Passer au contenu

Projet de loi C-580

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

C-580
C-580
Second Session, Forty-first Parliament,
Deuxième session, quarante et unième législature,
62-63 Elizabeth II, 2013-2014
62-63 Elizabeth II, 2013-2014
HOUSE OF COMMONS OF CANADA
CHAMBRE DES COMMUNES DU CANADA
BILL C-580
PROJET DE LOI C-580
An Act to amend the Privacy Act (personal information — loss or unauthorized access or disclosure)
Loi modifiant la Loi sur la protection des renseignements personnels (renseignements personnels — perte ou accès ou communication non autorisés)


first reading, March 25, 2014
première lecture le 25 mars 2014


Ms. Borg

412094
Mme Borg



SUMMARY
This enactment amends the Privacy Act to require government institutions to inform the Privacy Commissioner of the loss or unauthorized disclosure of, or unauthorized access to, personal information if there is a risk of harm to an individual because of that loss, access or disclosure. The enactment also gives the Privacy Commissioner the power to make compliance orders and requires that a comprehensive review of the Act be conducted at least once every five years.
SOMMAIRE
Le texte modifie la Loi sur la protection des renseignements personnels afin d’exiger des institutions fédérales qu’elles informent le Commissaire à la protection de la vie privée de la perte ou de la communication non autorisée de renseignements personnels ou de l’accès non autorisé à ceux-ci, lorsque cette perte, cette communication ou cet accès présente un risque de préjudice pour un individu. Il confère également au Commissaire à la protection de la vie privée le pouvoir de donner des ordres d’exécution et exige qu’un examen détaillé de la Loi soit effectué au moins tous les cinq ans.
Available on the Parliament of Canada Web Site at the following address:
http://www.parl.gc.ca
Disponible sur le site Web du Parlement du Canada à l’adresse suivante :
http://www.parl.gc.ca

2nd Session, 41st Parliament,
2e session, 41e législature,
62-63 Elizabeth II, 2013-2014
62-63 Elizabeth II, 2013-2014
house of commons of canada
chambre des communes du canada
BILL C-580
PROJET DE LOI C-580
An Act to amend the Privacy Act (personal information — loss or unauthorized access or disclosure)
Loi modifiant la Loi sur la protection des renseignements personnels (renseignements personnels — perte ou accès ou communication non autorisés)
Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:
Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :
SHORT TITLE
TITRE ABRÉGÉ
Short title

1. This Act may be cited as the Taking the Privacy of Canadians Seriously Act.
1. Loi sur l’importance de protéger la vie privée des Canadiens.
Titre abrégé

R.S., c. P-21

PRIVACY ACT
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
L.R., ch. P-21

2. The Privacy Act is amended by adding the following after section 11:
2. La Loi sur la protection des renseignements personnels est modifiée par adjonction, après l’article 11, de ce qui suit :
LOSS, UNAUTHORIZED DISCLOSURE OR UNAUTHORIZED ACCESS
PERTE, COMMUNICATION NON AUTORISÉE OU ACCÈS NON AUTORISÉ
Definition of “harm”

11.1 (1) For the purposes of this section and section 11.2, “harm” includes bodily harm, humiliation, embarrassment, injury to reputation or relationships, loss of employment or of business or professional opportunities, financial loss, identity theft, identity fraud, negative effects on credit rating and damage to or loss of property.
11.1 (1) Pour l’application du présent article et de l’article 11.2, « préjudice » vise notamment les lésions corporelles, l’humiliation, l’embarras, l’atteinte à la réputation ou aux relations, la perte d’un emploi, d’une occasion d’affaires ou d’une activité professionnelle, la perte financière, le vol d’identité, la fraude d’identité, l’effet négatif sur la cote de crédit et le dommage aux biens ou leur perte.
Définition de « préjudice »

Notification of Privacy Commissioner

(2) A government institution having personal information under its control shall notify the Privacy Commissioner of any incident involv-ing the loss or unauthorized disclosure of, or unauthorized access to, that information, if a reasonable person would conclude that there exists a possible risk of harm to an individual as a result of the loss, unauthorized disclosure or unauthorized access.
(2) L’institution fédérale dont relèvent des renseignements personnels est tenue d’aviser le Commissaire à la protection de la vie privée de tout incident ayant entraîné la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour l’individu concerné par cette perte, cette communication ou cet accès.
Avis au Commissaire à la protection de la vie privée

Relevant factors

(3) The factors that are relevant in determining whether a reasonable person would conclude that the loss or unauthorized disclosure of, or unauthorized access to, personal information would create a risk of harm include

(a) the sensitivity of the personal information; and

(b) the number of individuals whose personal information was involved.
(3) Les éléments ci-après, entre autres, sont pertinents pour déterminer si la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci constituerait, pour une personne raisonnable, un risque de préjudice :
Éléments pertinents

a) le degré de sensibilité des renseignements personnels en cause;

b) le nombre d’individus dont les renseignements personnels ont été touchés.

Notification to be made without unreasonable delay

(4) The notification must be made without unreasonable delay after the discovery of the loss or unauthorized disclosure of, or unauthorized access to, personal information.
(4) L’avis est donné sans retard injustifié après la découverte de la perte ou de la communication non autorisée des renseignements personnels ou de l’accès non autorisé à ceux-ci.
Avis donné sans retard injustifié

Notification requirements

(5) The notification must contain the information, and be made in the form, prescribed in the regulations or otherwise specified by the Privacy Commissioner.
(5) L’avis satisfait aux exigences de forme et de contenu prévues par règlement ou prescrites par le Commissaire à la protection de la vie privée.
Forme et contenu de l’avis

Notification of affected individuals

11.2 (1) Upon receipt of the notification referred to in subsection 11.1(2), the Privacy Commissioner may require the government institution to notify affected individuals to whom there is an appreciable risk of harm as a result of the loss or unauthorized disclosure of, or unauthorized access to, personal information.
11.2 (1) Sur réception de l’avis visé au paragraphe 11.1(2), le Commissaire à la protection de la vie privée peut enjoindre à l’institution fédérale d’aviser les individus concernés pour lesquels la perte ou la communication non autorisée des renseignements personnels ou l’accès non autorisé à ceux-ci constitue un risque appréciable de préjudice.
Avis aux individus concernés

Obligation to notify affected individuals

(2) Subject to subsection (3), if the Privacy Commissioner determines that the loss or unauthorized disclosure of, or unauthorized access to, personal information is likely to result in an appreciable risk of harm to the affected individuals, the Privacy Commissioner shall, as soon as feasible, order the government institution to notify the affected individuals without unreasonable delay.
(2) Sous réserve du paragraphe (3), s’il juge que la perte ou la communication non autorisée des renseignements personnels ou l’accès non autorisé à ceux-ci est susceptible de constituer un risque appréciable de préjudice pour les individus concernés, le Commissaire à la protection de la vie privée est tenu, dès que possible, d’ordonner à l’institution fédérale d’en aviser ceux-ci sans retard injustifié.
Obligation d’aviser les individus concernés

Previous notification

(3) The Privacy Commissioner is not required to make an order under subsection (2) if the government institution has already notified the affected individuals to the satisfaction of the Privacy Commissioner.
(3) Si l’institution fédérale a déjà avisé les individus concernés d’une manière qu’il juge satisfaisante, le Commissaire à la protection de la vie privée n’est pas tenu de donner l’ordre visé au paragraphe (2).
Avis antérieur

Notification requirements

(4) The notification referred to in subsection (2) shall include

(a) a report of the risk of harm as it pertains to the affected individuals;

(b) instructions for reducing the risk of harm or mitigating that harm; and

(c) any other prescribed information.
(4) L’avis visé au paragraphe (2) comporte les éléments suivants :
Contenu de l’avis

a) un rapport des risques de préjudice auxquels les individus concernés sont exposés;

b) des instructions sur la façon de réduire les risques de préjudice ou d’atténuer ce préjudice;

c) tout autre renseignement prévu par règlement.

Form and manner of notification

(5) The notification shall be clear and delivered directly to the affected individual in the prescribed form and manner.
(5) L’avis est formulé clairement et remis directement à l’individu concerné selon les modalités réglementaires.
Modalités

Notification of compliance

(6) Once the government institution has complied with the notification order referred to in subsection (2), it shall notify the Privacy Commissioner of that fact.
(6) L’institution fédérale avise le Commissaire à la protection de la vie privée dès qu’elle s’est conformée à l’ordre visé au paragraphe (2).
Avis de conformité

3. Paragraph 35(1)(a) of the Act is replaced by the following:
3. L’alinéa 35(1)a) de la même loi est remplacé par ce qui suit :
(a) the findings of the investigation, any recommendations that the Privacy Commissioner considers appropriate and any order made under section 35.1; and
a) il présente les conclusions de son enquête ainsi que les recommandations qu’il juge indiquées et fait état de tout ordre donné en vertu de l’article 35.1;
4. The Act is amended by adding the following after section 35:
4. La même loi est modifiée par adjonction, après l’article 35, de ce qui suit :
Compliance order

35.1 Despite any other provision of this Act, upon completion of an investigation of a complaint or after an investigation on his or her own initiative, the Privacy Commissioner may order the government institution that is the object of the complaint or investigation to take the necessary actions to comply with this Act, which may include

(a) correcting its practices in order to comply with sections 4 to 8, including by

(i) fulfilling any obligation under this Act,

(ii) disposing of data,

(iii) ceasing to collect, use or disclose personal information, and

(iv) deleting or adding a record; and

(b) publishing a notice of any action taken or proposed to be taken to correct its practices, whether or not ordered to correct them under paragraph (a).
35.1 Malgré les autres dispositions de la présente loi, une fois achevée l’enquête sur une plainte ou l’enquête menée de sa propre initiative, le Commissaire à la protection de la vie privée peut ordonner à l’institution fédérale visée par la plainte ou l’enquête de prendre les mesures nécessaires pour se conformer à la présente loi, y compris :
Ordre d’exécution

a) corriger ses pratiques de façon à se conformer aux articles 4 à 8, notamment :

(i) en s’acquittant de toute obligation qui lui incombe au titre de la présente loi,

(ii) en procédant au retrait des données,

(iii) en cessant de recueillir, d’utiliser ou de communiquer des renseignements personnels,

(iv) en supprimant ou ajoutant des documents;

b) publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques, qu’elle ait ou non reçu l’ordre visé à l’alinéa a).

Time limit

35.2 The Privacy Commissioner shall establish a time limit for the implementation of any order made under section 35.1.
35.2 Le Commissaire à la protection de la vie privée fixe un délai pour l’exécution de tout ordre donné en vertu de l’article 35.1.
Délai

Extension of time limit

35.3 (1) Upon a request by the government institution that is the object of an order made under section 35.1, the Privacy Commissioner may extend the time limit for the implementation of the order at any time throughout the implementation period established by the Pri-vacy Commissioner.
35.3 (1) À la demande de l’institution fédérale visée par un ordre donné en vertu de l’article 35.1, le Commissaire à la protection de la vie privée peut, avant l’expiration du délai fixé pour l’exécution de l’ordre, proroger ce délai.
Prorogation du délai

Extension of time limit only granted once

(2) The extension of the time limit may only be granted once.
(2) Le délai ne peut être prorogé qu’une seule fois.
Prorogation unique

Publication of orders

35.4 If a government institution fails, within the time limit set under section 35.2 or 35.3, as the case may be, to comply with an order made under section 35.1, the Privacy Commissioner shall, within 60 days after the expiration of the relevant time limit, publish the following information on the website of the Office of the Privacy Commissioner of Canada:

(a) the date and identification number of the order;

(b) the time limit for implementation of the order, including any extensions;

(c) the name of the government institution that is the subject of the order;

(d) the provision of the Act with which the government institution failed to comply; and

(e) any additional information that the Pri-vacy Commissioner considers necessary and relevant.
35.4 Si l’institution fédérale n’exécute pas l’ordre donné en vertu de l’article 35.1 dans le délai visé aux articles 35.2 ou 35.3, selon le cas, le Commissaire à la protection de la vie privée publie, dans les soixante jours suivant l’expiration de ce délai, les renseignements ci-après sur le site Web du Commissariat à la protection de la vie privée du Canada :
Publication des ordres

a) la date et le numéro de référence de l’ordre;

b) le délai fixé pour l’exécution de l’ordre, y compris toute prorogation de ce délai;

c) le nom de l'institution fédérale;

d) les dispositions de la présente loi auxquelles elle ne s’est pas conformée;

e) les renseignements supplémentaires que le Commissaire à la protection de la vie privée estime nécessaires et pertinents.

5. Section 75 of the Act is replaced by the following:
5. L’article 75 de la même loi est remplacé par ce qui suit :
Review by parliamentary committee

75. (1) A comprehensive review of the provisions and operation of this Act shall be undertaken, every five years after this section comes into force, by the committee of the House of Commons, or of both Houses of Parliament, that may be designated or established by Parliament for that purpose.
75. (1) Le Parlement désigne ou constitue un comité, soit de la Chambre des communes, soit mixte, chargé spécialement de l’examen détaillé, tous les cinq ans suivant l’entrée en vigueur du présent article, de la présente loi et de son application.
Examen par un comité parlementaire

Report

(2) The committee referred to in subsection (1) shall, within a year after the review is undertaken or within such further time as the House of Commons or both Houses of Parliament, as the case may be, may authorize, submit a report on the review to Parliament that includes a statement of any changes to this Act or its operation that the committee recommends.
(2) Le comité prévu au paragraphe (1) présente au Parlement, dans l'année qui suit le début de l'examen ou dans le délai supérieur accordé par la Chambre des communes ou par les deux chambres du Parlement, selon le cas, un rapport dans lequel il fait état de ses recommandations quant aux modifications qu’il serait souhaitable d’apporter à la présente loi ou à ses modalités d’application.
Rapport

Published under authority of the Speaker of the House of Commons


Publié avec l'autorisation du président de la Chambre des communes