|
|
|
|
|
|
1st Session, 41st Parliament,
|
|
|
|
1re session, 41e législature,
|
|
|
|
|
|
60-61-62 Elizabeth II, 2011-2012-2013
|
|
|
|
60-61-62 Elizabeth II, 2011-2012-2013
|
|
|
|
|
|
house of commons of canada
|
|
|
|
chambre des communes du canada
|
|
|
|
|
|
|
|
|
|
An Act to amend the Personal Information Protection and Electronic Documents Act (order-making power)
|
|
|
|
Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques (pouvoir de rendre des ordonnances)
|
|
|
|
|
2000, c. 5
|
|
Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:
|
|
|
|
Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :
|
|
2000, ch. 5
|
|
|
|
1. The Personal Information Protection and Electronic Documents Act is amended by adding the following after section 10:
|
|
|
|
1. La Loi sur la protection des renseignements personnels et les documents électroniques est modifiée par adjonction, après l’article 10, de ce qui suit :
|
|
|
|
|
Definition of “harm”
|
|
10.01 (1) For the purposes of this section and section 10.02, “harm” includes bodily harm, humiliation, embarrassment, injury to reputation or relationships, loss of employment, business or professional opportunities, financial loss, identity theft, identity fraud, negative effects on credit rating and damage to or loss of property.
|
|
|
|
10.01 (1) Pour l’application du présent article et de l'article 10.02, « préjudice » vise notamment les lésions corporelles, l’humiliation, l’embarras, l'atteinte à la réputation ou aux relations, la perte d’un emploi, d’une occasion d’affaires ou d’une activité professionnelle, la perte financière, le vol d’identité, la fraude d’identité, l'effet négatif sur la cote de crédit et le dommage aux biens ou leur perte.
|
|
Définition de « préjudice »
|
|
|
Notice to Commissioner
|
|
(2) An organization having personal information under its control shall notify the Commissioner of any incident involving the loss or disclosure of, or unauthorized access to, personal information, where a reasonable person would conclude that there exists a possible risk of harm to an individual as a result of the loss or disclosure or unauthorized access.
|
|
|
|
(2) L’organisation qui a la gestion de renseignements personnels avise le commissaire de tout incident ayant entraîné la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour une personne en raison de cette perte ou communication ou de cet accès non autorisé.
|
|
Avis au commissaire
|
|
|
Relevant factors
|
|
(3) The factors that are relevant in determining whether a loss or disclosure of, or unauthorized access to, personal information would be considered by a reasonable person as creating a risk of harm are
|
|
|
|
(a) the sensitivity of the personal information; and
|
|
|
|
(b) the number of individuals whose personal information was involved.
|
|
|
|
(3) Les éléments ci-après sont pertinents pour déterminer si la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci constituerait, pour une personne raisonnable, un risque de préjudice :
|
|
Éléments pertinents
|
|
a) le degré de sensibilité des renseignements personnels en cause;
|
|
|
|
b) le nombre de personnes dont les renseignements personnels ont été touchés.
|
|
|
|
|
Notification to be made without unreasonable delay
|
|
(4) The notification must be made without unreasonable delay after the discovery of the loss or disclosure of, or unauthorized access to, personal information.
|
|
|
|
(4) L’avis est donné sans retard injustifié après la découverte de la perte ou de la communication des renseignements personnels ou de l’accès non autorisé à ceux-ci.
|
|
Avis donné sans retard injustifié
|
|
|
Notification requirements
|
|
(5) The notification must contain the information and be made in the form prescribed in the regulations or otherwise specified by the Commissioner.
|
|
|
|
(5) L’avis doit être en la forme réglementaire et contenir les renseignements prévus par règlement ou précisés par le commissaire.
|
|
Forme et contenu de l’avis
|
|
|
Commissioner’s assessment of risk
|
|
10.02 (1) Upon the receipt of the notification referred to in subsection 10.01(2), the Commissioner may require the organization to notify affected individuals to whom there is an appreciable risk of harm as a result of the loss or disclosure of, or unauthorized access to, person- al information.
|
|
|
|
10.02 (1) Sur réception de l’avis visé au paragraphe 10.01(2), le commissaire peut enjoindre à l’organisation d’informer toute personne concernée pour laquelle la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci constitue un risque appréciable de préjudice.
|
|
Évaluation du risque
|
|
|
Obligation to notify affected individuals
|
|
(2) If the Commissioner determines that the loss or disclosure of, or unauthorized access to, personal information is likely to result in an appreciable risk of harm to the affected individuals, the Commissioner shall, as soon as feasible, order the organization to notify the affected individuals without unreasonable delay.
|
|
|
|
(2) S'il juge que la perte ou la communication des renseignements personnels ou l’accès non autorisé à ceux-ci est susceptible de constituer un risque appréciable de préjudice pour une personne concernée, le commissaire doit, dès que possible, ordonner à l’organisation d’informer celle-ci sans retard injustifié.
|
|
Obligation d’informer les personnes concernées
|
|
|
Notification by an organization
|
|
(3) Nothing precludes an organization from notifying affected individuals of the loss or disclosure of, or unauthorized access to, person-al information on its own initiative; in which case, the organization shall, without delay, inform the Commissioner that it has done so.
|
|
|
|
(3) Rien n’empêche l’organisation d’aviser, de sa propre initiative, la personne concernée par la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci; le cas échéant, elle en informe sans délai le commissaire.
|
|
Avis par l’organisation
|
|
|
Notification requirements
|
|
(4) The notification to the affected individ-uals of the loss or disclosure of, or unauthorized access to, personal information shall include
|
|
|
|
(a) a report of the risk of harm as it pertains to the affected individuals;
|
|
|
|
(b) instructions for reducing the risk of harm or mitigating that harm; and
|
|
|
|
(c) any other prescribed information.
|
|
|
|
(4) L’avis à la personne concernée par la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci comporte les éléments suivants :
|
|
Contenu de l’avis
|
|
a) un rapport des risques de préjudice qu’elle pourrait subir;
|
|
|
|
b) des instructions sur la façon de réduire les risques de préjudice ou d’atténuer ce préjudice;
|
|
|
|
c) tout autre renseignement prévu par règlement.
|
|
|
|
|
Form and manner of notification
|
|
(5) The notification shall be clear and delivered directly to the individual in the prescribed form and manner.
|
|
|
|
(5) L’avis est clair et est remis directement à la personne concernée selon les modalités réglementaires.
|
|
Modalités
|
|
|
Notification of compliance
|
|
(6) Once the organization has complied with the notification order referred to in subsection (2), it shall notify the Commissioner of that fact.
|
|
|
|
(6) Lorsque l’organisation s’est conformée à l’ordonnance visée au paragraphe (2), elle en avise le commissaire.
|
|
Avis de conformité
|
|
|
|
2. The Act is amended by adding the following after section 12.1:
|
|
|
|
2. La même loi est modifiée par adjonction, après l’article 12.1, de ce qui suit :
|
|
|
|
|
Compliance order
|
|
12.11 Upon completion of an investigation of a complaint, the Commissioner may order the organization that is the object of the complaint to take the necessary actions to comply with this Act, which may include
|
|
|
|
(a) correcting its practices in order to comply with sections 5 to 10, including by
|
|
|
|
(i) fulfilling any obligation under the Act,
|
|
|
|
(ii) destroying data,
|
|
|
|
(iii) ceasing to collect, use or disclose personal information, and
|
|
|
|
(iv) deleting or adding a record; and
|
|
|
|
(b) publishing a notice of any action taken or proposed to be taken to correct its practices, whether or not ordered to correct them under paragraph (a).
|
|
|
|
12.11 À la fin de l’examen d'une plainte, le commissaire peut ordonner à l’organisation visée par la plainte de prendre toutes les mesures nécessaires afin de se conformer à la présente loi, notamment :
|
|
Ordonnance
|
|
a) revoir ses pratiques de façon à se conformer aux articles 5 à 10, par exemple :
|
|
|
|
(i) s’acquitter de toute obligation qui lui incombe au titre de la présente loi,
|
|
|
|
(ii) détruire des données,
|
|
|
|
(iii) cesser de recueillir, d’utiliser ou de communiquer des renseignements personnels,
|
|
|
|
(iv) supprimer ou ajouter un document;
|
|
|
|
b) publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques, que ces dernières aient ou non fait l’objet d’une ordonnance visée à l’alinéa a).
|
|
|
|
|
Time limit
|
|
12.12 The Commissioner shall establish a time limit for the implementation of any order made under section 12.11.
|
|
|
|
12.12 Le commissaire fixe un délai pour l’exécution de toute ordonnance rendue en vertu de l’article 12.11.
|
|
Délai
|
|
|
Extension of time limit
|
|
12.13 (1) Upon a request by the organization that is the object of the complaint, the Commissioner may extend the time limit for the implementation of the order at any time throughout the implementation period established by the Commissioner.
|
|
|
|
12.13 (1) À la demande de l’organisation visée par la plainte, le commissaire peut, avant l’expiration du délai fixé pour l’exécution de l’ordonnance, proroger celui-ci.
|
|
Prorogation du délai
|
|
|
Extension of time limit only granted once
|
|
(2) The extension of the time limit may only be granted once.
|
|
|
|
(2) Le délai ne peut être prorogé qu'une fois.
|
|
Une seule prorogation
|
|
|
|
3. (1) Paragraph 13(1)(a) of the Act is replaced by the following:
|
|
|
|
3. (1) L’alinéa 13(1)a) de la même loi est remplacé par ce qui suit :
|
|
|
|
|
|
(a) the Commissioner’s findings, recommendations and any order made under section 12.11;
|
|
|
|
a) il présente ses conclusions, ses recommandations et toute ordonnance rendue en vertu de l’article 12.11;
|
|
|
|
|
|
(2) Subsection 13(1) of the Act is amended by striking out “and” at the end of paragraph (c), by adding “and” at the end of paragraph (d) and by adding the following after paragraph (d):
|
|
|
|
(2) Le paragraphe 13(1) de la même loi est modifié par adjonction, après l’alinéa d), de ce qui suit :
|
|
|
|
|
|
(e) a time limit on the implementation of any order made under section 12.11.
|
|
|
|
e) il fixe le délai pour l’exécution de toute ordonnance rendue en vertu de l’article 12.11.
|
|
|
|
|
|
4. The Act is amended by adding the following after section 16:
|
|
|
|
4. La même loi est modifiée par adjonction, après l’article 16, de ce qui suit :
|
|
|
|
|
Right of action ―Commissioner
|
|
16.1 (1) If the Commissioner determines that the organization has not complied with the orders made under section 12.11 within the time limit established in section 12.12, or orders made under subsection 10.02(2) or 19(1), the Commissioner shall have a right of action against the organization.
|
|
|
|
16.1 (1) S’il juge que l’organisation ne s'est pas conformée à une ou plusieurs ordonnances rendues en vertu de l’article 12.11 dans le délai imparti au titre de l’article 12.12, ou une ou plusieurs ordonnances rendues en vertu des paragraphes 10.02(2) ou 19(1), le commissaire a le droit d’intenter une action contre l’organisation.
|
|
Droit d’action― commissaire
|
|
|
Factors
|
|
(2) The Court shall consider the following factors when determining what penalty to impose on the organization:
|
|
|
|
(a) the number of orders not complied with by the organization;
|
|
|
|
(b) whether the organization is commercial or non-commercial; and
|
|
|
|
(c) whether the organization took reasonable measures under the circumstances to comply with the orders of the Commissioner.
|
|
|
|
(2) Lorsqu’elle détermine la sanction à imposer à l’organisation, la Cour prend en considération les facteurs suivants :
|
|
Facteurs
|
|
a) le nombre d’ordonnances auxquelles l'organisation ne s'est pas conformée;
|
|
|
|
b) la nature de l’organisation, à savoir si elle est commerciale ou non;
|
|
|
|
c) l’absence ou l’existence de mesures raisonnables prises en l’occurrence par l’organisation pour se conformer aux ordonnances du commissaire.
|
|
|
|
|
Monetary penalty
|
|
(3) The organization which fails to comply with an order issued under section 12.11 or subsection 19(1) may be subject to a single monetary penalty of no more than $500,000.
|
|
|
|
(3) L'organisation qui omet de se conformer à une ordonnance rendue en vertu de l’article 12.11 ou du paragraphe 19(1) peut être passible d’une sanction pécuniaire unique ne pouvant excéder 500 000 $.
|
|
Sanction pécuniaire
|
|
|
Punitive damages
|
|
(4) The organization which fails to comply with an order made under subsection 10.02(2) may be subject to punitive damages imposed by the Court.
|
|
|
|
(4) L'organisation qui omet de se conformer à une ordonnance rendue en vertu imposer du paragraphe 10.02(2) peut se voir imposer des dommages-intérêts punitifs par la Cour.
|
|
Dommages-intérêts punitifs
|
|
|
Right of action
|
|
16.2 If the Commissioner has issued an order under section 12.11 and the order has become final as a result of there being no further extension of the time limit under section 12.13, any individual affected by any violation of this Act specified in the order has a right of action against the organization for damages or loss suffered as a result of the non-compliance of the organization with its obligations under this Act.
|
|
|
|
16.2 Si le commissaire a rendu une ordonnance en vertu de l’article 12.11 à l’égard d’une organisation et que cette ordonnance est définitive en raison de l’impossibilité d’en proroger davantage le délai d’exécution en vertu de l’article 12.13, toute personne touchée par une infraction à la présente loi visée par l’ordonnance a le droit d’intenter une action contre l’organisation relativement à tout dommage ou à toute perte découlant du non-respect, par l’organisation, des obligations qui lui incombent aux termes de la présente loi.
|
|
Droit d'action
|
|
|
|
5. Subsection 19(1) of the Act is replaced by the following:
|
|
|
|
5. Le paragraphe 19(1) de la même loi est remplacé par ce qui suit :
|
|
|
|
|
Report ― findings, recommendations and orders
|
|
19. (1) After an audit, the Commissioner shall provide the audited organization with a report that contains the findings of the audit and any recommendations and orders that the Commissioner considers appropriate.
|
|
|
|
19. (1) À l’issue de la vérification, le commissaire adresse à l’organisation en cause un rapport où il présente ses conclusions ainsi que les recommandations et ordonnances qu’il juge indiquées.
|
|
Rapport du commissaire — conclusions, recommandations et ordonnances
|
|
|
Published under authority of the Speaker of the House of Commons
|
|
Publié avec l'autorisation du président de la Chambre des communes
|
|
|
|
|