Skip to main content

Bill C-11

If you have any questions or comments regarding the accessibility of this publication, please contact us at accessible@parl.gc.ca.

Skip to Document Navigation Skip to Document Content

Second Session, Forty-third Parliament,
69 Elizabeth II, 2020
Deuxième session, quarante-troisième législature,
69 Elizabeth II, 2020
HOUSE OF COMMONS OF CANADA
CHAMBRE DES COMMUNES DU CANADA
BILL C-11
PROJET DE LOI C-11
An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts
Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois
FIRST READING, November 17, 2020
PREMIÈRE LECTURE LE 17 novembre 2020
MINISTER OF INNOVATION, SCIENCE AND INDUSTRY
MINISTRE DE L’INNOVATION, DES SCIENCES ET DE L’INDUSTRIE
90964


SOMMAIRE

SUMMARY

La partie 1 édicte la Loi sur la protection de la vie privée des consommateurs afin de protéger les renseignements personnels des individus tout en reconnaissant le besoin des organisations de recueillir, d’utiliser ou de communiquer de tels renseignements dans le cadre de leurs activités commerciales. En conséquence, elle abroge la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques et remplace le titre abrégé de cette loi par le titre Loi sur les documents électroniques. Elle apporte aussi des modifications corrélatives et connexes à d’autres lois.
Part 1 enacts the Consumer Privacy Protection Act to protect the personal information of individuals while recognizing the need of organizations to collect, use or disclose personal information in the course of commercial activities. In consequence, it repeals Part 1 of the Personal Information Protection and Electronic Documents Act and changes the short title of that Act to the Electronic Documents Act. It also makes consequential and related amendments to other Acts.
La partie 2 édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données qui constitue un tribunal administratif pour entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée au titre de la Loi sur la protection de la vie privée des consommateurs et pour infliger des pénalités relatives à la contravention de certaines dispositions de cette dernière loi. De plus, elle apporte une modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs.
Part 2 enacts the Personal Information and Data Protection Tribunal Act, which establishes an administrative tribunal to hear appeals of certain decisions made by the Privacy Commissioner under the Consumer Privacy Protection Act and to impose penalties for the contravention of certain provisions of that Act. It also makes a related amendment to the Administrative Tribunals Support Service of Canada Act.
Available on the House of Commons website at the following address:
www.ourcommons.ca
Disponible sur le site Web de la Chambre des communes à l’adresse suivante :
www.noscommunes.ca


TABLE ANALYTIQUE

TABLE OF PROVISIONS

Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois
An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts
Titre abrégé
Short Title
1
Loi de 2020 sur la mise en œuvre de la Charte du numérique
1
Digital Charter Implementation Act, 2020
PARTIE 1
PART 1
Loi sur la protection de la vie privée des consommateurs
Consumer Privacy Protection Act
2
Édiction
2
Enactment
Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
1
Loi sur la protection de la vie privée des consommateurs
1
Consumer Privacy Protection Act
Définitions
Interpretation
2
Définitions
2
Definitions
3
Désignation du ministre
3
Order designating Minister
4
Personnes autorisées
4
Authorized representatives
Objet et champ d’application
Purpose and Application
5
Objet
5
Purpose
6
Champ d’application
6
Application
PARTIE 1
PART 1
Obligations des organisations
Obligations of Organizations
Responsabilité des organisations
Accountability of Organizations
7
Responsabilité à l’égard des renseignements personnels
7
Accountability — personal information under organization’s control
8
Individus désignés
8
Designated individual
9
Programme de gestion de la protection des renseignements personnels
9
Privacy management program
10
Accès aux politiques, pratiques et procédures
10
Access by Commissioner — policies, practices and procedures
11
Protection équivalente
11
Same protection
Fins acceptables
Appropriate Purposes
12
Fins acceptables
12
Appropriate purposes
Limite : collecte, utilisation et communication
Limiting Collection, Use and Disclosure
13
Limite : collecte
13
Limiting collection
14
Fin nouvelle
14
New purpose
Consentement
Consent
15
Consentement requis
15
Consent required
16
Consentement obtenu par subterfuge
16
Consent obtained by deception
17
Retrait du consentement
17
Withdrawal of consent
Consentement : exceptions
Exceptions to Requirement for Consent
Activités d’affaires
Business Operations
18
Activités d’affaires
18
Business activities
19
Transfert à des fournisseurs de services
19
Transfer to service provider
20
Renseignements dépersonnalisés
20
De-identification of personal information
21
Recherche et développement
21
Research and development
22
Transaction commerciale éventuelle
22
Prospective business transaction
23
Renseignement produit par l’individu
23
Information produced in employment, business or profession
24
Relation d’emploi : entreprise fédérale
24
Employment relationship — federal work, undertaking or business
25
Communication à un avocat ou un notaire
25
Disclosure to lawyer or notary
26
Déclaration d’un témoin
26
Witness statement
27
Prévention, détection et suppression de la fraude
27
Prevention, detection or suppression of fraud
28
Recouvrement de créances
28
Debt collection
Intérêt public
Public Interest
29
Intérêt de l’individu
29
Individual’s interest
30
Situation d’urgence : utilisation
30
Emergency — use
31
Situation d’urgence : communication
31
Emergency — disclosure
32
Identification d’un individu
32
Identification of individual
33
Communication : proche parent ou représentant autorisé
33
Communication with next of kin or authorized representative
34
Exploitation financière
34
Financial abuse
35
Statistiques, études ou recherches
35
Statistical or scholarly study or research
36
Importance historique ou archivistique
36
Records of historic or archival importance
37
Communication après une période de temps
37
Disclosure after period of time
38
Fins journalistiques, artistiques ou littéraires
38
Journalistic, artistic or literary purposes
39
Fins socialement bénéfiques
39
Socially beneficial purposes
Enquêtes
Investigations
40
Violation d’un accord ou contravention au droit
40
Breach of agreement or contravention
41
Utilisation à des fins d’enquête
41
Use for investigations
42
Atteinte aux mesures de sécurité
42
Breach of security safeguards
Communication à une institution gouvernementale
Disclosures to Government Institutions
43
Application du droit
43
Administering law
44
Contrôle d’application : demande de l’institution gouvernementale
44
Law enforcement — request of government institution
45
Contravention au droit : sur initiative de l’organisation
45
Contravention of law — initiative of organization
46
Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
46
Proceeds of Crime (Money Laundering) and Terrorist Financing Act
47
Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale
47
Request by government institution — national security, defence or international affairs
48
Sécurité nationale, défense et affaires internationales : initiative de l’organisation
48
Initiative of organization — national security, defence or international affairs
Exigence de la loi
Required by Law
49
Collecte en vue d’une communication exigée par la loi
49
Required by law — collection
50
Assignation, mandat ou ordonnance
50
Subpoena, warrant or order
Renseignements publics
Publicly Available Information
51
Renseignements réglementaires
51
Information specified by regulations
Non-application de certaines exceptions : adresse électronique et programme d’ordinateur
Non-application of Certain Exceptions — Electronic Addresses and Computer Systems
52
Définitions
52
Definitions
Conservation et retrait des renseignements personnels
Retention and Disposal of Personal Information
53
Durée de conservation et retrait
53
Period for retention and disposal
54
Renseignements personnels utilisés pour prendre une décision
54
Personal information used for decision-making
55
Retrait à la demande de l’individu
55
Disposal at individual’s request
Exactitude des renseignements personnels
Accuracy of Personal Information
56
Exactitude des renseignements
56
Accuracy of information
Mesures de sécurité
Security Safeguards
57
Mesures de sécurité
57
Security safeguards
58
Déclaration au commissaire
58
Report to Commissioner
59
Avis à une organisation
59
Notification to organizations
60
Registre
60
Records
61
Fournisseur de services
61
Service providers
Ouverture et transparence
Openness and Transparency
62
Politiques et pratiques
62
Policies and practices
Accès et rectification
Access to and Amendment of Personal Information
63
Information et accès
63
Information and access
64
Demande par écrit
64
Request in writing
65
Renseignements nécessaires
65
Information to be provided
66
Langage clair
66
Plain language
67
Délai de réponse
67
Time limit
68
Coût
68
Costs for responding
69
Conservation des renseignements
69
Retention of information
70
Cas où la communication est interdite
70
When access prohibited
71
Modification des renseignements personnels
71
Amendment of personal information
Mobilité des renseignements personnels
Mobility of Personal Information
72
Communication conformément à un cadre de mobilité des données
72
Disclosure under data mobility framework
Contestation de la conformité
Challenging Compliance
73
Plaintes et demandes de renseignements
73
Complaints and requests for information
Renseignements dépersonnalisés
De-identification of Personal Information
74
Proportionnalité des procédés techniques et administratifs
74
Proportionality of technical and administrative measures
75
Interdiction 
75
Prohibition
PARTIE 2
PART 2
Attributions du commissaire et dispositions générales
Commissioner’s Powers, Duties and Functions and General Provisions
Codes de pratique et programmes de certification
Codes of Practice and Certification Programs
76
Définition de entité
76
Definition of entity
77
Programme de certification
77
Certification program
78
Réponse du commissaire
78
Response by Commissioner
79
Décision publique
79
Approval made public
80
Précision
80
For greater certainty
81
Pouvoirs du commissaire
81
Powers of Commissioner
Recours
Recourses
Dépôt des plaintes
Filing of Complaints
82
Contravention
82
Contravention
Examen des plaintes et règlement des différends
Investigation of Complaints and Dispute Resolution
83
Examen des plaintes par le commissaire
83
Investigation of complaint by Commissioner
84
Mode de règlement des différends
84
Dispute resolution mechanisms
Fin de l’examen
Discontinuance of Investigation
85
Motifs
85
Reasons
Accord de conformité
Compliance Agreements
86
Conclusion d’un accord de conformité
86
Entering into compliance agreement
Avis
Notification
87
Avis et motifs
87
Notification and reasons
Investigation
Inquiry
88
Investigation : plainte
88
Inquiry — complaint
89
Investigation : accord de conformité
89
Inquiry — compliance agreement
90
Règles de preuve
90
Nature of inquiries
91
Procédure
91
Procedure
92
Conclusion de l’investigation
92
Decision
Pénalités
Penalties
93
Recommandation
93
Recommendation
94
Infliction d’une pénalité
94
Imposition of penalty
95
Recouvrement
95
Recovery as debt due to Her Majesty
Vérification
Audits
96
Vérification de la conformité
96
Ensure compliance
97
Rapport des conclusions et recommandations du commissaire
97
Report of findings and recommendations
Pouvoirs du commissaire : examens, investigations et vérifications
Commissioner’s Powers — Investigations, Inquiries and Audits
98
Pouvoirs du commissaire
98
Powers of Commissioner
99
Délégation
99
Delegation
Appels
Appeals
100
Droit d’appel
100
Right of appeal
101
Appel avec autorisation
101
Appeal with leave
102
Sort de l’appel
102
Disposition of appeals
Exécution des ordonnances
Enforcement of Orders
103
Ordonnances de conformité
103
Compliance orders
104
Ordonnances du Tribunal
104
Tribunal orders
105
Dépôt au greffe de la cour
105
Filing with Court
Droit privé d’action
Private Right of Action
106
Dommages et intérêts : contravention
106
Damages — contravention of Act
Certificat délivré au titre de la Loi sur la preuve au Canada
Certificate Under Canada Evidence Act
107
Certificat délivré au titre de la Loi sur la preuve au Canada
107
Certificate under Canada Evidence Act
Attributions du commissaire
Powers, Duties and Functions of Commissioner
108
Éléments à prendre en compte
108
Factors to consider
109
Promotion de l’objet de la loi
109
Promoting purposes of Act
110
Interdiction : utilisation des renseignements
110
Prohibition — use for initiating complaint or audit
111
Manière d’exercer ses attributions
111
Information — powers, duties or functions
112
Secret
112
Confidentiality
113
Qualité pour témoigner
113
Not competent witness
114
Immunité du commissaire
114
Protection of Commissioner
115
Accords ou ententes : CRTC et commissaire de la concurrence
115
Agreements or arrangements — CRTC and Commissioner of Competition
116
Consultation avec les provinces
116
Consultations with provinces
117
Communication de renseignements à des États étrangers
117
Disclosure of information to foreign state
118
Rapport annuel
118
Annual report
Dispositions générales
General
119
Règlements
119
Regulations
120
Cadre de mobilité des données
120
Data mobility frameworks
121
Traitement différent : catégories
121
Distinguishing — classes
122
Règlements : codes de pratique et programmes de certification
122
Regulations — codes of conduct and certification programs
123
Dénonciation
123
Whistleblowing
124
Interdiction
124
Prohibition
125
Infraction et peine
125
Offence and punishment
126
Examen par un comité parlementaire
126
Review by parliamentary committee
Modifications corrélatives et connexes
Consequential and Related Amendments
3
Loi sur la protection des renseignements personnels et les documents électroniques
3
Personal Information Protection and Electronic Documents Act
9
Loi sur l’accès à l’information
9
Access to Information Act
10
Loi sur l’aéronautique
10
Aeronautics Act
11
Loi sur la preuve au Canada
11
Canada Evidence Act
13
Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes
13
Canadian Radio-television and Telecommunications Commission Act
14
Loi sur la concurrence
14
Competition Act
15
Loi canadienne sur les sociétés par actions
15
Canada Business Corporations Act
16
Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles
16
Public Servants Disclosure Protection Act
19
Chapitre 23 des Lois du Canada (2010)
19
Chapter 23 of the Statutes of Canada, 2010
31
Loi sur la modernisation des transports
31
Transportation Modernization Act
Modifications terminologiques
Terminology
32
Remplacement de « Loi sur la protection des renseignements personnels et les documents électroniques »
32
Replacement of “Personal Information Protection and Electronic Documents Act
Dispositions transitoires
Transitional Provisions
33
Définitions
33
Definitions
Dispositions de coordination
Coordinating Amendments
34
2018, ch. 10
34
2018, c. 10
PARTIE 2
PART 2
Loi sur le Tribunal de la protection des renseignements personnels et des données
Personal Information and Data Protection Tribunal Act
35
Édiction
35
Enactment
Loi portant constitution du Tribunal de la protection des renseignements personnels et des données
An Act to establish the Personal Information and Data Protection Tribunal
1
Loi sur le Tribunal de la protection des renseignements personnels et des données
1
Personal Information and Data Protection Tribunal Act
2
Définition de ministre
2
Definition of Minister
3
Désignation du ministre
3
Order designating Minister
4
Constitution
4
Establishment
5
Compétence
5
Jurisdiction
6
Membres
6
Members
7
Président et vice-président
7
Chairperson and Vice-Chairperson
8
Fonctions du président
8
Duties of Chairperson
9
Intérim — président
9
Acting Chairperson
10
Mandat
10
Term of office
11
Rémunération
11
Remuneration
12
Incompatibilité
12
Inconsistent interests
13
Siège
13
Principal office
14
Séances
14
Sittings
15
Audiences
15
Nature of hearings
16
Pouvoirs
16
Powers
17
Motifs
17
Reasons
18
Décisions publiques
18
Public availability — decisions
19
Règles de procédure
19
Rules
20
Dépens
20
Costs
21
Décision définitive
21
Decisions final
Modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs
Related Amendment to the Administrative Tribunals Support Service of Canada Act
36
36
PARTIE 3
PART 3
Entrée en vigueur
Coming into Force
37
Décret
37
Order in council
ANNEXE 
SCHEDULE 
ANNEXE 
SCHEDULE 


2nd Session, 43rd Parliament,
69 Elizabeth II, 2020
2e session, 43e législature,
69 Elizabeth II, 2020
HOUSE OF COMMONS OF CANADA
CHAMBRE DES COMMUNES DU CANADA
BILL C-11
PROJET DE LOI C-11
An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts
Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois
Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :
Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:

Titre abrégé

Short Title

Titre abrégé
Short title
1Loi de 2020 sur la mise en œuvre de la Charte du numérique.
1This Act may be cited as the Digital Charter Implementation Act, 2020.

PARTIE 1

PART 1

Loi sur la protection de la vie privée des consommateurs
Consumer Privacy Protection Act

Édiction de la loi

Enactment of Act

Édiction
Enactment
2Est édictée la Loi sur la protection de la vie privée des consommateurs, dont le texte suit et dont l’annexe figure à l’annexe de la présente loi :
2The Consumer Privacy Protection Act, whose text is as follows and whose schedule is set out in the schedule to this Act, is enacted:
Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
Titre abrégé
Short title
1Loi sur la protection de la vie privée des consommateurs.
1This Act may be cited as the Consumer Privacy Protection Act.
Définitions
Interpretation
Définitions
Definitions
2Les définitions qui suivent s’appliquent à la présente loi.
activité commerciale Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial, compte tenu des objectifs de l’organisation qui exerce l’activité ou commet l’acte, du contexte dans lequel l’activité est exercée ou l’acte est posé, des personnes en cause et des résultats de l’activité ou de l’acte.‍ (commercial activity)
atteinte aux mesures de sécurité Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 57 ou du fait que ces mesures n’ont pas été mises en place.‍ (breach of security safeguards)
commissaire Le Commissaire à la protection de la vie privée nommé en application de l’article 53 de la Loi sur la protection des renseignements personnels.‍ (Commissioner)
dépersonnaliser Modifier des renseignements personnels — ou créer des renseignements à partir de renseignements personnels — au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu.‍ (de-identify)
document Éléments d’information, quel qu’en soit la forme ou le support.‍ (record)
entreprises fédérales Les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement. Sont compris parmi les entreprises fédérales :
a)les installations, ouvrages, entreprises ou secteurs d’activité qui se rapportent à la navigation et aux transports par eau, notamment l’exploitation de navires et le transport par navire partout au Canada;
b)les installations ou ouvrages, notamment les chemins de fer, canaux ou liaisons télégraphiques, reliant une province à une autre, ou débordant les limites d’une province, et les entreprises correspondantes;
c)les lignes de transport par bateaux à vapeur ou autres navires, reliant une province à une autre, ou débordant les limites d’une province;
d)les passages par eaux entre deux provinces ou entre une province et un pays étranger;
e)les aéroports, aéronefs ou lignes de transport aérien;
f)les stations de radiodiffusion;
g)les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;
h)les ouvrages qui, bien qu’entièrement situés dans une province, sont, avant ou après leur réalisation, déclarés par le Parlement être à l’avantage général du Canada ou à l’avantage de plusieurs provinces;
i)les installations, ouvrages, entreprises ou secteurs d’activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales;
j)les installations, ouvrages, entreprises ou secteurs d’activité auxquels le droit, au sens de l’alinéa a) de la définition de droit à l’article 2 de la Loi sur les océans, s’applique en vertu de l’article 20 de cette loi et des règlements pris en vertu de l’alinéa 26(1)k) de la même loi.‍ (federal work, undertaking or business)
fournisseur de services Toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins.‍ (service provider)
ministre Le membre du Conseil privé de la Reine pour le Canada désigné en vertu de l’article 3 ou, à défaut de désignation, le ministre de l’Industrie.‍ (Minister)
organisation S’entend notamment des associations, sociétés de personnes, personnes et organisations syndicales.‍ (organization)
renseignement personnel Tout renseignement concernant un individu identifiable.‍ (personal information)
retrait Suppression définitive et irréversible de renseignements personnels.‍ (disposal)
support de substitution Tout support permettant à un individu ayant une déficience sensorielle de lire ou d’écouter des renseignements personnels.‍ (alternative format)
système décisionnel automatisé Technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux.‍ (automated decision system)
transaction commerciale S’entend notamment des transactions suivantes :
a)l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;
b)la fusion ou le regroupement d’organisations;
c)le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;
d)le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;
e)la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;
f)tout autre arrangement réglementaire entre des organisations pour la poursuite d’activités d’affaires.‍ (business transaction)
Tribunal Tribunal de la protection des renseignements personnels et des données constitué en vertu de l’article 4 de la Loi sur le Tribunal de la protection des renseignements personnels et des données.‍ (Tribunal)
2The following definitions apply in this Act.
alternative format, with respect to personal information, means a format that allows an individual with a sensory disability to read or listen to the personal information.‍ (support de substitution)
automated decision system means any technology that assists or replaces the judgement of human decision-makers using techniques such as rules-based systems, regression analysis, predictive analytics, machine learning, deep learning and neural nets.‍ (système décisionnel automatisé)
breach of security safeguards means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in section 57 or from a failure to establish those safeguards.‍ (atteinte aux mesures de sécurité)
business transaction includes
(a)the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;
(b)the merger or amalgamation of two or more organizations;
(c)the making of a loan or provision of other financing to an organization or a part of an organization;
(d)the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;
(e)the lease or licensing of any of an organization’s assets; and
(f)any other prescribed arrangement between two or more organizations to conduct a business activity.‍ (transaction commerciale)
commercial activity means any particular transaction, act or conduct or any regular course of conduct that is of a commercial character, taking into account an organization’s objectives for carrying out the transaction, act or conduct, the context in which it takes place, the persons involved and its outcome.‍ (activité commerciale)
Commissioner means the Privacy Commissioner appointed under section 53 of the Privacy Act.‍ (commissaire)
de-identify means to modify personal information — or create information from personal information — by using technical processes to ensure that the information does not identify an individual or could not be used in reasonably foreseeable circumstances, alone or in combination with other information, to identify an individual.‍ (dépersonnaliser)
disposal means the permanent and irreversible deletion of personal information.‍ (retrait)
federal work, undertaking or business means any work, undertaking or business that is within the legislative authority of Parliament. It includes
(a)a work, undertaking or business that is operated or carried on for or in connection with navigation and shipping, whether inland or maritime, including the operation of ships and transportation by ship anywhere in Canada;
(b)a railway, canal, telegraph or other work or undertaking that connects a province with another province, or that extends beyond the limits of a province;
(c)a line of ships that connects a province with another province, or that extends beyond the limits of a province;
(d)a ferry between a province and another province or between a province and a country other than Canada;
(e)aerodromes, aircraft or a line of air transportation;
(f)a radio broadcasting station;
(g)a bank or an authorized foreign bank as defined in section 2 of the Bank Act;
(h)a work that, although wholly situated within a province, is before or after its execution declared by Parliament to be for the general advantage of Canada or for the advantage of two or more provinces;
(i)a work, undertaking or business outside the exclusive legislative authority of the legislatures of the provinces; and
(j)a work, undertaking or business to which federal laws, within the meaning of section 2 of the Oceans Act, apply under section 20 of that Act and any regulations made under paragraph 26(1)‍(k) of that Act.‍ (entreprises fédérales)
Minister means the member of the Queen’s Privy Council for Canada designated under section 3 or, if no member is designated, the Minister of Industry.‍ (ministre)
organization includes an association, a partnership, a person or a trade union.‍ (organisation)
personal information means information about an identifiable individual.‍ (renseignement personnel)
prescribed means prescribed by regulation.‍ (Version anglaise seulement)
record means any documentary material, regardless of medium or form.‍ (document)
service provider means an organization, including a parent corporation, subsidiary, affiliate, contractor or subcontractor, that provides services for or on behalf of another organization to assist the organization in fulfilling its purposes.‍ (fournisseur de services)
Tribunal means the Personal Information and Data Protection Tribunal established under section 4 of the Personal Information and Data Protection Tribunal Act.‍ (Tribunal)
Désignation du ministre
Order designating Minister
3Le gouverneur en conseil peut, par décret, désigner tout membre du Conseil privé de la Reine pour le Canada à titre de ministre chargé de l’application de la présente loi.
3The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Act.
Personnes autorisées
Authorized representatives
4Les droits et recours prévus par la présente loi peuvent être exercés :
a)au nom du mineur ou de l’individu frappé d’une autre incapacité juridique, par la personne autorisée par la loi à gérer les affaires ou les biens de celui-ci;
b)au nom de l’individu décédé, par la personne autorisée par la loi à gérer la succession de cet individu, mais aux seules fins de gérer la succession;
c)au nom de tout autre individu, par la personne ayant reçu à cette fin une autorisation écrite de cet individu.
4The rights and recourses provided under this Act may be exercised
(a)on behalf of a minor or an individual under any other legal incapacity by a person authorized by or under law to administer the affairs or property of that individual;
(b)on behalf of a deceased individual by a person authorized by or under law to administer the estate or succession of that individual, but only for the purpose of that administration; and
(c)on behalf of any other individual by any person authorized in writing to do so by the individual.
Objet et champ d’application
Purpose and Application
Objet
Purpose
5La présente loi a pour objet de fixer, dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels, des règles régissant la protection des renseignements personnels d’une manière qui tient compte du droit à la vie privée des individus quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
5The purpose of this Act is to establish — in an era in which data is constantly flowing across borders and geographical boundaries and significant economic activity relies on the analysis, circulation and exchange of personal information — rules to govern the protection of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.
Champ d’application
Application
6(1)La présente loi s’applique à toute organisation à l’égard des renseignements personnels :
a)soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales;
b)soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.
6(1)This Act applies to every organization in respect of personal information that
(a)the organization collects, uses or discloses in the course of commercial activities; or
(b)is about an employee of, or an applicant for employment with, the organization and that the organization collects, uses or discloses in connection with the operation of a federal work, undertaking or business.
Précision
For greater certainty
(2)Il est entendu que la présente loi s’applique relativement à la collecte, à l’utilisation et à la communication de renseignements personnels, par une organisation, à l’échelle interprovinciale, internationale et, dans la mesure où l’organisation n’est pas exclue de l’application de la présente loi par décret pris en vertu de l’alinéa 119(2)b), intraprovinciale.
(2)For greater certainty, this Act applies in respect of personal information
(a)that is collected, used or disclosed interprovincially or internationally by an organization; or
(b)that is collected, used or disclosed by an organization within a province, to the extent that the organization is not exempt from the application of this Act under an order made under paragraph 119(2)‍(b).
Application
Application
(3)La présente loi s’applique également à toute organisation figurant à la colonne 1 de l’annexe à l’égard des renseignements personnels figurant à la colonne 2.
(3)This Act also applies to an organization set out in column 1 of the schedule in respect of personal information set out in column 2.
Limite
Limit
(4)Elle ne s’applique pas :
a)aux institutions fédérales auxquelles s’applique la Loi sur la protection des renseignements personnels;
b)aux individus à l’égard des renseignements personnels qu’ils recueillent, utilisent ou communiquent uniquement à des fins personnelles ou domestiques;
c)aux organisations à l’égard des renseignements personnels qu’elles recueillent, utilisent ou communiquent uniquement à des fins journalistiques, artistiques ou littéraires;
d)aux organisations à l’égard des renseignements personnels de tout individu qu’elles recueillent, utilisent ou communiquent uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession;
e)aux organisations soustraites à l’application de la présente loi par décret pris en vertu de l’alinéa 119(2)b) à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels à l’intérieur de la province en cause.
(4)This Act does not apply to
(a)any government institution to which the Privacy Act applies;
(b)any individual in respect of personal information that the individual collects, uses or discloses solely for personal or domestic purposes;
(c)any organization in respect of personal information that the organization collects, uses or discloses solely for journalistic, artistic or literary purposes;
(d)any organization in respect of an individual’s personal information that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession; or
(e)any organization that is, under an order made under paragraph 119(2)‍(b), exempt from the application of this Act in respect of the collection, use or disclosure of personal information that occurs within a province in respect of which the order was made.
Autre loi
Other Acts
(5)Les dispositions de la présente loi s’appliquent malgré toute disposition — édictée après le 31 décembre 2000 — d’une autre loi fédérale, sauf dérogation expresse de la disposition de l’autre loi.
(5)Every provision of this Act applies despite any provision, enacted after December 31, 2000, of any other Act of Parliament, unless the other Act expressly declares that that provision operates despite the provision of this Act.
PARTIE 1
PART 1
Obligations des organisations
Obligations of Organizations
Responsabilité des organisations
Accountability of Organizations
Responsabilité à l’égard des renseignements personnels
Accountability — personal information under organization’s control
7(1)Toute organisation est responsable des renseignements personnels qui relèvent d’elle.
7(1)An organization is accountable for personal information that is under its control.
Renseignements personnels qui relèvent de l’organisation
Personal information under control of organization
(2)Les renseignements personnels relèvent de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle.
(2)Personal information is under the control of the organization that decides to collect it and that determines the purposes for its collection, use or disclosure, regardless of whether the information is collected, used or disclosed by the organization itself or by a service provider on behalf of the organization.
Individus désignés
Designated individual
8(1)L’organisation désigne un ou plusieurs individus chargés des questions relatives aux obligations qui lui incombent sous le régime de la présente loi. Les coordonnées d’affaires des individus désignés sont fournies à toute personne par l’organisation sur demande.
8(1)An organization must designate one or more individuals to be responsible for matters related to its obligations under this Act. It must provide the designated individual’s business contact information to any person who requests it.
Effet de la désignation
Effect of designation of individual
(2)La désignation d’un individu en application du paragraphe (1) n’exempte pas l’organisation des obligations qui lui incombent sous le régime de la présente loi.
(2)The designation of an individual under subsection (1) does not relieve the organization of its obligations under this Act.
Programme de gestion de la protection des renseignements personnels
Privacy management program
9(1)L’organisation met en œuvre un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi, notamment des politiques, des pratiques et des procédures relatives :
a)à la protection des renseignements personnels;
b)à la réception des demandes de renseignements et des plaintes et à leur traitement;
c)à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures;
d)à l’élaboration de contenu expliquant les politiques et les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.
9(1)Every organization must implement a privacy management program that includes the organization’s policies, practices and procedures put in place to fulfil its obligations under this Act, including policies, practices and procedures respecting
(a)the protection of personal information;
(b)how requests for information and complaints are received and dealt with;
(c)the training and information provided to the organization’s staff respecting its policies, practices and procedures; and
(d)the development of materials to explain the organization’s policies and procedures put in place to fulfil its obligations under this Act.
Volume et nature des renseignements personnels
Volume and sensitivity
(2)Lorsqu’elle élabore son programme de gestion de protection des renseignements personnels, l’organisation tient compte du volume et de la nature délicate des renseignements personnels qui relèvent d’elle.
(2)In developing its privacy management program, the organization must take into account the volume and sensitivity of the personal information under its control.
Accès aux politiques, pratiques et procédures
Access by Commissioner — policies, practices and procedures
10Sur demande du commissaire, l’organisation lui donne accès aux politiques, pratiques et procédures comprises dans son programme de gestion de la protection des renseignements personnels.
10An organization must, on request of the Commissioner, provide the Commissioner with access to the policies, practices and procedures that are included in its privacy management program.
Protection équivalente
Same protection
11(1)L’organisation qui transfère des renseignements personnels à un fournisseur de services veille, contractuellement ou autrement, à ce que celui-ci offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la présente loi.
11(1)If an organization transfers personal information to a service provider, the organization must ensure, by contract or otherwise, that the service provider provides substantially the same protection of the personal information as that which the organization is required to provide under this Act.
Obligations du fournisseur de services
Service provider obligations
(2)Les obligations prévues à la présente partie, à l’exception de celles prévues aux articles 57 et 61, ne s’appliquent pas au fournisseur de services relativement aux renseignements personnels qui lui sont transférés. Il est toutefois assujetti à l’ensemble de ces obligations s’il les recueille, les utilise ou les communique à toutes autres fins que celles pour lesquelles ils lui ont été transférés.
(2)The obligations under this Part, other than those set out in sections 57 and 61, do not apply to a service provider in respect of personal information that is transferred to it. However, the service provider is subject to all of the obligations under this Part if it collects, uses or discloses that information for any purpose other than the purposes for which the information was transferred.
Fins acceptables
Appropriate Purposes
Fins acceptables
Appropriate purposes
12(1)L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
12(1)An organization may collect, use or disclose personal information only for purposes that a reasonable person would consider appropriate in the circumstances.
Éléments à prendre en compte
Factors to consider
(2)Pour établir le caractère acceptable des fins, il est tenu compte des éléments suivants :
a)la mesure dans laquelle les renseignements personnels sont de nature délicate;
b)le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation;
c)le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation;
d)l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables;
e)la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu.
(2)The following factors must be taken into account in determining whether the purposes referred to in subsection (1) are appropriate:
(a)the sensitivity of the personal information;
(b)whether the purposes represent legitimate business needs of the organization;
(c)the effectiveness of the collection, use or disclosure in meeting the organization’s legitimate business needs;
(d)whether there are less intrusive means of achieving those purposes at a comparable cost and with comparable benefits; and
(e)whether the individual’s loss of privacy is proportionate to the benefits in light of any measures, technical or otherwise, implemented by the organization to mitigate the impacts of the loss of privacy on the individual.
Établissement des fins
Purposes
(3)L’organisation établit et consigne les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués avant la collecte ou au plus tard au moment de celle-ci.
(3)An organization must determine at or before the time of the collection of any personal information each of the purposes for which the information is to be collected, used or disclosed and record those purposes.
Fin nouvelle
New purpose
(4)Si elle établit que les renseignements personnels qu’elle a recueillis seront utilisés ou communiqués à une fin nouvelle, l’organisation consigne la fin avant d’utiliser ou de communiquer les renseignements personnels à cette fin.
(4)If the organization determines that the personal information it has collected is to be used or disclosed for a new purpose, the organization must record that new purpose before using or disclosing that information for the new purpose.
Limite : collecte, utilisation et communication
Limiting Collection, Use and Disclosure
Limite : collecte
Limiting collection
13L’organisation ne peut recueillir que les renseignements personnels qui sont nécessaires aux fins qu’elle a établies et consignées en application du paragraphe 12(3).
13The organization may collect only the personal information that is necessary for the purposes determined and recorded under subsection 12(3).
Fins nouvelles
New purpose
14(1)L’organisation ne peut utiliser ou communiquer des renseignements personnels pour des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), sauf si elle obtient le consentement valide de l’individu concerné avant de le faire.
14(1)An organization must not use or disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3), unless the organization obtains the individual’s valid consent before any use or disclosure for that other purpose.
Utilisation ou communication : autres fins
Use or disclosure — other purposes
(2)Toutefois, l’organisation peut :
a)utiliser des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux articles 18, 20 et 21, aux paragraphes 22(1) et (2) et aux articles 23, 24, 26, 30, 41 et 51;
b)communiquer des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux paragraphes 22(1) et (2), aux articles 23 à 28, 31 à 37 et 39, au paragraphe 40(3) et aux articles 42 et 43 à 51.
(2)Despite subsection (1), an organization may
(a)use personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in sections 18, 20 and 21, subsections 22(1) and (2) and sections 23, 24, 26, 30, 41 and 51; or
(b)disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in subsections 22(1) and (2), sections 23 to 28, 31 to 37 and 39, subsection 40(3) and sections 42 and 43 to 51.
Consentement
Consent
Consentement requis
Consent required
15(1)Sauf disposition contraire de la présente loi, l’organisation qui recueille, utilise ou communique des renseignements personnels doit d’abord obtenir le consentement valide de l’individu concerné.
15(1)Unless this Act provides otherwise, an organization must obtain an individual’s valid consent for the collection, use or disclosure of the individual’s personal information.
Moment du consentement
Timing of consent
(2)Le consentement valide doit être obtenu au plus tard au moment de recueillir les renseignements personnels ou, s’agissant de renseignements qui seront utilisés ou communiqués à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), avant de les utiliser ou de les communiquer à ces autres fins.
(2)The individual’s consent must be obtained at or before the time of the collection of the personal information or, if the information is to be used or disclosed for a purpose other than a purpose determined and recorded under subsection 12(3), before any use or disclosure of the information for that other purpose.
Renseignements pour un consentement valide
Information for consent to be valid
(3)Le consentement n’est valide que si l’organisation fournit d’abord à l’individu concerné, dans un langage clair, les renseignements suivants :
a)les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels, établies par l’organisation et consignées en application des paragraphes 12(3) ou (4);
b)la façon dont les renseignements personnels seront recueillis, utilisés ou communiqués;
c)les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;
d)le type précis de renseignements personnels que l’organisation recueillera, utilisera ou communiquera;
e)le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués.
(3)The individual’s consent is valid only if, at or before the time that the organization seeks the individual’s consent, it provides the individual with the following information in plain language:
(a)the purposes for the collection, use or disclosure of the personal information determined by the organization and recorded under subsection 12(3) or (4);
(b)the way in which the personal information is to be collected, used or disclosed;
(c)any reasonably foreseeable consequences of the collection, use or disclosure of the personal information;
(d)the specific type of personal information that is to be collected, used or disclosed; and
(e)the names of any third parties or types of third parties to which the organization may disclose the personal information.
Forme du consentement
Form of consent
(4)Le consentement doit être obtenu expressément. Toutefois, compte tenu de la nature délicate des renseignements personnels qu’elle a l’intention de recueillir, d’utiliser ou de communiquer et des attentes raisonnables de l’individu concerné, une organisation peut conclure que le consentement implicite de l’individu est approprié.
(4)Consent must be expressly obtained, unless the organization establishes that it is appropriate to rely on an individual’s implied consent, taking into account the reasonable expectations of the individual and the sensitivity of the personal information that is to be collected, used or disclosed.
Consentement : bien ou service
Consent — provision of product or service
(5)L’organisation ne peut, pour le motif qu’elle fournit un bien ou un service, exiger d’un individu qu’il consente à la collecte, à l’utilisation ou à la communication de renseignements personnels qui ne sont pas nécessaires à la fourniture du bien ou du service.
(5)The organization must not, as a condition of the supply of a product or service, require an individual to consent to the collection, use or disclosure of their personal information beyond what is necessary to provide the product or service.
Consentement obtenu par subterfuge
Consent obtained by deception
16Il est interdit à l’organisation d’utiliser des pratiques trompeuses ou mensongères ou de fournir des informations fausses ou trompeuses pour obtenir, ou tenter d’obtenir, un consentement. Tout consentement ainsi obtenu n’est pas valide.
16An organization must not obtain or attempt to obtain an individual’s consent by providing false or misleading information or using deceptive or misleading practices. Any consent obtained under those circumstances is invalid.
Retrait du consentement
Withdrawal of consent
17(1)Sous réserve de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable, l’individu peut à tout moment retirer son consentement, en tout ou en partie. Le cas échéant, il en avise l’organisation suffisamment à l’avance.
17(1)On giving reasonable notice to an organization, an individual may, at any time, subject to this Act, to federal or provincial law or to the reasonable terms of a contract, withdraw their consent in whole or in part.
Cessation de la collecte, de l’utilisation ou de la communication
Collection, use or disclosure to cease
(2)Sur réception de l’avis, l’organisation informe l’individu concerné des conséquences du retrait de son consentement et cesse ensuite, dès que possible, de recueillir, d’utiliser ou de communiquer les renseignements personnels à l’égard desquels le consentement a été retiré.
(2)On receiving the notice from the individual, the organization must inform the individual of the consequences of the withdrawal of their consent and, as soon as feasible after that, cease the collection, use or disclosure of the individual’s personal information in respect of which the consent was withdrawn.
Consentement : exceptions
Exceptions to Requirement for Consent
Activités d’affaires
Business Operations
Activités d’affaires
Business activities
18(1)L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité d’affaires mentionnée au paragraphe (2) et :
a)une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation;
b)les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.
18(1)An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for a business activity described in subsection (2) and
(a)a reasonable person would expect such a collection or use for that activity; and
(b)the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.
Activités visées
List of activities
(2)Sous réserve des règlements, sont des activités d’affaires pour l’application du paragraphe (1) :
a)les activités nécessaires à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation;
b)les activités menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux de l’organisation;
c)les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation;
d)les activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit ou livre;
e)les activités dans le cadre desquelles il est pratiquement impossible pour l’organisation d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui-ci;
f)toute autre activité réglementaire.
(2)Subject to the regulations, the following activities are business activities for the purpose of subsection (1):
(a)an activity that is necessary to provide or deliver a product or service that the individual has requested from the organization;
(b)an activity that is carried out in the exercise of due diligence to prevent or reduce the organization’s commercial risk;
(c)an activity that is necessary for the organization’s information, system or network security;
(d)an activity that is necessary for the safety of a product or service that the organization provides or delivers;
(e)an activity in the course of which obtaining the individual’s consent would be impracticable because the organization does not have a direct relationship with the individual; and
(f)any other prescribed activity.
Transfert à des fournisseurs de services
Transfer to service provider
19L’organisation peut transférer à des fournisseurs de services les renseignements personnels d’un individu à son insu ou sans son consentement.
19An organization may transfer an individual’s personal information to a service provider without their knowledge or consent.
Renseignements dépersonnalisés
De-identification of personal information
20L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, afin de les dépersonnaliser.
20An organization may use an individual’s personal information without their knowledge or consent to de-identify the information.
Recherche et développement
Research and development
21L’organisation peut utiliser les renseignements personnels d’un individu à son insu ou sans son consentement à des fins de recherche et de développement internes, s’ils sont dépersonnalisés avant leur utilisation.
21An organization may use an individual’s personal information without their knowledge or consent for the organization’s internal research and development purposes, if the information is de-identified before it is used.
Transaction commerciale éventuelle
Prospective business transaction
22(1)Les organisations qui seront parties à une éventuelle transaction commerciale peuvent utiliser et communiquer les renseignements personnels d’un individu à son insu ou sans son consentement, si, à la fois :
a)les renseignements personnels sont dépersonnalisés avant l’utilisation ou la communication, selon le cas, et le demeurent jusqu’à ce que la transaction soit effectuée;
b)les organisations ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :
(i)à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,
(ii)à les protéger au moyen de mesures de sécurité correspondant à la mesure dans laquelle ils sont de nature délicate,
(iii)si la transaction n’aura pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à procéder à leur retrait, dans un délai raisonnable;
c)les organisations se conforment à l’accord;
d)les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.
22(1)Organizations that are parties to a prospective business transaction may use and disclose an individual’s personal information without their knowledge or consent if
(a)the information is de-identified before it is used or disclosed and remains so until the transaction is completed;
(b)the organizations have entered into an agreement that requires the organization that receives the information
(i)to use and disclose that information solely for purposes related to the transaction,
(ii)to protect the information by security safeguards appropriate to the sensitivity of the information, and
(iii)if the transaction does not proceed, to return the information to the organization that disclosed it, or dispose of it, within a reasonable time;
(c)the organizations comply with the terms of that agreement; and
(d)the information is necessary
(i)to determine whether to proceed with the transaction, and
(ii)if the determination is made to proceed with the transaction, to complete it.
Transaction commerciale effectuée
Completed business transaction
(2)Si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels mentionnés au paragraphe (1), à l’insu d’un individu ou sans son consentement si, à la fois :
a)elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :
(i)à n’utiliser et ne communiquer les renseignements personnels qui relèvent d’elle qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,
(ii)à les protéger au moyen de mesures de sécurité correspondant à la mesure dans laquelle ils sont de nature délicate,
(iii)à donner effet à tout retrait de consentement fait en conformité avec le paragraphe 17(1);
b)elles se conforment à l’accord;
c)les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;
d)dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’individu du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).
(2)If the business transaction is completed, the organizations that are parties to the transaction may use and disclose the personal information referred to in subsection (1) without the individual’s knowledge or consent if
(a)the organizations have entered into an agreement that requires each of them
(i)to use and disclose the information under its control solely for the purposes for which the information was collected or permitted to be used or disclosed before the transaction was completed,
(ii)to protect that information by security safeguards appropriate to the sensitivity of the information, and
(iii)to give effect to any withdrawal of consent made under subsection 17(1);
(b)the organizations comply with the terms of that agreement;
(c)the information is necessary for carrying on the business or activity that was the object of the transaction; and
(d)one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their information has been disclosed under subsection (1).
Exception
Exception
(3)Les paragraphes (1) et (2) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.
(3)Subsections (1) and (2) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.
Renseignement produit par l’individu
Information produced in employment, business or profession
23L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit d’un renseignement qui est produit par l’individu dans le cadre de son emploi, de son entreprise ou de sa profession et dont la collecte, l’utilisation ou la communication est compatible avec les fins auxquelles il a été produit.
23An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if it was produced by the individual in the course of their employment, business or profession and the collection, use or disclosure is consistent with the purposes for which the information was produced.
Relation d’emploi : entreprise fédérale
Employment relationship — federal work, undertaking or business
24Dans le cadre d’une entreprise fédérale, l’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu sans son consentement, si, à la fois :
a)la collecte, l’utilisation ou la communication est nécessaire pour établir ou gérer la relation d’emploi entre l’individu et l’organisation, ou pour y mettre fin;
b)l’organisation a informé l’individu que ses renseignements personnels seraient ou pourraient être recueillis, utilisés ou communiqués à ces fins.
24An organization that operates a federal, work or business may collect, use or disclose an individual’s personal information without their consent if
(a)the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the organization and the individual in connection with the operation of a federal work, undertaking or business; and
(b)the organization has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.
Communication à un avocat ou un notaire
Disclosure to lawyer or notary
25L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’avocat — ou, au Québec, à l’avocat ou au notaire — qui la représente.
25An organization may disclose an individual’s personal information without their knowledge or consent to a lawyer or, in Quebec, a lawyer or notary, who is representing the organization.
Déclaration d’un témoin
Witness statement
26L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils sont contenus dans la déclaration d’un témoin et que la collecte, l’utilisation ou la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement.
26An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the information is contained in a witness statement and the collection, use or disclosure is necessary to assess, process or settle an insurance claim.
Prévention, détection et suppression de la fraude
Prevention, detection or suppression of fraud
27(1)L’organisation peut, si la communication est raisonnable, communiquer à une autre organisation les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.
27(1)An organization may disclose an individual’s personal information to another organization without the individual’s knowledge or consent if the disclosure is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the individual’s knowledge or consent would compromise the ability to prevent, detect or suppress the fraud.
Collecte
Collection
(2)L’organisation peut recueillir les renseignements personnels qui lui sont communiqués au titre du paragraphe (1) à l’insu ou sans le consentement de l’individu.
(2)An organization may collect an individual’s personal information without their knowledge or consent if the information was disclosed to it under subsection (1).
Recouvrement de créances
Debt collection
28L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue du recouvrement d’une créance qu’elle a contre lui.
28An organization may disclose an individual’s personal information without their knowledge or consent for the purpose of collecting a debt owed by the individual to the organization.
Intérêt public
Public Interest
Intérêt de l’individu
Individual’s interest
29(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte des renseignements est manifestement dans l’intérêt de l’individu et le consentement ne peut être obtenu auprès de celui-ci en temps opportun.
29(1)An organization may collect an individual’s personal information without their knowledge or consent if the collection is clearly in the interests of the individual and consent cannot be obtained in a timely way.
Utilisation
Use
(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).
(2)An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).
Situation d’urgence : utilisation
Emergency — use
30L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, pour répondre à une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu.
30An organization may use an individual’s personal information without their knowledge or consent for the purpose of acting in respect of an emergency that threatens the life, health or security of any individual.
Situation d’urgence : communication
Emergency — disclosure
31L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à toute personne qui en a besoin en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu. Dans le cas où l’individu que les renseignements concernent est vivant, l’organisation l’en informe par écrit et sans délai.
31An organization may disclose an individual’s personal information without their knowledge or consent to a person who needs the information because of an emergency that threatens the life, health or security of any individual. If the individual whom the information is about is alive, the organization must inform that individual in writing without delay of the disclosure.
Identification d’un individu
Identification of individual
32L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est nécessaire aux fins d’identification de l’individu qui est blessé, malade ou décédé et qu’elle est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé. Dans le cas où l’individu est vivant, l’organisation l’en informe par écrit et sans délai.
32An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is necessary to identify the individual who is injured, ill or deceased and is made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative. If the individual is alive, the organization must inform them in writing without delay of the disclosure.
Communication : proche parent ou représentant autorisé
Communication with next of kin or authorized representative
33L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est faite afin d’entrer en contact avec un proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé.
33An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual.
Exploitation financière
Financial abuse
34L’organisation peut communiquer, de sa propre initiative, les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé, si les conditions suivantes sont remplies :
a)l’organisation a des motifs raisonnables de croire que l’individu a été, est ou pourrait être victime d’exploitation financière;
b)la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête sur celle-ci;
c)il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.
34An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution, a part of a government institution or the individual’s next of kin or authorized representative if
(a)the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse;
(b)the disclosure is made solely for purposes related to preventing or investigating the abuse; and
(c)it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse.
Statistiques, études ou recherches
Statistical or scholarly study or research
35L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :
a)la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites et ces fins ne peuvent être réalisées sans que les renseignements ne soient communiqués;
b)le consentement est pratiquement impossible à obtenir;
c)l’organisation informe le commissaire de la communication avant de la faire.
35An organization may disclose an individual’s personal information without their knowledge or consent if
(a)the disclosure is made for statistical purposes or for scholarly study or research purposes and those purposes cannot be achieved without disclosing the information;
(b)it is impracticable to obtain consent; and
(c)the organization informs the Commissioner of the disclosure before the information is disclosed.
Importance historique ou archivistique
Records of historic or archival importance
36L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution dont les attributions comprennent la conservation de documents ayant une importance historique ou archivistique en vue d’une telle conservation.
36An organization may disclose an individual’s personal information without their knowledge or consent to an institution whose functions include the conservation of records of historic or archival importance, if the disclosure is made for the purpose of such conservation.
Communication après une période de temps
Disclosure after period of time
37L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, cent ans après la constitution du document les contenant ou vingt ans après le décès de l’individu, selon celle de ces périodes qui se termine la première.
37An organization may disclose an individual’s personal information without their knowledge or consent after the earlier of
(a)100 years after the record containing the information was created, and
(b)20 years after the death of the individual.
Fins journalistiques, artistiques ou littéraires
Journalistic, artistic or literary purposes
38L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires.
38An organization may collect an individual’s personal information without their knowledge or consent if the collection is solely for journalistic, artistic or literary purposes.
Fins socialement bénéfiques
Socially beneficial purposes
39(1)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, aux conditions suivantes :
a)les renseignements personnels sont dépersonnalisés avant la communication;
b)la communication est faite :
(i)à une institution gouvernementale au Canada ou à une subdivision d’une telle institution,
(ii)à un établissement de soins de santé, à un établissement d’enseignement postsecondaire ou à une bibliothèque publique situés au Canada,
(iii)à une organisation mandatée, en vertu d’une loi fédérale ou provinciale ou d’un contrat avec une institution gouvernementale au Canada — ou avec une subdivision d’une telle institution —, pour réaliser une fin socialement bénéfique,
(iv)à toute autre entité réglementaire;
c)la communication est faite pour une fin socialement bénéfique.
39(1)An organization may disclose an individual’s personal information without their knowledge or consent if
(a)the personal information is de-identified before the disclosure is made;
(b)the disclosure is made to
(i)a government institution or part of a government institution in Canada,
(ii)a health care institution, post-secondary educational institution or public library in Canada,
(iii)any organization that is mandated, under a federal or provincial law or by contract with a government institution or part of a government institution in Canada, to carry out a socially beneficial purpose, or
(iv)any other prescribed entity; and
(c)the disclosure is made for a socially beneficial purpose.
Définition de fin socialement bénéfique
Definition of socially beneficial purpose
(2)Pour l’application du présent article, fin socialement bénéfique s’entend de toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire.
(2)For the purpose of this section, socially beneficial purpose means a purpose related to health, the provision or improvement of public amenities or infrastructure, the protection of the environment or any other prescribed purpose.
Enquêtes
Investigations
Violation d’un accord ou contravention au droit
Breach of agreement or contravention
40(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’individu compromette l’exactitude des renseignements ou l’accès à ceux-ci, et si la collecte est raisonnable et faite à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial.
40(1)An organization may collect an individual’s personal information without their knowledge or consent if it is reasonable to expect that the collection with their knowledge or consent would compromise the availability or the accuracy of the information and the collection is reasonable for purposes related to investigating a breach of an agreement or a contravention of federal or provincial law.
Utilisation
Use
(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).
(2)An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).
Communication
Disclosure
(3)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette l’enquête.
(3)An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of federal or provincial law that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation.
Utilisation à des fins d’enquête
Use for investigations
41L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, si, dans le cadre de ses activités, elle découvre l’existence de renseignements dont elle a des motifs raisonnables de croire qu’ils pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être et si l’utilisation est faite en vue d’enquêter sur cette contravention.
41An organization may use an individual’s personal information without their knowledge or consent if, in the course of its activities, the organization becomes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed and the information is used for the purpose of investigating that contravention.
Atteinte aux mesures de sécurité
Breach of security safeguards
42L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement si :
a)d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe 59(1);
b)d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’individu qui pourrait résulter de l’atteinte ou atténuer ce préjudice.
42An organization may disclose an individual’s personal information without their knowledge or consent if
(a)the disclosure is made to the other organization, government institution or part of a government institution that was notified of a breach under subsection 59(1); and
(b)the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.
Communication à une institution gouvernementale
Disclosures to Government Institutions
Application du droit
Administering law
43L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée pour l’application du droit fédéral ou provincial.
43An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of administering federal or provincial law.
Contrôle d’application : demande de l’institution gouvernementale
Law enforcement — request of government institution
44L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée aux fins du contrôle d’application du droit fédéral, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.
44An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of enforcing federal or provincial law or law of a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering intelligence for the purpose of enforcing any such law.
Contravention au droit : sur initiative de l’organisation
Contravention of law — initiative of organization
45L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution si l’organisation a des motifs raisonnables de croire que les renseignements concernent une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être.
45An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization has reasonable grounds to believe that the information relates to a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed.
Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Proceeds of Crime (Money Laundering) and Terrorist Financing Act
46L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article.
46An organization may disclose an individual’s personal information without their knowledge or consent to the government institution referred to in section 7 of the Proceeds of Crime (Money Laundering) and Terrorist Financing Act as required by that section.
Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale
Request by government institution — national security, defence or international affairs
47(1)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait qu’elle soupçonne qu’ils concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.
47(1)An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that it suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.
Collecte
Collection
(2)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).
(2)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).
Utilisation
Use
(3)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).
(3)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).
Sécurité nationale, défense et affaires internationales : initiative de l’organisation
Initiative of organization — national security, defence or international affairs
48(1)L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou une subdivision d’une telle institution si elle soupçonne que les renseignements concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.
48(1)An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.
Collecte
Collection
(2)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).
(2)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).
Utilisation
Use
(3)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).
(3)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).
Exigence de la loi
Required by Law
Collecte en vue d’une communication exigée par la loi
Required by law — collection
49(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite en vue d’une communication exigée par la loi.
49(1)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure that is required by law.
Utilisation
Use
(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).
(2)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (1).
Communication
Disclosure
(3)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par la loi.
(3)An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required by law.
Assignation, mandat ou ordonnance
Subpoena, warrant or order
50L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou par des règles de procédure se rapportant à la production de documents.
50An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required to comply with a subpoena or warrant issued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of procedure relating to the production of records.
Renseignements publics
Publicly Available Information
Renseignements réglementaires
Information specified by regulations
51L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit de renseignements personnels précisés par les règlements, auxquels le public a accès.
51An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the personal information is publicly available and is specified by the regulations.
Non-application de certaines exceptions : adresse électronique et programme d’ordinateur
Non-application of Certain Exceptions — Electronic Addresses and Computer Systems
Définitions
Definitions
52(1)Les définitions qui suivent s’appliquent au présent article.
adresse électronique Toute adresse utilisée relativement à l’un des comptes suivants :
a)un compte courriel;
b)un compte de messagerie instantanée;
c)tout autre compte similaire.‍ (electronic address)
ordinateur S’entend au sens du paragraphe 342.‍1(2) du Code criminel.‍ (computer system)
programme d’ordinateur S’entend au sens du paragraphe 342.‍1(2) du Code criminel.‍ (computer program)
utiliser S’agissant d’un ordinateur ou d’un réseau informatique, le programmer, lui faire exécuter un programme, communiquer avec lui, y mettre en mémoire, ou en extraire, des données ou utiliser ses ressources de toute autre façon, notamment ses données et ses programmes.‍ (access)
52(1)The following definitions apply in this section.
access means to program, execute programs on, communicate with, store data in, retrieve data from or otherwise make use of any resources, including data or programs of a computer system or a computer network.‍ (utiliser)
computer program has the same meaning as in subsection 342.‍1(2) of the Criminal Code.‍ (programme d’ordinateur)
computer system has the same meaning as in subsection 342.‍1(2) of the Criminal Code.‍ (ordinateur)
electronic address means an address used in connection with
(a)an electronic mail account;
(b)an instant messaging account; or
(c)any similar account.‍ (adresse électronique)
Collecte et utilisation d’adresses électroniques
Collection and use of electronic addresses
(2)L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1) ou des articles 30, 38, 41 ou 51 si elle recueille l’adresse électronique d’un individu, à son insu ou sans son consentement, à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir, ou si elle utilise une adresse électronique ainsi recueillie.
(2)An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1) and sections 30, 38, 41 and 51 to
(a)collect an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, electronic addresses; or
(b)use an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program described in paragraph (a).
Collecte et utilisation de renseignements personnels
Accessing computer system to collect personal information, etc.
(3)L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1), des articles 30 ou 38, du paragraphe 40(1) ou des articles 41 ou 51 si elle recueille, par tout moyen de télécommunication, les renseignements personnels d’un individu, à son insu ou sans son consentement en utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale, ou si elle utilise des renseignements personnels ainsi recueillis.
(3)An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1), sections 30 and 38, subsection 40(1) and sections 41 and 51 to
(a)collect an individual’s personal information without their knowledge or consent, through any means of telecommunication, if the information is collected by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or
(b)use an individual’s personal information without their knowledge or consent, if the information is collected in a manner described in paragraph (a).
Consentement implicite
Express consent
(4)Malgré le paragraphe 15(4), l’organisation ne peut conclure que l’individu a implicitement consenti à la collecte ou à l’utilisation mentionnée aux paragraphes (2) ou (3).
(4)Despite subsection 15(4), an organization is not to rely on an individual’s implied consent in respect of any collection of personal information described in paragraph (2)‍(a) or (3)‍(a) or any use of personal information described in paragraph (2)‍(b) or (3)‍(b).
Conservation et retrait des renseignements personnels
Retention and Disposal of Personal Information
Durée de conservation et retrait
Period for retention and disposal
53L’organisation ne conserve des renseignements personnels que le temps nécessaire :
a)pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués;
b)pour respecter les exigences de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable.
L’organisation procède ensuite, dès que possible, à leur retrait.
53An organization must not retain personal information for a period longer than necessary to
(a)fulfil the purposes for which the information was collected, used or disclosed; or
(b)comply with the requirements of this Act, of federal or provincial law or of the reasonable terms of a contract.
The organization must dispose of the information as soon as feasible after that period.
Renseignements personnels utilisés pour prendre une décision
Personal information used for decision-making
54L’organisation qui utilise des renseignements personnels pour prendre une décision concernant un individu conserve ces renseignements suffisamment longtemps pour permettre à l’individu de présenter une demande au titre de l’article 63.
54An organization that uses personal information to make a decision about an individual must retain the information for a sufficient period of time to permit the individual to make a request for access under section 63.
Retrait à la demande de l’individu
Disposal at individual’s request
55(1)L’organisation qui reçoit d’un individu une demande écrite visant à ce qu’elle procède au retrait des renseignements personnels qu’elle a recueillis auprès de lui, procède, dès que possible, à leur retrait si, à la fois :
a)le retrait n’entraîne pas le retrait des renseignements personnels d’un autre individu dont ce renseignement ne peut être retranché;
b)aucune exigence de la présente loi ou du droit fédéral ou provincial ni aucune restriction contractuelle raisonnable ne l’en empêche.
55(1)If an organization receives a written request from an individual to dispose of personal information that it has collected from the individual, the organization must, as soon as feasible, dispose of the information, unless
(a)disposing of the information would result in the disposal of personal information about another individual and the information is not severable; or
(b)there are other requirements of this Act, of federal or provincial law or of the reasonable terms of a contract that prevent it from doing so.
Refus motivé
Reasons
(2)L’organisation qui refuse la demande notifie par écrit son refus motivé à l’individu et informe celui-ci des recours prévus à l’article 73 et au paragraphe 82(1).
(2)An organization that refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).
Retrait des renseignements personnels transférés
Disposal of transferred personal information
(3)L’organisation qui procède au retrait des renseignements personnels d’un individu informe, dès que possible, de la demande de retrait tout fournisseur de services à qui elle a transféré les renseignements et confirme avec celui-ci qu’il a procédé à leur retrait.
(3)If an organization disposes of personal information, it must, as soon as feasible, inform any service provider to which it has transferred the information of the individual’s request and obtain a confirmation from the service provider that the information has been disposed of.
Exactitude des renseignements personnels
Accuracy of Personal Information
Exactitude des renseignements
Accuracy of information
56(1)L’organisation prend toutes les mesures raisonnables pour que les renseignements personnels qui relèvent d’elle soient aussi à jour, exacts et complets que l’exige la réalisation des fins auxquelles ils ont été recueillis, utilisés ou communiqués.
56(1)An organization must take reasonable steps to ensure that personal information under its control is as accurate, up-to-date and complete as is necessary to fulfil the purposes for which the information is collected, used or disclosed.
Critères
Extent of accuracy
(2)L’organisation détermine la mesure dans laquelle les renseignements personnels doivent être à jour, exacts et complets en tenant compte des intérêts de l’individu concerné et notamment :
a)de la possibilité que les renseignements servent à prendre une décision concernant l’individu;
b)du fait que les renseignements servent sur une base régulière;
c)du fait que les renseignements sont communiqués à des tiers.
(2)In determining the extent to which personal information must be accurate, complete and up-to-date, the organization must take into account the individual’s interests, including
(a)whether the information may be used to make a decision about the individual;
(b)whether the information is used on an ongoing basis; and
(c)whether the information is disclosed to third parties.
Mise à jour systématique
Routine updating
(3)Sauf si cela est nécessaire à la réalisation des fins auxquelles ils sont recueillis, utilisés ou communiqués, l’organisation ne met pas systématiquement à jour les renseignements personnels.
(3)An organization is not to routinely update personal information unless it is necessary to fulfil the purposes for which the information is collected, used or disclosed.
Mesures de sécurité
Security Safeguards
Mesures de sécurité
Security safeguards
57(1)L’organisation protège les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques. Le degré de protection des renseignements personnels est proportionnel à la mesure dans laquelle les renseignements sont de nature délicate.
57(1)An organization must protect personal information through physical, organizational and technological security safeguards. The level of protection provided by those safeguards must be proportionate to the sensitivity of the information.
Éléments à prendre en compte
Factors to consider
(2)Les mesures de sécurité établies par l’organisation tiennent également compte de la quantité, de la répartition, du format et de la méthode de stockage des renseignements.
(2)In addition to the sensitivity of the information, the organization must, in establishing its security safeguards, take into account the quantity, distribution, format and method of storage of the information.
Portée des mesures de sécurité
Scope of security safeguards
(3)Les mesures de sécurité protègent les renseignements personnels contre, notamment, la perte ou le vol ainsi que l’accès, la communication, la copie, l’utilisation ou la modification non autorisés.
(3)The security safeguards must protect personal information against, among other things, loss, theft and unauthorized access, disclosure, copying, use and modification.
Déclaration au commissaire
Report to Commissioner
58(1)L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elle s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
58(1)An organization must report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.
Modalités de la déclaration
Report requirements
(2)La déclaration contient les renseignements réglementaires et est faite, selon les modalités réglementaires, dès que possible après que l’organisation a conclu qu’il y a eu atteinte.
(2)The report must contain the prescribed information and must be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.
Avis à l’individu
Notification to individual
(3)À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’individu de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant qui relèvent d’elle s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit de l’individu.
(3)Unless otherwise prohibited by law, an organization must notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.
Contenu de l’avis
Contents of notification
(4)L’avis contient suffisamment d’information pour permettre à l’individu de comprendre l’importance, pour lui, de l’atteinte et de prendre, si possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer ce préjudice. Il contient aussi tout autre renseignement réglementaire.
(4)The notification must contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It must also contain any other prescribed information.
Modalités de l’avis
Form and manner
(5)L’avis est manifeste et donné à l’individu directement, selon les modalités réglementaires. Dans les circonstances réglementaires, il est donné indirectement, selon les modalités réglementaires.
(5)The notification must be conspicuous and must be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it must be given indirectly in the prescribed form and manner.
Délai de l’avis
Time to give notification
(6)L’avis est donné dès que possible après que l’organisation a conclu qu’il y a eu atteinte.
(6)The notification must be given as soon as feasible after the organization determines that the breach has occurred.
Définition de préjudice grave
Definition of significant harm
(7)Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
(7)For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation or relationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.
Risque réel de préjudice grave : éléments
Real risk of significant harm — factors
(8)Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’individu sont notamment la mesure dans laquelle les renseignements personnels en cause sont de nature délicate, la probabilité que les renseignements aient été ou seront mal utilisés ou soient en train de l’être et tout autre élément réglementaire.
(8)The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include
(a)the sensitivity of the personal information involved in the breach;
(b)the probability that the personal information has been, is being or will be misused; and
(c)any other prescribed factor.
Avis à une organisation
Notification to organizations
59(1)L’organisation qui, en application du paragraphe 58(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser également toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à une ou plusieurs conditions réglementaires.
59(1)An organization that notifies an individual of a breach of security safeguards under subsection 58(3) must notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.
Délai
Time to give notification
(2)L’organisation donne l’avis dès que possible après avoir conclu qu’il y a eu atteinte.
(2)The notification must be given as soon as feasible after the organization determines that the breach has occurred.
Registre
Records
60(1)L’organisation tient et conserve, conformément aux exigences réglementaires, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels qui relèvent d’elle.
60(1)An organization must, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.
Accès au registre : commissaire
Provision to Commissioner
(2)Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.
(2)An organization must, on request, provide the Commissioner with access to, or a copy of, the record.
Fournisseur de services
Service providers
61Le fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels avise dès que possible l’organisation de laquelle ils relèvent.
61If a service provider determines that any breach of security safeguards has occurred that involves personal information, it must as soon as feasible notify the organization that controls the personal information.
Ouverture et transparence
Openness and Transparency
Politiques et pratiques
Policies and practices
62(1)L’organisation rend facilement accessible, dans un langage clair, des renseignements sur les politiques et les pratiques qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.
62(1)An organization must make readily available, in plain language, information that explains the organization’s policies and practices put in place to fulfil its obligations under this Act.
Autres renseignements
Additional information
(2)À cet égard, l’organisation rend accessible les renseignements suivants :
a)la description du type de renseignements personnels qui relèvent d’elle;
b)une explication générale de l’usage auquel les renseignements personnels sont destinés, y compris la façon dont l’organisation applique les exceptions à l’obligation d’obtenir le consentement d’un individu prévues à la présente loi;
c)une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés;
d)le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;
e)la manière de présenter, au titre de l’article 55, une demande de retrait de renseignements personnels ou, au titre de l’article 63, une demande d’accès aux renseignements personnels;
f)les coordonnées d’affaires de l’individu à qui les demandes de renseignements et les plaintes peuvent être acheminées.
(2)In fulfilling its obligation under subsection (1), an organization must make the following information available:
(a)a description of the type of personal information under the organization’s control;
(b)a general account of how the organization makes use of personal information, including how the organization applies the exceptions to the requirement to obtain consent under this Act;
(c)a general account of the organization’s use of any automated decision system to make predictions, recommendations or decisions about individuals that could have significant impacts on them;
(d)whether or not the organization carries out any international or interprovincial transfer or disclosure of personal information that may have reasonably foreseeable privacy implications;
(e)how an individual may make a request for disposal under section 55 or access under section 63; and
(f)the business contact information of the individual to whom complaints or requests for information may be made.
Accès et rectification
Access to and Amendment of Personal Information
Information et accès
Information and access
63(1)Sur demande de l’individu, l’organisation lui indique si elle détient des renseignements personnels qui le concernent, quel est l’usage qu’elle en fait et si elle les a communiqués. Elle met à sa disposition ces renseignements personnels.
63(1)On request by an individual, an organization must inform them of whether it has any personal information about them, how it uses the information and whether it has disclosed the information. It must also give the individual access to the information.
Nom des tiers ou catégories de tiers
Names or types of third parties
(2)Si l’organisation a communiqué les renseignements, elle fournit à l’individu le nom des tiers ou les catégories de tiers auxquels ils ont été communiqués, et ce, même lorsqu’elle les a communiqués sans son consentement.
(2)If the organization has disclosed the information, the organization must also provide to the individual the names of the third parties or types of third parties to which the disclosure was made, including in cases where the disclosure was made without the consent of the individual.
Système décisionnel automatisé
Automated decision system
(3)Si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant l’individu, elle lui fournit, à sa demande, une explication de la prédiction, de la recommandation ou de la décision et lui indique la provenance des renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision.
(3)If the organization has used an automated decision system to make a prediction, recommendation or decision about the individual, the organization must, on request by the individual, provide them with an explanation of the prediction, recommendation or decision and of how the personal information that was used to make the prediction, recommendation or decision was obtained.
Demande par écrit
Request in writing
64(1)La demande mentionnée à l’article 63 est présentée par écrit.
64(1)A request under section 63 must be made in writing.
Aide à fournir
Assistance
(2)Sur requête de l’individu, l’organisation lui fournit l’aide dont il a besoin pour préparer sa demande.
(2)An organization must assist any individual who informs the organization that they need assistance in preparing a request to the organization.
Renseignements nécessaires
Information to be provided
65L’organisation peut exiger de l’individu qu’il lui fournisse suffisamment de renseignements pour satisfaire à ses obligations prévues à l’article 63.
65An organization may require the individual to provide it with sufficient information to allow the organization to fulfil its obligations under section 63.
Langage clair
Plain language
66(1)L’organisation fournit l’information mentionnée à l’article 63 dans un langage clair.
66(1)The information referred to in section 63 must be provided to the individual in plain language.
Déficience sensorielle
Sensory disability
(2)Pour l’application de l’article 63, l’organisation met à la disposition de l’individu ayant une déficience sensorielle qui en fait la demande les renseignements personnels le concernant sur support de substitution dans l’un ou l’autre des cas suivants :
a)une version des renseignements visés existe déjà sur un tel support;
b)leur transfert sur un tel support est raisonnable et nécessaire pour que l’individu puisse exercer les droits qui lui sont conférés sous le régime de la présente loi.
(2)For the purpose of section 63, an organization must give access to personal information in an alternative format to an individual with a sensory disability who requests that it be transmitted in that format if
(a)a version of the information already exists in that format; or
(b)its conversion into that format is reasonable and necessary in order for the individual to be able to exercise rights under this Act.
Renseignements médicaux de nature délicate
Sensitive medical information
(3)Dans le cas de renseignements médicaux de nature délicate, l’organisation peut mettre ces renseignements à la disposition du demandeur par l’intermédiaire d’un médecin.
(3)An organization may choose to give an individual access to sensitive medical information through a medical practitioner.
Délai de réponse
Time limit
67(1)L’organisation saisie de la demande mentionnée à l’article 63 doit y donner suite avec la diligence voulue et, au plus tard, dans les trente jours suivant sa réception.
67(1)An organization must respond to a request made under section 63 with due diligence and in any case no later than 30 days after the day on which the request was received.
Prorogation du délai
Extension of time limit
(2)Elle peut toutefois proroger le délai :
a)d’une période maximale de trente jours lorsque :
(i)ou bien l’observation du délai entraverait déraisonnablement l’activité de l’organisation,
(ii)ou bien toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai;
b)de la période nécessaire au transfert des renseignements personnels visés sur support de substitution.
Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la réception de la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.
(2)An organization may extend the time limit
(a)for a maximum of 30 days if
(i)meeting the time limit would unreasonably interfere with the activities of the organization, or
(ii)the time required to undertake any consultations necessary to respond to the request would make the time limit impracticable to meet; or
(b)for the period that is necessary in order to be able to convert the personal information into an alternative format.
In either case, the organization must, no later than 30 days after the day on which the request was received, send a notice of extension to the individual, advising them of the new time limit, the reasons for extending the time limit and their right to make a complaint to the Commissioner in respect of the extension.
Refus motivé
Reasons
(3)L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours prévus à l’article 73 et au paragraphe 82(1).
(3)An organization that responds within the time limit and refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).
Présomption
Deemed refusal
(4)Faute de répondre dans le délai prévu, l’organisation est réputée avoir refusé d’acquiescer à la demande.
(4)If the organization fails to respond within the time limit, the organization is deemed to have refused the request.
Coût
Costs for responding
68L’organisation peut exiger des droits pour répondre à la demande mentionnée à l’article 63 si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci, celui-ci l’avise qu’il ne retire pas sa demande et les droits exigés sont minimes.
68An organization must not respond to the individual’s request made under section 63 at a cost unless
(a)the organization has informed the individual of the approximate cost;
(b)the cost to the individual is minimal; and
(c)the individual has advised the organization that the request is not being withdrawn.
Conservation des renseignements
Retention of information
69L’organisation qui détient des renseignements personnels visés par une demande mentionnée à l’article 63 les conserve le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente loi.
69An organization that has personal information that is the subject of a request made under section 63 must retain the information for as long as is necessary to allow the individual to exhaust any recourse that they may have under this Act.
Cas où la communication est interdite
When access prohibited
70(1)Malgré l’article 63, l’organisation ne peut mettre à la disposition du demandeur des renseignements personnels qui révéleraient vraisemblablement des renseignements personnels sur un autre individu. Toutefois, si ces derniers renseignements peuvent être retranchés, l’organisation est tenue de les retrancher puis de mettre à la disposition du demandeur les renseignements le concernant.
70(1)Despite section 63, an organization must not give an individual access to personal information under that section if doing so would likely reveal personal information about another individual. However, if the information about the other individual is severable from the information about the requester, the organization must sever the information about the other individual before giving the requester access.
Non-application
Limit
(2)Le paragraphe (1) ne s’applique pas si l’autre individu consent à ce que ses renseignements personnels soient mis à la disposition du demandeur ou si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.
(2)Subsection (1) does not apply if the other individual consents to the access or the requester needs the information because an individual’s life, health or security is threatened.
Renseignements relatifs à certaines exceptions à l’obligation d’obtenir le consentement
Information related to certain exceptions to consent
(3)L’organisation est tenue de se conformer au paragraphe (4) si le demandeur lui demande :
a)de l’aviser, selon le cas :
(i)de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50,
(ii)de l’existence de renseignements détenus par l’organisation relatifs soit à toute communication visée au sous-alinéa (i), soit à une assignation, à un mandat ou à une ordonnance visé à l’article 50, soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de l’article 44 ou du paragraphe 47(1);
b)de mettre à sa disposition les renseignements visés au sous-alinéa a)‍(ii).
(3)An organization must comply with subsection (4) if an individual requests that the organization
(a)inform the individual about
(i)any disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50, or
(ii)the existence of any information that the organization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in section 50 or to a request made by a government institution or a part of a government institution under section 44 or subsection 47(1); or
(b)give the individual access to the information referred to in subparagraph (a)‍(ii).
Notification et réponse
Notification and response
(4)Le cas échéant, l’organisation :
a)notifie par écrit et sans délai la demande à l’institution gouvernementale concernée ou à la subdivision d’une telle institution;
b)ne peut donner suite à la demande avant la date de réception de l’avis prévu au paragraphe (5) ou, s’il est antérieur, le trentième jour suivant celle à laquelle l’institution ou la subdivision reçoit la notification.
(4)An organization to which subsection (3) applies
(a)must, in writing and without delay, notify the institution or part concerned of the request made by the individual; and
(b)must not respond to the request before the earlier of
(i)the day on which it is notified under subsection (5), and
(ii)30 days after the day on which the institution or part is notified.
Opposition
Objection
(5)Dans les trente jours suivant la date à laquelle la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire :
a)à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
b)à la détection, à la prévention ou à la dissuasion à l’égard du recyclage des produits de la criminalité ou du financement des activités terroristes;
c)au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.
(5)Within 30 days after the day on which it is notified under subsection (4), the institution or part must notify the organization of whether the institution or part objects to the organization complying with the request. The institution or part may object only if the institution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to
(a)national security, the defence of Canada or the conduct of international affairs;
(b)the detection, prevention or deterrence of money laundering or the financing of terrorist activities; or
(c)the enforcement of federal or provincial law or law of a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law.
Refus d’acquiescer à la demande
Prohibition
(6)Malgré l’article 63, si elle est informée que l’institution ou la subdivision s’oppose à ce qu’elle acquiesce à la demande, l’organisation :
a)refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (3)a) ou se rapporte à des renseignements visés au sous-alinéa (3)a)‍(ii);
b)avise par écrit et sans délai le commissaire du refus;
c)ne met pas à la disposition du demandeur les renseignements qu’elle détient et qui se rapportent à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50 ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de cet article 44 ou de ce paragraphe 47(1);
d)ne fournit pas au demandeur le nom de l’institution gouvernementale ou de la subdivision d’une telle institution — ou la catégorie d’institution gouvernementale ou de subdivision d’une telle institution — à laquelle les renseignements ont été communiqués;
e)ne communique pas au demandeur le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision d’une telle institution en application de l’alinéa (4)a), que celle-ci s’oppose à ce que l’organisation acquiesce à la demande et que le commissaire a été avisé en application de l’alinéa b).
(6)Despite section 63, if an organization is notified under subsection (5) that the institution or part objects to the organization complying with the request, the organization
(a)must refuse the request to the extent that it relates to paragraph (3)‍(a) or to information referred to in subparagraph (3)‍(a)‍(ii);
(b)must notify the Commissioner, in writing and without delay, of the refusal; and
(c)must not give the individual access to any information that the organization has relating to a disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50 or to a request made by a government institution or part of a government institution under section 44 or subsection 47(1); and
(d)must not provide to the individual the name of the government institution or part to which the disclosure was made or its type; and
(e)must not disclose to the individual the fact that the organization notified an institution or part under paragraph (4)‍(a), that the institution or part objects or that the Commissioner was notified under paragraph (b).
Cas où la communication peut être refusée
When access may be refused
(7)Malgré l’article 63, l’organisation n’est pas tenue de mettre à la disposition du demandeur des renseignements personnels dans les cas suivants :
a)les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige;
b)cela révélerait des renseignements commerciaux confidentiels;
c)cela risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu;
d)les renseignements ont été recueillis au titre du paragraphe 40(1);
e)les renseignements ont été produits uniquement à l’occasion d’un règlement officiel des différends;
f)les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.
Toutefois, dans les cas visés aux alinéas b) ou c), s’il est possible de retrancher les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu, l’organisation est tenue de mettre à la disposition du demandeur les renseignements personnels en retranchant ces renseignements.
(7)Despite section 63, an organization is not required to give access to personal information if
(a)the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege;
(b)to do so would reveal confidential commercial information;
(c)to do so could reasonably be expected to threaten the life or security of another individual;
(d)the information was collected under subsection 40(1);
(e)the information was generated in the course of a formal dispute resolution process; or
(f)the information was created for the purpose of making a disclosure under the Public Servants Disclosure Protection Act or in the course of an investigation into a disclosure under that Act.
However, in the circumstances described in paragraph (b) or (c), if giving access to the information would reveal confidential commercial information or could reasonably be expected to threaten the life or security of another individual, as the case may be, and that information is severable from any other information for which access is requested, the organization must give the individual access after severing.
Non-application
Limit
(8)Le paragraphe (7) ne s’applique pas si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.
(8)Subsection (7) does not apply if the individual needs the information because an individual’s life, health or security is threatened.
Avis
Notice
(9)Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (7)d), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.
(9)If an organization decides not to give access to personal information in the circumstances set out in paragraph (7)‍(d), the organization must, in writing, notify the Commissioner, and must provide any information that the Commissioner may specify.
Modification des renseignements personnels
Amendment of personal information
71(1)Si, après avoir consulté les renseignements personnels le concernant, l’individu démontre à l’organisation qu’ils sont désuets, inexacts ou incomplets, celle-ci apporte les modifications requises.
71(1)If an individual has been given access to their personal information and demonstrates that the information is not accurate, up-to-date or complete, the organization must amend the information as required.
Tiers qui ont accès
Third party
(2)L’organisation transmet, s’il y a lieu, les renseignements modifiés à tout tiers qui y a accès.
(2)The organization must, if it is appropriate to do so, transmit the amended information to any third party that has access to the information.
Consignation de la décision
Record of determination
(3)Si l’organisation et l’individu ne peuvent s’entendre sur les modifications à apporter aux renseignements, l’organisation consigne le désaccord et, s’il y a lieu, en informe les tiers qui ont accès aux renseignements.
(3)If the organization and the individual do not agree on the amendments that are to be made to the information, the organization must record the disagreement and, if it is appropriate to do so, inform third parties that have access to the information of the fact that there is a disagreement.
Mobilité des renseignements personnels
Mobility of Personal Information
Communication conformément à un cadre de mobilité des données
Disclosure under data mobility framework
72Sous réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont soumises à un cadre de mobilité des données prévu par règlement.
72Subject to the regulations, on the request of an individual, an organization must as soon as feasible disclose the personal information that it has collected from the individual to an organization designated by the individual, if both organizations are subject to a data mobility framework provided under the regulations.
Contestation de la conformité
Challenging Compliance
Plaintes et demandes de renseignements
Complaints and requests for information
73(1)L’individu peut déposer une plainte ou une demande de renseignements auprès de l’organisation à l’égard de sa conformité à la présente partie. L’organisation donne suite aux plaintes et aux demandes de renseignements qu’elle reçoit.
73(1)An individual may make a complaint, or a request for information, to an organization with respect to its compliance with this Part. The organization must respond to any complaint or request that it receives.
Manière de présenter une plainte ou une demande
Process for making complaint or request
(2)L’organisation rend facilement accessible les renseignements portant sur la manière de présenter une telle plainte ou une telle demande.
(2)An organization must make readily available information about the process for making a complaint or request.
Enquête des plaintes
Investigation of complaints
(3)L’organisation enquête sur toutes les plaintes qu’elle reçoit et effectue tout changement nécessaire à ses politiques, ses pratiques et ses procédures à la suite de l’enquête.
(3)An organization must investigate any complaint that it receives and make any necessary changes to its policies, practices and procedures as a result of the investigation.
Renseignements dépersonnalisés
De-identification of Personal Information
Proportionnalité des procédés techniques et administratifs
Proportionality of technical and administrative measures
74Lorsque l’organisation dépersonnalise des renseignements personnels, elle veille à ce que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels.
74An organization that de-identifies personal information must ensure that any technical and administrative measures applied to the information are proportionate to the purpose for which the information is de-identified and the sensitivity of the personal information.
Interdiction 
Prohibition
75Sauf à des fins de vérification de l’efficacité des mesures de sécurité mises en place, il est interdit à toute organisation d’utiliser des renseignements dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, afin d’identifier un individu.
75An organization must not use de-identified information alone or in combination with other information to identify an individual, except in order to conduct testing of the effectiveness of security safeguards that the organization has put in place to protect the information.
PARTIE 2
PART 2
Attributions du commissaire et dispositions générales
Commissioner’s Powers, Duties and Functions and General Provisions
Codes de pratique et programmes de certification
Codes of Practice and Certification Programs
Définition de entité
Definition of entity
76(1)Au présent article et aux articles 77 à 81, entité s’entend notamment d’une organisation, que la présente loi s’applique à elle ou non, ou d’une institution gouvernementale.
76(1)For the purpose of this section and sections 77 to 81, entity includes any organization, regardless of whether it is an organization to which this Act applies, or a government institution.
Code de pratique
Code of practice
(2)Toute entité peut, de la manière prévue par règlement, demander au commissaire d’approuver un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi.
(2)An entity may, in the manner provided by the regulations, apply to the Commissioner for approval of a code of practice that provides for substantially the same or greater protection of personal information as some or all of the protection provided under this Act.
Décision du commissaire
Approval by Commissioner
(3)Le commissaire peut approuver le code de pratique s’il conclut que celui-ci est conforme aux critères prévus par règlement.
(3)The Commissioner may approve the code of practice if the Commissioner determines that the code meets the criteria set out in the regulations.
Programme de certification
Certification program
77(1)Toute entité peut, de la manière prévue par règlement, demander au commissaire d’approuver un programme de certification comprenant les éléments suivants :
a)un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi;
b)des lignes directrices sur l’interprétation et la mise en œuvre du code de pratique;
c)un mécanisme par lequel l’entité qui gère le programme peut certifier une organisation conforme à ce code;
d)un mécanisme de vérification indépendante de la conformité d’une organisation à ce code;
e)des mesures disciplinaires en cas de non-conformité d’une organisation à ce code, notamment la révocation de la certification;
f)tout autre élément prévu par règlement.
77(1)An entity may, in the manner provided by the regulations, apply to the Commissioner for approval of a certification program that includes
(a)a code of practice that provides for substantially the same or greater protection of personal information as some or all of the protection provided under this Act;
(b)guidelines for interpreting and implementing the code of practice;
(c)a mechanism by which an entity that operates the program may certify that an organization is in compliance with the code of practice;
(d)a mechanism for the independent verification of an organization’s compliance with the code of practice;
(e)disciplinary measures for non-compliance with the code of practice by an organization, including the revocation of an organization’s certification; and
(f)anything else that is provided in the regulations.
Décision du commissaire
Approval by Commissioner
(2)Le commissaire peut approuver le programme de certification s’il conclut que celui-ci est conforme aux critères prévus par règlement.
(2)The Commissioner may approve the certification program if the Commissioner determines that the program meets the criteria set out in the regulations.
Réponse du commissaire
Response by Commissioner
78Le commissaire donne suite, par écrit, à la demande d’approbation mentionnée au paragraphe 76(2) ou 77(1) dans le délai précisé par règlement.
78The Commissioner must respond in writing to an application under subsection 76(2) or 77(1) in the time specified in the regulations.
Décision publique
Approval made public
79Le commissaire rend publique sa décision d’approuver un code de pratique ou un programme de certification.
79The Commissioner must make public a decision to approve a code of practice or certification program.
Précision
For greater certainty
80Il est entendu que l’organisation n’est pas exemptée des obligations qui lui incombent sous le régime de la présente loi du fait qu’elle se conforme aux exigences d’un code de pratique ou d’un programme de certification.
80For greater certainty, compliance with the requirements of a code of practice or a certification program does not relieve an organization of its obligations under this Act.
Pouvoirs du commissaire
Powers of Commissioner
81Le commissaire peut :
a)demander à toute entité qui gère un programme de certification approuvé tout renseignement relatif à ce programme de certification;
b)dans l’exercice des attributions qui lui sont conférées en vertu de la présente loi, collaborer avec une entité qui gère un programme de certification approuvé;
c)dans les circonstances et selon les critères prévus par règlement, recommander, conformément aux règlements, à toute entité qui gère un programme de certification approuvé de retirer sa certification à une organisation, s’il est d’avis que cette organisation ne se conforme pas aux exigences de ce programme;
d)dans le cadre d’un accord ou d’une entente mentionnée à l’article 115, communiquer au commissaire de la concurrence tout renseignement relatif à une entité qui gère un programme de certification approuvé ou à une organisation certifiée en vertu d’un tel programme;
e)révoquer, conformément aux règlements, l’approbation d’un programme de certification dans les circonstances et selon les critères prévus par règlement;
f)consulter les institutions gouvernementales fédérales concernant les codes de pratique ou les programmes de certification.
81The Commissioner may
(a)request that an entity that operates an approved certification program provide the Commissioner with information that relates to the program;
(b)cooperate with an entity that operates an approved certification program for the purpose of the exercise of the Commissioner’s powers and the performance of the Commissioner’s duties and functions under this Act;
(c)in accordance with the regulations, recommend to an entity that operates an approved certification program that an organization’s certification be withdrawn, in the circumstances and according to the criteria set out in the regulations, if the Commissioner is of the opinion that the organization is not in compliance with the requirements of the program;
(d)disclose information to the Commissioner of Competition, under an agreement or arrangement entered into under section 115, that relates to an entity that operates an approved certification program or an organization that is certified under an approved certification program;
(e)in accordance with the regulations, revoke an approval of a certification program in the circumstances and according to the criteria set out in the regulations; or
(f)consult with federal government institutions respecting codes of practice or certification programs.
Recours
Recourses
Dépôt des plaintes
Filing of Complaints
Contravention
Contravention
82(1)Tout individu peut déposer auprès du commissaire une plainte écrite contre une organisation qui contrevient à la partie 1.
82(1)An individual may file with the Commissioner a written complaint against an organization for contravening Part 1.
Plaintes émanant du commissaire
Commissioner may initiate complaint
(2)Le commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente loi.
(2)If the Commissioner is satisfied that there are reasonable grounds to investigate a matter under this Act, the Commissioner may initiate a complaint in respect of the matter.
Délai
Time limit
(3)Lorsqu’elle porte sur le refus d’acquiescer à une demande visée à l’article 63, la plainte doit être déposée, à moins que le commissaire n’accorde un délai supplémentaire, dans les six mois suivant, selon le cas, le refus ou l’expiration du délai pour répondre à la demande.
(3)A complaint that results from the refusal to grant a request made under section 63 must be filed within six months, or any longer period that the Commissioner allows, after the refusal or after the expiry of the time limit for responding to the request, as the case may be.
Avis
Notice
(4)Le commissaire avise l’organisation visée de la plainte sauf s’il décide de ne pas examiner la plainte en application du paragraphe 83(2).
(4)The Commissioner must give notice of a complaint to the organization against which the complaint was made, unless the Commissioner decides under subsection 83(2) not to carry out an investigation.
Examen des plaintes et règlement des différends
Investigation of Complaints and Dispute Resolution
Examen des plaintes par le commissaire
Investigation of complaint by Commissioner
83(1)Le commissaire procède à l’examen de toute plainte dont il est saisi, à moins qu’il ne juge celle-ci irrecevable pour un des motifs suivants :
a)le plaignant devrait d’abord épuiser les procédures de règlement des griefs ou de révision qui lui sont raisonnablement ouverts;
b)la plainte pourrait avantageusement être instruite, dans un premier temps ou à toutes les étapes, selon des procédures prévues par le droit fédéral — à l’exception de la présente loi — ou le droit provincial;
c)la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance;
d)la question soulevée dans la plainte fait l’objet d’un programme de certification approuvé par le commissaire au titre du paragraphe 77(2) et l’organisation concernée est certifiée dans le cadre de ce programme.
83(1)The Commissioner must carry out an investigation in respect of a complaint, unless the Commissioner is of the opinion that
(a)the complainant should first exhaust grievance or review procedures otherwise reasonably available;
(b)the complaint could more appropriately be dealt with, initially or completely, by means of a procedure provided for under any federal law, other than this Act, or provincial law;
(c)the complaint was not filed within a reasonable period after the day on which the subject matter of the complaint arose; or
(d)the complaint raises an issue in respect of which a certification program that was approved by the Commissioner under subsection 77(2) applies and the organization is certified under that program.
Exception
Exception
(2)Malgré le paragraphe (1), le commissaire n’a pas à examiner tout acte mentionné dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.‍01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.‍011 de cette loi.
(2)Despite subsection (1), the Commissioner is not required to carry out an investigation in respect of an act alleged in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.
Avis aux parties
Notification
(3)S’il décide de ne pas procéder à l’examen de la plainte ou de tout acte mentionné dans celle-ci, le commissaire avise de sa décision et des motifs qui la justifient le plaignant et l’organisation. Toutefois, dans le cas où il prend cette décision pour l’un des motifs mentionnés au paragraphe (2), il n’avise que le plaignant.
(3)The Commissioner must notify the complainant and the organization that the Commissioner will not investigate the complaint or any act alleged in the complaint and give reasons. However, if the decision is made for any of the reasons set out in subsection (2), the Commissioner must notify the complainant only.
Raisons impérieuses
Compelling reasons
(4)Le commissaire peut réexaminer sa décision de ne pas examiner la plainte aux termes du paragraphe (1) si le plaignant le convainc qu’il existe des raisons impérieuses pour ce faire.
(4)The Commissioner may reconsider a decision not to investigate under subsection (1) if the Commissioner is satisfied that the complainant has established that there are compelling reasons to investigate.
Mode de règlement des différends
Dispute resolution mechanisms
84Le commissaire peut tenter de parvenir au règlement de la plainte en ayant recours à un mode de règlement des différends, notamment la médiation et la conciliation, à moins qu’elle ne fasse l’objet d’une investigation.
84The Commissioner may attempt to resolve a complaint by means of a dispute resolution mechanism such as mediation and conciliation, unless an inquiry is being conducted in respect of the complaint.
Fin de l’examen
Discontinuance of Investigation
Motifs
Reasons
85(1)Le commissaire peut mettre fin à l’examen de la plainte s’il estime, selon le cas :
a)qu’il n’existe pas suffisamment d’éléments de preuve pour poursuivre l’examen;
b)que la plainte est futile, vexatoire ou entachée de mauvaise foi;
c)que l’organisation a apporté une réponse juste et équitable à la plainte;
d)que la question soulevée dans la plainte fait déjà l’objet d’un examen ou d’une investigation au titre de la présente loi;
e)qu’il a déjà dressé un rapport ou rendu une décision sur la question soulevée dans la plainte;
f)que les circonstances visées à l’un des alinéas 83(1)a) à d) existent;
g)que la plainte fait ou a fait l’objet d’un recours ou d’une procédure visés à l’alinéa 83(1)a) ou est ou a été instruite selon des procédures visées à l’alinéa 83(1)b);
h)que la question soulevée dans la plainte fait l’objet d’un accord de conformité conclu en vertu du paragraphe 86(1).
85(1)The Commissioner may discontinue the investigation of a complaint if the Commissioner is of the opinion that
(a)there is insufficient evidence to pursue the investigation;
(b)the complaint is trivial, frivolous or vexatious or is made in bad faith;
(c)the organization has provided a fair and reasonable response to the complaint;
(d)the matter is already the object of an ongoing investigation or inquiry under this Act;
(e)the matter has already been the subject of a report or decision by the Commissioner;
(f)any of the circumstances referred to in paragraphs 83(1)‍(a) to (d) apply;
(g)the matter is being or has already been addressed under a procedure referred to in paragraph 83(1)‍(a) or (b); or
(h)the matter is the object of a compliance agreement entered into under subsection 86(1).
Autre motif
Other reason
(2)Le commissaire peut mettre fin à l’examen de tout acte mentionné dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.‍01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.‍011 de cette loi.
(2)The Commissioner may discontinue an investigation in respect of an act alleged in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.
Accord de conformité
Compliance Agreements
Conclusion d’un accord de conformité
Entering into compliance agreement
86(1)Si, dans le cadre de l’examen d’une plainte, le commissaire a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission — pouvant constituer une contravention à la partie 1, il peut conclure avec l’organisation intéressée un accord de conformité, visant à faire respecter la présente loi.
86(1)If, in the course of an investigation, the Commissioner believes on reasonable grounds that an organization has committed, is about to commit or is likely to commit an act or omission that could constitute a contravention of Part 1, the Commissioner may enter into a compliance agreement with that organization, aimed at ensuring compliance with this Act.
Conditions
Terms
(2)L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la présente loi.
(2)A compliance agreement may contain any terms that the Commissioner considers necessary to ensure compliance with this Act.
Effet de l’accord de conformité
Effect of compliance agreement
(3)Le commissaire ne peut mener une investigation au titre de l’article 88 relativement à toute question faisant l’objet de l’accord.
(3)The Commissioner must not commence an inquiry under section 88 in respect of any matter covered under the agreement.
Précision
For greater certainty
(4)Il est entendu que la conclusion de l’accord n’a pas pour effet d’empêcher les poursuites pour infraction à la présente loi.
(4)For greater certainty, a compliance agreement does not preclude the prosecution of an offence under this Act.
Avis
Notification
Avis et motifs
Notification and reasons
87Le commissaire avise le plaignant et l’organisation de sa décision de mettre fin à l’examen de la plainte ou, à la conclusion de son examen, de sa décision de ne pas mener d’investigation, ainsi que des motifs qui la justifie.
87The Commissioner must notify the complainant and the organization and give reasons if an investigation has been discontinued or an investigation has concluded and the Commissioner will not be conducting an inquiry.
Investigation
Inquiry
Investigation : plainte
Inquiry — complaint
88(1)Suivant l’examen d’une plainte, le commissaire peut mener une investigation sur la plainte si elle ne fait pas l’objet d’une procédure visée à l’article 84 ou elle n’est pas résolue ou le commissaire n’y a pas mis fin.
88(1)After investigating a complaint, the Commissioner may conduct an inquiry in respect of the complaint if the matter is not
(a)the subject of dispute resolution under section 84;
(b)discontinued; or
(c)resolved.
Avis
Notice
(2)Le commissaire avise le plaignant ainsi que l’organisation visée par la plainte de la tenue de l’investigation.
(2)The Commissioner must give notice of the inquiry to the complainant and the organization.
Investigation : accord de conformité
Inquiry — compliance agreement
89(1)Si le commissaire croit, pour des motifs raisonnables, que l’accord de conformité conclu entre lui et une organisation en vertu du paragraphe 86(1) n’a pas été respecté, il peut mener une investigation relativement au défaut de conformité.
89(1)If the Commissioner believes on reasonable grounds that an organization is not complying with the terms of a compliance agreement entered into under subsection 86(1), the Commissioner may conduct an inquiry in respect of the non-compliance.
Avis
Notice
(2)Le commissaire avise l’organisation de la tenue de l’investigation.
(2)The Commissioner must give notice of the inquiry to the organization.
Règles de preuve
Nature of inquiries
90(1)Sous réserve du paragraphe (2), le commissaire n’est pas lié par les règles juridiques ou techniques applicables en matière de preuve lors de l’investigation. Dans la mesure où les circonstances, l’équité et la justice naturelle le permettent, il lui appartient d’agir rapidement et sans formalisme.
90(1)Subject to subsection (2), the Commissioner is not bound by any legal or technical rules of evidence in conducting an inquiry and must deal with the matter as informally and expeditiously as the circumstances and considerations of fairness and natural justice permit.
Exception
Restriction
(2)Le commissaire ne peut recevoir ni admettre en preuve quelque élément protégé par le droit de la preuve et rendu, de ce fait, inadmissible en justice devant un tribunal judiciaire.
(2)The Commissioner must not receive or accept as evidence anything that would be inadmissible in a court by reason of any privilege under the law of evidence.
Possibilité d’être entendu
Opportunity to be heard
(3)Dans le cadre de l’investigation, le commissaire donne au plaignant et à l’organisation la possibilité d’être entendu et, à cette fin, de se faire représenter par un conseiller juridique ou par toute autre personne.
(3)In conducting the inquiry, the Commissioner must give the organization and the complainant an opportunity to be heard and to be assisted or represented by counsel or by any person.
Huis clos
Inquiry in private
(4)Le commissaire peut tenir tout ou partie de l’investigation à huis clos.
(4)The Commissioner may hold all or any part of the inquiry in private.
Procédure
Procedure
91Le commissaire peut établir la procédure à suivre dans la conduite d’une investigation. Il la rend accessible au public.
91The Commissioner may determine the procedure to be followed in the conduct of an inquiry and must make that procedure publicly available.
Conclusion de l’investigation
Decision
92(1)Au terme de l’investigation, le commissaire rend une décision qui expose :
a)ses conclusions quant à savoir si l’organisation a contrevenu à la présente loi ou n’a pas respecté un accord de conformité;
b)toutes ordonnances rendues en vertu du paragraphe (2);
c)toute décision rendue au titre du paragraphe 93(1);
d)les motifs qui justifient les conclusions, les ordonnances ou les décisions.
92(1)The Commissioner must complete an inquiry by rendering a decision that sets out
(a)the Commissioner’s findings on whether the organization has contravened this Act or has not complied with the terms of a compliance agreement;
(b)any order made under subsection (2);
(c)any decision made under subsection 93(1); and
(d)the Commissioner’s reasons for the findings, order or decision.
Ordonnance de conformité
Compliance order
(2)Le commissaire peut, dans la mesure où cela est raisonnablement nécessaire pour assurer la conformité avec la présente loi, ordonner à l’organisation :
a)de prendre toute mesure afin de se conformer à la présente loi;
b)de cesser toute action qui contrevient à la présente loi;
c)de respecter un accord de conformité qu’elle a conclu;
d)de rendre publique toute action prise ou envisagée pour corriger les politiques, les pratiques ou les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.
(2)The Commissioner may, to the extent that is reasonably necessary to ensure compliance with this Act, order the organization to
(a)take measures to comply with this Act;
(b)stop doing something that is in contravention of this Act;
(c)comply with the terms of a compliance agreement that has been entered into by the organization; or
(d)make public any measures taken or proposed to be taken to correct the policies, practices or procedures that the organization has put in place to fulfil its obligations under this Act.
Envoi de la décision
Communication of decision
(3)Le commissaire envoie la décision, sans délai, au plaignant et à l’organisation.
(3)The decision must be sent to the complainant and the organization without delay.
Délai
Extension of time
(4)Le commissaire conclut l’investigation menée au titre de l’article 88 dans l’année suivant, selon le cas, la date du dépôt de la plainte ou celle où il en a pris l’initiative. Il peut toutefois proroger ce délai, d’une période n’excédant pas un an, s’il en avise le plaignant et l’organisation concernée et leur indique la date prévue de conclusion de l’investigation.
(4)An inquiry conducted under section 88 must be completed within one year after the day on which the complaint is filed or is initiated by the Commissioner. However, the Commissioner may extend the time limit, for a period not exceeding one year, by notifying the complainant and the organization of the anticipated date on which the decision is to be made.
Pénalités
Penalties
Recommandation
Recommendation
93(1)Si, au terme de l’investigation menée en application des articles 88 ou 89, il conclut qu’une organisation a contrevenu à l’une ou plusieurs des dispositions ci-après, le commissaire décide s’il recommande qu’une pénalité soit infligée à l’organisation par le Tribunal :
a)l’article 13;
b)le paragraphe 14(1);
c)le paragraphe 15(5);
d)l’article 16;
e)l’article 53;
f)les paragraphes 55(1) et (3);
g)le paragraphe 57(1);
h)les paragraphes 58(1) et (3).
93(1)If, in completing an inquiry under section 88 or 89, the Commissioner finds that an organization has contravened one or more of the following provisions, the Commissioner must decide whether to recommend that a penalty be imposed on the organization by the Tribunal:
(a)section 13;
(b)subsection 14(1);
(c)subsection 15(5);
(d)section 16;
(e)section 53;
(f)subsections 55(1) and (3);
(g)subsection 57(1); and
(h)subsections 58(1) and (3).
Éléments à prendre en compte
Factors to consider
(2)Il tient compte, dans sa décision, des éléments suivants :
a)la nature et la portée de la contravention;
b)tout versement fait volontairement par l’organisation, à titre de dédommagement, à toute personne touchée par la contravention;
c)les antécédents de l’organisation en ce qui concerne le respect de la présente loi;
d)tout autre élément pertinent.
(2)In making the decision, the Commissioner must take the following factors into account:
(a)the nature and scope of the contravention;
(b)whether the organization has voluntarily paid compensation to a person affected by the contravention;
(c)the organization’s history of compliance with this Act; and
(d)any other relevant factor.
Restriction
Limitation
(3)Il ne peut recommander qu’une pénalité soit infligée à l’organisation s’il est d’avis qu’au moment de la contravention de la disposition en cause l’organisation se conformait aux exigences d’un programme de certification qu’il a approuvé au titre du paragraphe 77(2) et qui concerne la disposition.
(3)The Commissioner must not recommend that a penalty be imposed on an organization if the Commissioner is of the opinion that, at the time of the contravention of the provision in question, the organization was in compliance with the requirements of a certification program that was in relation to that provision and was approved by the Commissioner under subsection 77(2).
Avis au Tribunal
Notice to Tribunal
(4)S’il décide de recommander qu’une pénalité soit infligée à l’organisation, le commissaire dépose auprès du Tribunal une copie de la décision rendue au titre du paragraphe 92(1) qui expose la décision de faire la recommandation.
(4)If the Commissioner decides to recommend that a penalty be imposed on an organization, the Commissioner must file with the Tribunal a copy of the decision rendered under subsection 92(1) that sets out the decision to recommend.
Infliction d’une pénalité
Imposition of penalty
94(1)Le Tribunal peut, par ordonnance, infliger une pénalité à une organisation si les conditions ci-après sont réunies :
a)le commissaire dépose une copie d’une décision concernant l’organisation auprès du Tribunal au titre du paragraphe 93(4) ou ce dernier, dans le cadre d’un appel, substitue sa propre décision de recommander qu’une pénalité soit infligée à l’organisation à celle du commissaire de ne pas le recommander;
b)l’organisation et le commissaire ont eu la possibilité de présenter des observations;
c)le Tribunal décide qu’il est indiqué d’en infliger une.
94(1)The Tribunal may, by order, impose a penalty on an organization if
(a)the Commissioner files a copy of a decision in relation to the organization in accordance with subsection 93(4) or the Tribunal, on appeal, substitutes its own decision to recommend that a penalty be imposed on the organization for the Commissioner’s decision not to recommend;
(b)the organization and the Commissioner are given the opportunity to make representations; and
(c)the Tribunal determines that imposing the penalty is appropriate.
Conclusions
Findings
(2)Pour décider s’il est indiqué d’infliger une pénalité à l’organisation, le Tribunal se fonde sur les conclusions exposées dans la décision rendue par le commissaire au titre du paragraphe 92(1) à l’égard de l’organisation ou sur ses propres conclusions si, dans le cadre d’un appel, il les substitue à celles du commissaire.
(2)In determining whether it is appropriate to impose a penalty on an organization, the Tribunal must rely on the findings set out in the decision that is rendered by the Commissioner under subsection 92(1) in relation to the organization or on the Tribunal’s own findings if, on appeal, it substitutes its own findings for those of the Commissioner.
Restrictions
Limitations
(3)Aucune pénalité ne peut être infligée à l’organisation relativement à une contravention si une poursuite a été engagée contre elle pour l’action ou l’omission constituant la contravention ou si elle établit qu’elle a pris les précautions voulues pour empêcher la contravention.
(3)The Tribunal must not impose a penalty on an organization in relation to a contravention if a prosecution for the act or omission that constitutes the contravention has been instituted against the organization or if the organization establishes that it exercised due diligence to prevent the contravention.
Montant maximal de la pénalité
Maximum penalty
(4)Le montant maximal de la pénalité pour l’ensemble des contraventions visées par la recommandation est de dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.
(4)The maximum penalty for all the contraventions in a recommendation taken together is the higher of $10,000,000 and 3% of the organization’s gross global revenue in its financial year before the one in which the penalty is imposed.
Éléments à prendre en compte
Factors to consider
(5)Pour décider s’il est indiqué d’infliger une pénalité à l’organisation et, le cas échéant, en déterminer le montant, le Tribunal tient compte des éléments suivants :
a)ceux énoncés au paragraphe 93(2);
b)la capacité de l’organisation à payer la pénalité et l’effet probable du paiement de celle-ci sur sa capacité à exercer ses activités;
c)tout avantage financier que l’organisation a retiré de la contravention.
(5)In determining whether it is appropriate to impose a penalty on an organization and in determining the amount of a penalty, the Tribunal must take the following factors into account:
(a)the factors set out in subsection 93(2);
(b)the organization’s ability to pay the penalty and the likely effect of paying it on the organization’s ability to carry on its business; and
(c)any financial benefit that the organization obtained from the contravention.
But de la pénalité
Purpose of penalty
(6)L’infliction de la pénalité vise non pas à punir mais à favoriser le respect de la présente loi.
(6)The purpose of a penalty is to promote compliance with this Act and not to punish.
Recouvrement
Recovery as debt due to Her Majesty
95Les pénalités prévues à l’article 94 constituent, à compter de la date à laquelle elles ont été infligées, des créances de Sa Majesté qui sont exigibles et dont le recouvrement peut être poursuivi à ce titre par le ministre.
95A penalty imposed under section 94 constitutes a debt due to Her Majesty and the debt is payable and may be recovered by the Minister as of the day on which it is imposed.
Vérification
Audits
Vérification de la conformité
Ensure compliance
96Le commissaire peut, sur préavis suffisant et à toute heure convenable, procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels s’il a des motifs raisonnables de croire que celle-ci a contrevenu à la partie 1.
96The Commissioner may, on reasonable notice and at any reasonable time, audit the personal information management practices of an organization if the Commissioner has reasonable grounds to believe that the organization has contravened Part 1.
Rapport des conclusions et recommandations du commissaire
Report of findings and recommendations
97(1)À l’issue de la vérification, le commissaire adresse à l’organisation en cause un rapport où il présente ses conclusions ainsi que les recommandations qu’il juge indiquées.
97(1)After an audit, the Commissioner must provide the audited organization with a report that contains the findings of the audit and any recommendations that the Commissioner considers appropriate.
Incorporation du rapport
Reports may be included in annual reports
(2)Ce rapport peut être incorporé dans le rapport visé à l’article 118.
(2)The report may be included in a report made under section 118.
Pouvoirs du commissaire : examens, investigations et vérifications
Commissioner’s Powers — Investigations, Inquiries and Audits
Pouvoirs du commissaire
Powers of Commissioner
98(1)Le commissaire peut, dans le cadre de l’examen des plaintes, d’une investigation ou d’une vérification :
a)assigner et contraindre des témoins à comparaître devant lui, à déposer verbalement ou par écrit sous la foi du serment et à produire les documents ou pièces qu’il juge nécessaires pour examiner la plainte ou pour procéder à l’investigation ou à la vérification dont il est saisi, de la même façon et dans la même mesure qu’une cour supérieure d’archives;
b)faire prêter serment;
c)recevoir les éléments de preuve ou les renseignements — fournis notamment par déclaration verbale ou écrite sous serment — qu’il estime indiqués, indépendamment de leur admissibilité devant les tribunaux;
d)rendre toute ordonnance provisoire qu’il juge indiquée;
e)ordonner à une organisation qui, relativement à une plainte, une investigation ou une vérification, détient un renseignement pertinent, de le conserver le temps nécessaire pour lui permettre d’examiner la plainte ou de procéder à l’investigation ou à la vérification;
f)visiter, à toute heure convenable, tout local — autre qu’une maison d’habitation — occupé par l’organisation, à condition de satisfaire aux normes de sécurité établies par elle pour ce local;
g)s’entretenir en privé avec toute personne se trouvant dans le local visé à l’alinéa f) et y mener les enquêtes qu’il estime nécessaires;
h)examiner ou se faire remettre des copies ou des extraits des documents contenant des éléments utiles à l’examen de la plainte, à la vérification ou à l’investigation et trouvés dans le local visé à l’alinéa f).
98(1)In carrying out an investigation of a complaint, conducting an inquiry or carrying out an audit, the Commissioner may
(a)summon and enforce the appearance of persons before the Commissioner and compel them to give oral or written evidence on oath and to produce any records and things that the Commissioner considers necessary to carry out the investigation, conduct the inquiry or carry out the audit, in the same manner and to the same extent as a superior court of record;
(b)administer oaths;
(c)receive and accept any evidence and other information, whether on oath, by affidavit or otherwise, that the Commissioner sees fit, whether or not it is or would be admissible in a court of law;
(d)make any interim order that the Commissioner considers appropriate;
(e)order an organization that has information that is relevant to the investigation, inquiry or audit to retain the information for as long as is necessary to allow the Commissioner to carry out the investigation, conduct the inquiry or carry out the audit;
(f)at any reasonable time, enter any premises, other than a dwelling-house, occupied by an organization on satisfying any security requirements of the organization relating to the premises;
(g)converse in private with any person in any premises entered under paragraph (f) and otherwise make any inquiries in those premises that the Commissioner sees fit; and
(h)examine or obtain copies of or extracts from records found in any premises entered under paragraph (f) that contain any matter relevant to the investigation, inquiry or audit.
Renvoi des documents
Return of records
(2)Le commissaire ou son délégué renvoie les documents ou pièces demandés en vertu du présent article aux personnes ou organisations qui les ont produits dans les dix jours suivant la requête que celles-ci lui présentent à cette fin, mais rien n’empêche le commissaire ou son délégué d’en réclamer une nouvelle production.
(2)The Commissioner or the Commissioner’s delegate must return to a person or an organization any record or thing that they produced under this section within 10 days after the day on which they make a request to the Commissioner or the delegate, but nothing precludes the Commissioner or the delegate from again requiring that the record or thing be produced.
Délégation
Delegation
99(1)Le commissaire peut déléguer les attributions que les articles 83 à 96 et le paragraphe 98(1) lui confèrent.
99(1)The Commissioner may delegate any of the powers, duties or functions set out in sections 83 to 96 and subsection 98(1).
Certificat
Certificate of delegation
(2)Chaque personne à qui les attributions visées au paragraphe 98(1) sont délégués reçoit un certificat attestant sa qualité, qu’il présente, sur demande, au responsable du local qui sera visité en application de l’alinéa f) de ce paragraphe.
(2)Any person to whom powers set out in subsection 98(1) are delegated must be given a certificate of the delegation and the delegate must produce the certificate, on request, to the person in charge of any premises to be entered under paragraph (f) of that subsection.
Appels
Appeals
Droit d’appel
Right of appeal
100(1)Peuvent être portées en appel devant le Tribunal par le plaignant ou l’organisation touchés :
a)toute conclusion exposée dans une décision rendue au titre du paragraphe 92(1);
b)toute ordonnance rendue en vertu du paragraphe 92(2);
c)la décision de ne pas recommander qu’une pénalité soit infligée à l’organisation, rendue au titre du paragraphe 93(1).
100(1)A complainant or organization that is affected by any of the following findings, orders or decisions may appeal it to the Tribunal:
(a)a finding that is set out in a decision rendered under subsection 92(1);
(b)an order made under subsection 92(2); or
(c)a decision made under subsection 93(1) not to recommend that a penalty be imposed on the organization.
Délai d’appel
Time limit — appeal