual report

25. (1) The Commissioner shall, within three months after the end of each financial year, submit to Parliament a report concerning the application of this Part, the extent to which the provinces have enacted legislation that is substantially similar to this Part and the application of any such legislation.
25. (1) Dans les trois mois suivant la fin de chaque exercice, le commissaire dépose devant le Parlement son rapport sur l’application de la présente partie, sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à celle-ci et sur l’application de ces lois.
Rapport annuel

(2) Subsection 25(2) of the English version of the Act is replaced by the following:
(2) Le paragraphe 25(2) de la version anglaise de la même loi est remplacé par ce qui suit :
Consultation

(2) Before preparing the report, the Commissioner shall consult with those persons in the provinces who, in the Commissioner’s opinion, are in a position to assist the Commissioner in making a report respecting personal information that is collected, used or disclosed interprovincially or internationally.
(2) Before preparing the report, the Commissioner shall consult with those persons in the provinces who, in the Commissioner’s opinion, are in a position to assist the Commissioner in making a report respecting personal information that is collected, used or disclosed interprovincially or internationally.
Consultation

21. (1) The portion of subsection 26(1) of the Act before paragraph (a) is replaced by the following:
21. (1) Le passage du paragraphe 26(1) de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
Regulations

26. (1) The Governor in Council may make regulations for carrying out the purposes and provisions of this Part, including regulations
26. (1) Le gouverneur en conseil peut, par règlement, prendre toute mesure d’application de la présente partie, notamment :
Règlements

(2) Paragraph 26(1)(a.01) of the Act is repealed.
(2) L’alinéa 26(1)a.01) de la même loi est abrogé.
(3) Subsection 26(1) of the Act is amended by striking out “and” at the end of paragraph (a.1) and by replacing paragraph (b) with the following:
(3) L’alinéa 26(1)b) de la même loi est remplacé par ce qui suit :
(b) specifying information to be kept and maintained under subsection 10.3(1); and
(c) prescribing anything that by this Part is to be prescribed.
b) préciser les renseignements qui doivent être tenus et conservés au titre du paragraphe 10.3(1);
c) prendre toute mesure d’ordre réglementaire prévue par la présente partie.
22. Subsection 27(1) of the Act is replaced by the following:
22. Le paragraphe 27(1) de la même loi est remplacé par ce qui suit :
Whistleblowing

27. (1) Any person who has reasonable grounds to believe that a person has contravened or intends to contravene a provision of Division 1 or 1.1 may notify the Commissioner of the particulars of the matter and may request that their identity be kept confidential with respect to the notification.
27. (1) Toute personne qui a des motifs raisonnables de croire qu’une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir, peut notifier au commissaire des détails sur la question et exiger l’anonymat relativement à cette dénonciation.
Dénonciation

23. Paragraphs 27.1(1)(a) to (c) of the Act are replaced by the following:
23. Les alinéas 27.1(1)a) à c) de la même loi sont remplacés par ce qui suit :
(a) the employee, acting in good faith and on the basis of reasonable belief, has disclosed to the Commissioner that the employer or any other person has contravened or intends to contravene a provision of Division 1 or 1.1;
(b) the employee, acting in good faith and on the basis of reasonable belief, has refused or stated an intention of refusing to do anything that is a contravention of a provision of Division 1 or 1.1;
(c) the employee, acting in good faith and on the basis of reasonable belief, has done or stated an intention of doing anything that is required to be done in order that a provision of Division 1 or 1.1 not be contravened; or
a) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a informé le commissaire que l’employeur ou une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir;
b) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a refusé ou a fait part de son intention de refuser d’accomplir un acte qui constitue une contravention à l’une des dispositions des sections 1 ou 1.1;
c) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a accompli ou a fait part de son intention d’accomplir un acte nécessaire pour empêcher la contravention à l’une des dispositions des sections 1 ou 1.1;
24. The portion of section 28 of the Act before paragraph (a) is replaced by the following:
24. Le passage de l’article 28 de la même loi précédant l’alinéa a) est remplacé par ce qui suit :
Offence and punishment

28. Every organization that knowingly contravenes subsection 8(8), section 10.1 or subsection 10.3(1) or 27.1(1) or that obstructs the Commissioner or the Commissioner’s delegate in the investigation of a complaint or in conducting an audit is guilty of
28. Quiconque contrevient sciemment au paragraphe 8(8), à l’article 10.1 ou aux paragraphes 10.3(1) ou 27.1(1) ou entrave l’action du commissaire — ou de son délégué — dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt, sur déclaration de culpabilité :
Infraction et peine

CONSEQUENTIAL AMENDMENT
MODIFICATION CORRÉLATIVE
R.S., c. A-1

Access to Information Act
Loi sur l’accès à l’information
L.R., ch. A-1

25. Schedule II to the Access to Information Act is amended by adding, in alphabetical order, a reference to
25. L’annexe II de la Loi sur l’accès à l’information est modifiée par adjonction, selon l’ordre alphabétique, de ce qui suit :
Personal Information Protection and Electronic Documents Act
Loi sur la protection des renseignements personnels et les documents électroniques.
and a corresponding reference to “subsection 20(1.1)”.
Loi sur la protection des renseignements personnels et les documents électroniques
Personal Information Protection and Electronic Documents Act
ainsi que de la mention « paragraphe 20(1.1) » en regard de ce titre de loi.
COORDINATING AMENDMENTS
DISPOSITIONS DE COORDINATION
2010, c. 23

26. (1) In this section “other Act” means An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act, chapter 23 of the Statutes of Canada, 2010.
26. (1) Au présent article, « autre loi » s’entend de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, chapitre 23 des Lois du Canada (2010).
2010, ch. 23

(2) On the first day on which both section 82 of the other Act and subsection 6(3) of this Act are in force, the portion of subsection 7.1(2) of the Personal Information Protection and Electronic Documents Act before paragraph (a) is replaced by the following:
(2) Dès le premier jour où l’article 82 de l’autre loi et le paragraphe 6(3) de la présente loi sont tous deux en vigueur, le passage du paragraphe 7.1(2) de la Loi sur la protection des renseignements personnels et les documents électroniques précédant l’alinéa a) est remplacé par ce qui suit :
Collection of electronic addresses, etc.

(2) Paragraphs 7(1)(a) and (b.1) to (d) and (2)(a) to (c.1) and the exception set out in clause 4.3 of Schedule 1 do not apply in respect of
(2) Les alinéas 7(1)a) et b.1) à d) et (2)a) à c.1) et l’exception prévue à l’article 4.3 de l’annexe 1 ne s’appliquent pas :
Collecte, utilisation et communication d’adresses électroniques

(3) On the first day on which both subsection 20(6) of the Personal Information Protection and Electronic Documents Act, as enacted by subsection 86(2) of the other Act, and subsection 20(6) of the Personal Information Protection and Electronic Documents Act, as enacted by subsection 17(4) of this Act, are in force,
(a) subsections 20(1) and (1.1) of the Personal Information Protection and Electronic Documents Act are replaced by the following:
(3) Dès le premier jour où le paragraphe 20(6) de la Loi sur la protection des renseignements personnels et les documents électroniques, édicté par le paragraphe 86(2) de l’autre loi, et le paragraphe 20(6) de la Loi sur la protection des renseignements personnels et les documents électroniques, édicté par le paragraphe 17(4) de la présente loi, sont tous deux en vigueur :
a) les paragraphes 20(1) et (1.1) de la Loi sur la protection des renseignements personnels et les documents électroniques sont remplacés par ce qui suit :
Confidentiality

20. (1) Subject to subsections (2) to (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) and 23.1(1) and section 25, the Commissioner or any person acting on behalf or under the direction of the Commissioner shall not disclose any information that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part other than those referred to in subsection 10.1(1) or 10.3(2).
20. (1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2).
Secret

Confidentiality — reports and records

(1.1) Subject to subsections (2) to (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) and 23.1(1) and section 25, the Commissioner or any person acting on behalf or under the direction of the Commissioner shall not disclose any information contained in a report made under subsection 10.1(1) or in a record obtained under subsection 10.3(2).

(b) subsection 20(6) of the Personal Information Protection and Electronic Documents Act, as enacted by subsection 86(2) of the other Act, is renumbered as subsection 20(7) and is repositioned accordingly if required.
(1.1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2).
Secret — déclarations et registre

b) le paragraphe 20(6) de la Loi sur la protection des renseignements personnels et les documents électroniques, édicté par le paragraphe 86(2) de l’autre loi, devient le paragraphe 20(7) et, au besoin, est déplacé en conséquence.

COMING INTO FORCE
ENTRÉE EN VIGUEUR
Order in council

27. Sections 10, 11 and 14, subsections 17(1) and (4) and sections 19 and 22 to 25 come into force on a day to be fixed by order of the Governor in Council.
27. Les articles 10, 11 et 14, les paragraphes 17(1) et (4) et les articles 19 et 22 à 25 entrent en vigueur à la date fixée par décret.
Décret

Published under authority of the Senate of Canada


Publié avec l'autorisation du Sénat du Canada