Projet de loi C-580

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Première lecture

Document complet Affichage bilingue XML PDF

2^e session, 41^e législature,

62-63 Elizabeth II, 2013-2014

chambre des communes du canada

PROJET DE LOI C-580

Loi modifiant la Loi sur la protection des renseignements personnels (renseignements personnels — perte ou accès ou communication non autorisés)

Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :

TITRE ABRÉGÉ

Titre abrégé

1. Loi sur l’importance de protéger la vie privée des Canadiens.

L.R., ch. P-21

LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

2. La Loi sur la protection des renseignements personnels est modifiée par adjonction, après l’article 11, de ce qui suit :

PERTE, COMMUNICATION NON AUTORISÉE OU ACCÈS NON AUTORISÉ

Définition de « préjudice »

11.1 (1) Pour l’application du présent article et de l’article 11.2, « préjudice » vise notamment les lésions corporelles, l’humiliation, l’embarras, l’atteinte à la réputation ou aux relations, la perte d’un emploi, d’une occasion d’affaires ou d’une activité professionnelle, la perte financière, le vol d’identité, la fraude d’identité, l’effet négatif sur la cote de crédit et le dommage aux biens ou leur perte.

Avis au Commissaire à la protection de la vie privée

(2) L’institution fédérale dont relèvent des renseignements personnels est tenue d’aviser le Commissaire à la protection de la vie privée de tout incident ayant entraîné la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour l’individu concerné par cette perte, cette communication ou cet accès.

Éléments pertinents

(3) Les éléments ci-après, entre autres, sont pertinents pour déterminer si la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci constituerait, pour une personne raisonnable, un risque de préjudice :

a) le degré de sensibilité des renseignements personnels en cause;

b) le nombre d’individus dont les renseignements personnels ont été touchés.

Avis donné sans retard injustifié

(4) L’avis est donné sans retard injustifié après la découverte de la perte ou de la communication non autorisée des renseignements personnels ou de l’accès non autorisé à ceux-ci.

Forme et contenu de l’avis

(5) L’avis satisfait aux exigences de forme et de contenu prévues par règlement ou prescrites par le Commissaire à la protection de la vie privée.

Avis aux individus concernés

11.2 (1) Sur réception de l’avis visé au paragraphe 11.1(2), le Commissaire à la protection de la vie privée peut enjoindre à l’institution fédérale d’aviser les individus concernés pour lesquels la perte ou la communication non autorisée des renseignements personnels ou l’accès non autorisé à ceux-ci constitue un risque appréciable de préjudice.

Obligation d’aviser les individus concernés

(2) Sous réserve du paragraphe (3), s’il juge que la perte ou la communication non autorisée des renseignements personnels ou l’accès non autorisé à ceux-ci est susceptible de constituer un risque appréciable de préjudice pour les individus concernés, le Commissaire à la protection de la vie privée est tenu, dès que possible, d’ordonner à l’institution fédérale d’en aviser ceux-ci sans retard injustifié.

Avis antérieur

(3) Si l’institution fédérale a déjà avisé les individus concernés d’une manière qu’il juge satisfaisante, le Commissaire à la protection de la vie privée n’est pas tenu de donner l’ordre visé au paragraphe (2).

Contenu de l’avis

(4) L’avis visé au paragraphe (2) comporte les éléments suivants :

a) un rapport des risques de préjudice auxquels les individus concernés sont exposés;

b) des instructions sur la façon de réduire les risques de préjudice ou d’atténuer ce préjudice;

c) tout autre renseignement prévu par règlement.

Modalités

(5) L’avis est formulé clairement et remis directement à l’individu concerné selon les modalités réglementaires.

Avis de conformité

(6) L’institution fédérale avise le Commissaire à la protection de la vie privée dès qu’elle s’est conformée à l’ordre visé au paragraphe (2).

3. L’alinéa 35(1)a) de la même loi est remplacé par ce qui suit :

a) il présente les conclusions de son enquête ainsi que les recommandations qu’il juge indiquées et fait état de tout ordre donné en vertu de l’article 35.1;

4. La même loi est modifiée par adjonction, après l’article 35, de ce qui suit :

Ordre d’exécution

35.1 Malgré les autres dispositions de la présente loi, une fois achevée l’enquête sur une plainte ou l’enquête menée de sa propre initiative, le Commissaire à la protection de la vie privée peut ordonner à l’institution fédérale visée par la plainte ou l’enquête de prendre les mesures nécessaires pour se conformer à la présente loi, y compris :

a) corriger ses pratiques de façon à se conformer aux articles 4 à 8, notamment :

(i) en s’acquittant de toute obligation qui lui incombe au titre de la présente loi,

(ii) en procédant au retrait des données,

(iii) en cessant de recueillir, d’utiliser ou de communiquer des renseignements personnels,

(iv) en supprimant ou ajoutant des documents;

b) publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques, qu’elle ait ou non reçu l’ordre visé à l’alinéa a).

Délai

35.2 Le Commissaire à la protection de la vie privée fixe un délai pour l’exécution de tout ordre donné en vertu de l’article 35.1.

Prorogation du délai

35.3 (1) À la demande de l’institution fédérale visée par un ordre donné en vertu de l’article 35.1, le Commissaire à la protection de la vie privée peut, avant l’expiration du délai fixé pour l’exécution de l’ordre, proroger ce délai.

Prorogation unique

(2) Le délai ne peut être prorogé qu’une seule fois.

Publication des ordres

35.4 Si l’institution fédérale n’exécute pas l’ordre donné en vertu de l’article 35.1 dans le délai visé aux articles 35.2 ou 35.3, selon le cas, le Commissaire à la protection de la vie privée publie, dans les soixante jours suivant l’expiration de ce délai, les renseignements ci-après sur le site Web du Commissariat à la protection de la vie privée du Canada :

a) la date et le numéro de référence de l’ordre;

b) le délai fixé pour l’exécution de l’ordre, y compris toute prorogation de ce délai;

c) le nom de l'institution fédérale;

d) les dispositions de la présente loi auxquelles elle ne s’est pas conformée;

e) les renseignements supplémentaires que le Commissaire à la protection de la vie privée estime nécessaires et pertinents.

5. L’article 75 de la même loi est remplacé par ce qui suit :

Examen par un comité parlementaire

75. (1) Le Parlement désigne ou constitue un comité, soit de la Chambre des communes, soit mixte, chargé spécialement de l’examen détaillé, tous les cinq ans suivant l’entrée en vigueur du présent article, de la présente loi et de son application.

Rapport

(2) Le comité prévu au paragraphe (1) présente au Parlement, dans l'année qui suit le début de l'examen ou dans le délai supérieur accordé par la Chambre des communes ou par les deux chambres du Parlement, selon le cas, un rapport dans lequel il fait état de ses recommandations quant aux modifications qu’il serait souhaitable d’apporter à la présente loi ou à ses modalités d’application.

Publié avec l'autorisation du président de la Chambre des communes