Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5)
Texte complet :
- HTMLTexte complet : Loi sur la protection des renseignements personnels et les documents électroniques (Boutons d’accessibilité disponibles) |
- XMLTexte complet : Loi sur la protection des renseignements personnels et les documents électroniques [240 KB] |
- PDFTexte complet : Loi sur la protection des renseignements personnels et les documents électroniques [542 KB]
Loi à jour 2024-10-30; dernière modification 2024-08-19 Versions antérieures
Loi sur la protection des renseignements personnels et les documents électroniques
L.C. 2000, ch. 5
Sanctionnée 2000-04-13
Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l’utilisation de moyens électroniques pour communiquer ou enregistrer de l’information et des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois
Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :
Titre abrégé
Note marginale :Titre abrégé
1 Loi sur la protection des renseignements personnels et les documents électroniques.
PARTIE 1Protection des renseignements personnels dans le secteur privé
Définitions
Note marginale :Définitions
2 (1) Les définitions qui suivent s’appliquent à la présente partie.
- activité commerciale
activité commerciale Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds. (commercial activity)
- atteinte aux mesures de sécurité
atteinte aux mesures de sécurité Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 ou du fait que ces mesures n’ont pas été mises en place. (breach of security safeguards)
- commissaire
commissaire Le Commissaire à la protection de la vie privée nommé en application de l’article 53 de la Loi sur la protection des renseignements personnels. (Commissioner)
- coordonnées d’affaires
coordonnées d’affaires Tout renseignement permettant d’entrer en contact — ou de faciliter la prise de contact — avec un individu dans le cadre de son emploi, de son entreprise ou de sa profession, tel que son nom, son poste ou son titre, l’adresse ou les numéros de téléphone ou de télécopieur de son lieu de travail ou son adresse électronique au travail. (business contact information)
- Cour
Cour La Cour fédérale. (Court)
- document
document Tous éléments d’information, quels que soient leur forme et leur support, notamment correspondance, note, livre, plan, carte, dessin, diagramme, illustration ou graphique, photographie, film, microforme, enregistrement sonore, magnétoscopique ou informatisé, ou toute reproduction de ces éléments d’information. (record)
- entreprises fédérales
entreprises fédérales Les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement. Sont compris parmi les entreprises fédérales :
a) les installations, ouvrages, entreprises ou secteurs d’activité qui se rapportent à la navigation et aux transports par eau, notamment l’exploitation de navires et le transport par navire partout au Canada;
b) les installations ou ouvrages, notamment les chemins de fer, canaux ou liaisons télégraphiques, reliant une province à une autre, ou débordant les limites d’une province, et les entreprises correspondantes;
c) les lignes de transport par bateaux à vapeur ou autres navires, reliant une province à une autre, ou débordant les limites d’une province;
d) les passages par eaux entre deux provinces ou entre une province et un pays étranger;
e) les aéroports, aéronefs ou lignes de transport aérien;
f) les stations de radiodiffusion;
g) les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;
h) les ouvrages qui, bien qu’entièrement situés dans une province, sont, avant ou après leur réalisation, déclarés par le Parlement être à l’avantage général du Canada ou à l’avantage de plusieurs provinces;
i) les installations, ouvrages, entreprises ou secteurs d’activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales;
j) les installations, ouvrages, entreprises ou secteurs d’activité auxquels le droit, au sens de l’alinéa a) de la définition de droit à l’article 2 de la Loi sur les océans, s’applique en vertu de l’article 20 de cette loi et des règlements pris en vertu de l’alinéa 26(1)k) de la même loi. (federal work, undertaking or business)
- organisation
organisation S’entend notamment des associations, sociétés de personnes, personnes et organisations syndicales. (organization)
- renseignement personnel
renseignement personnel Tout renseignement concernant un individu identifiable. (personal information)
- renseignement personnel sur la santé
renseignement personnel sur la santé En ce qui concerne un individu vivant ou décédé :
a) tout renseignement ayant trait à sa santé physique ou mentale;
b) tout renseignement relatif aux services de santé fournis à celui-ci;
c) tout renseignement relatif aux dons de parties du corps ou de substances corporelles faits par lui, ou tout renseignement provenant des résultats de tests ou d’examens effectués sur une partie du corps ou une substance corporelle de celui-ci;
d) tout renseignement recueilli dans le cadre de la prestation de services de santé à celui-ci;
e) tout renseignement recueilli fortuitement lors de la prestation de services de santé à celui-ci. (personal health information)
- support de substitution
support de substitution Tout support permettant à une personne ayant une déficience sensorielle de lire ou d’écouter des renseignements personnels. (alternative format)
- transaction commerciale
transaction commerciale S’entend notamment des transactions suivantes :
a) l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;
b) la fusion ou le regroupement d’organisations;
c) le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;
d) le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;
e) la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;
f) tout autre arrangement prévu par règlement entre des organisations pour la poursuite d’activités d’affaires. (business transaction)
Note marginale :Notes de l’annexe 1
(2) Dans la présente partie, la mention des articles 4.3 ou 4.9 de l’annexe 1 ne vise pas les notes afférentes.
- 2000, ch. 5, art. 2
- 2002, ch. 8, art. 183
- 2015, ch. 32, art. 2
Objet
Note marginale :Objet
3 La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
Champ d’application
Note marginale :Champ d’application
4 (1) La présente partie s’applique à toute organisation à l’égard des renseignements personnels :
a) soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales;
b) soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.
Note marginale :Application
(1.1) La présente partie s’applique à toute organisation figurant à la colonne 1 de l’annexe 4 à l’égard des renseignements personnels figurant à la colonne 2.
Note marginale :Limite
(2) La présente partie ne s’applique pas :
a) aux institutions fédérales auxquelles s’applique la Loi sur la protection des renseignements personnels;
b) à un individu à l’égard des renseignements personnels qu’il recueille, utilise ou communique à des fins personnelles ou domestiques et à aucune autre fin;
c) à une organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique à des fins journalistiques, artistiques ou littéraires et à aucune autre fin.
Note marginale :Autre loi
Note de bas de page *(3) Toute disposition de la présente partie s’applique malgré toute disposition — édictée après l’entrée en vigueur du présent paragraphe — d’une autre loi fédérale, sauf dérogation expresse de la disposition de l’autre loi.
Retour à la référence de la note de bas de page *[Note : Paragraphe 4(3) en vigueur le 1er janvier 2001, voir TR/2000-29.]
- 2000, ch. 5, art. 4
- 2015, ch. 32, art. 3, ch. 36, art. 164
Note marginale :Coordonnées d’affaires
4.01 La présente partie ne s’applique pas à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession.
- 2015, ch. 32, art. 4
Note marginale :Certificat en vertu de la Loi sur la preuve au Canada
4.1 (1) Dans le cas où a été délivré au titre des articles 38.13 ou 38.41 de la Loi sur la preuve au Canada un certificat interdisant la divulgation de renseignements personnels concernant un individu donné avant le dépôt par celui-ci d’une plainte au titre de la présente partie relative à la communication de ces renseignements, les dispositions de cette partie concernant le droit d’accès de l’individu aux renseignements personnels le concernant ne s’appliquent pas aux renseignements visés par le certificat.
Note marginale :Certificat postérieur au dépôt d’une plainte
(2) Malgré les autres dispositions de la présente partie, dans le cas où a été délivré au titre des articles 38.13 ou 38.41 de la Loi sur la preuve au Canada un certificat interdisant la divulgation de renseignements personnels concernant un individu donné après le dépôt d’une plainte de refus d’accès au titre de la présente partie relativement à la demande de communication de ces renseignements :
a) toute procédure — notamment une enquête, une vérification, un appel ou une révision judiciaire — prévue par la présente partie et portant sur ces renseignements est interrompue;
b) le commissaire ne peut communiquer les renseignements et prend les précautions nécessaires pour empêcher leur communication;
c) le commissaire renvoie les renseignements à l’organisation qui les a fournis dans les dix jours suivant la publication du certificat dans la Gazette du Canada.
Note marginale :Précaution à prendre
(3) Dans l’exercice de leurs attributions prévues par la présente partie, le commissaire et les personnes agissant en son nom ou sous son autorité ne peuvent communiquer, et prennent toutes les précautions pour éviter que ne soient communiqués, les renseignements visés par un certificat délivré au titre des articles 38.13 ou 38.41 de la Loi sur la preuve au Canada.
Note marginale :Pouvoir de délégation
(4) Le commissaire ne peut déléguer la tenue d’une enquête portant sur des renseignements visés par un certificat délivré au titre des articles 38.13 ou 38.41 de la Loi sur la preuve au Canada qu’à un de ses collaborateurs choisi parmi quatre des cadres ou employés du commissariat et qu’il désigne spécialement à cette fin.
- 2001, ch. 41, art. 103
- 2024, ch. 16, art. 93
SECTION 1Protection des renseignements personnels
Note marginale :Obligation de se conformer aux obligations
5 (1) Sous réserve des articles 6 à 9, toute organisation doit se conformer aux obligations énoncées dans l’annexe 1.
Note marginale :Emploi du conditionnel
(2) L’emploi du conditionnel dans l’annexe 1 indique qu’il s’agit d’une recommandation et non d’une obligation.
Note marginale :Fins acceptables
(3) L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
Note marginale :Conséquence de la désignation d’une personne
6 La désignation d’une personne en application de l’article 4.1 de l’annexe 1 n’exempte pas l’organisation des obligations énoncées dans cette annexe.
Note marginale :Validité du consentement
6.1 Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
- 2015, ch. 32, art. 5
Note marginale :Collecte à l’insu de l’intéressé ou sans son consentement
7 (1) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
a) la collecte du renseignement est manifestement dans l’intérêt de l’intéressé et le consentement ne peut être obtenu auprès de celui-ci en temps opportun;
b) il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’intéressé compromette l’exactitude du renseignement ou l’accès à celui-ci, et la collecte est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial;
b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la collecte est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte est compatible avec les fins auxquelles il a été produit;
c) la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires;
d) il s’agit d’un renseignement réglementaire auquel le public a accès;
e) la collecte est faite en vue :
(i) soit de la communication prévue aux sous-alinéas (3)c.1)(i) ou d)(ii),
(ii) soit d’une communication exigée par la loi.
Note marginale :Utilisation à l’insu de l’intéressé ou sans son consentement
(2) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut utiliser de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
a) dans le cadre de ses activités, l’organisation découvre l’existence d’un renseignement dont elle a des motifs raisonnables de croire qu’il pourrait être utile à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être, et l’utilisation est faite aux fins d’enquête;
b) l’utilisation est faite pour répondre à une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu;
b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont l’utilisation est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont l’utilisation est compatible avec les fins auxquelles il a été produit;
c) l’utilisation est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit utilisé, celui-ci est utilisé d’une manière qui en assure le caractère confidentiel, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de l’utilisation avant de la faire;
c.1) il s’agit d’un renseignement réglementaire auquel le public a accès;
d) le renseignement a été recueilli au titre des alinéas (1)a), b) ou e).
Note marginale :Communication à l’insu de l’intéressé ou sans son consentement
(3) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :
a) la communication est faite à un avocat — dans la province de Québec, à un avocat ou à un notaire — qui représente l’organisation;
b) elle est faite en vue du recouvrement d’une créance que celle-ci a contre l’intéressé;
c) elle est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents;
c.1) elle est faite à une institution gouvernementale — ou à une subdivision d’une telle institution — qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait, selon le cas :
(i) qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales,
(ii) que la communication est demandée aux fins du contrôle d’application du droit canadien, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application,
(iii) qu’elle est demandée pour l’application du droit canadien ou provincial,
(iv) qu’elle est demandée afin d’entrer en contact avec le plus proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé;
c.2) elle est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article;
d) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou une subdivision d’une telle institution et l’organisation :
(i) soit a des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être,
(ii) soit soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
d.1) elle est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête;
d.2) elle est faite à une autre organisation et est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin;
d.3) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, si les conditions ci-après sont remplies :
(i) l’organisation a des motifs raisonnables de croire que l’intéressé a été, est ou pourrait être victime d’exploitation financière,
(ii) la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête y ayant trait,
(iii) il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci;
d.4) elle est nécessaire aux fins d’identification de l’intéressé qui est blessé, malade ou décédé et est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’intéressé ou à son représentant autorisé et, si l’intéressé est vivant, l’organisation en informe celui-ci par écrit et sans délai;
e) elle est faite à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière;
e.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;
e.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise, ou de sa profession, et dont la communication est compatible avec les fins auxquelles il a été produit;
f) la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit communiqué, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de la communication avant de la faire;
g) elle est faite à une institution dont les attributions comprennent la conservation de documents ayant une importance historique ou archivistique, en vue d’une telle conservation;
h) elle est faite cent ans ou plus après la constitution du document contenant le renseignement ou, en cas de décès de l’intéressé, vingt ans ou plus après le décès, dans la limite de cent ans;
h.1) il s’agit d’un renseignement réglementaire auquel le public a accès;
h.2) [Abrogé, 2015, ch. 32, art. 6]
i) la communication est exigée par la loi.
Note marginale :Utilisation sans le consentement de l’intéressé
(4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés au paragraphe (2), utiliser un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Note marginale :Communication sans consentement
(5) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux alinéas (3)a) à h.1), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
- 2000, ch. 5, art. 7, ch. 17, art. 97
- 2001, ch. 41, art. 81
- 2004, ch. 15, art. 98
- 2015, ch. 32, art. 6
Note marginale :Définitions
7.1 (1) Les définitions qui suivent s’appliquent au présent article.
- adresse électronique
adresse électronique Toute adresse utilisée relativement à l’un des comptes suivants :
a) un compte courriel;
b) un compte messagerie instantanée;
c) tout autre compte similaire. (electronic address)
- ordinateur
ordinateur S’entend au sens du paragraphe 342.1(2) du Code criminel. (computer system)
- programme d’ordinateur
programme d’ordinateur S’entend au sens du paragraphe 342.1(2) du Code criminel. (computer program)
- utiliser
utiliser S’agissant d’un ordinateur ou d’un réseau informatique, le programmer, lui faire exécuter un programme, communiquer avec lui, y mettre en mémoire, ou en extraire, des données ou utiliser ses ressources de toute autre façon, notamment ses données et ses programmes. (access)
Note marginale :Collecte, utilisation et communication d’adresses électroniques
(2) Les alinéas 7(1)a) et b.1) à d) et (2)a) à c.1) et l’exception prévue à l’article 4.3 de l’annexe 1 ne s’appliquent pas :
a) à la collecte de l’adresse électronique d’un individu effectuée à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir;
b) à l’utilisation d’une telle adresse recueillie à l’aide d’un programme d’ordinateur visé à l’alinéa a).
Note marginale :Collecte et utilisation de renseignements personnels
(3) Les alinéas 7(1)a) à d) et (2)a) à c.1) et l’exception prévue à l’article 4.3 de l’annexe 1 ne s’appliquent pas :
a) à la collecte de renseignements personnels, par tout moyen de télécommunication, dans le cas où l’organisation qui y procède le fait en utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale;
b) à l’utilisation de renseignements personnels dont la collecte est visée à l’alinéa a).
- 2010, ch. 23, art. 82
- 2015, ch. 32, art. 26
Note marginale :Transaction commerciale éventuelle
7.2 (1) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser et communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si, à la fois :
a) elles ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :
(i) à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,
(ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité,
(iii) si la transaction n’a pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à les détruire, dans un délai raisonnable;
b) les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.
Note marginale :Transaction commerciale effectuée
(2) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels, communiqués en vertu du paragraphe (1), à l’insu de l’intéressé ou sans son consentement dans le cas où :
a) elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :
(i) à n’utiliser et ne communiquer les renseignements dont elle a la gestion qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,
(ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité,
(iii) à donner effet à tout retrait de consentement fait en conformité avec l’article 4.3.8 de l’annexe 1;
b) les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;
c) dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’intéressé du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).
Note marginale :Valeur contraignante des accords
(3) L’organisation est tenue de se conformer aux modalités de tout accord conclu aux termes des alinéas (1)a) ou (2)a).
Note marginale :Exception
(4) Les paragraphes (1) et (2) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.
- 2015, ch. 32, art. 7
Note marginale :Relation d’emploi
7.3 En plus des cas visés à l’article 7, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, une entreprise fédérale peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin, et si elle a au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins.
- 2015, ch. 32, art. 7
Note marginale :Utilisation sans le consentement de l’intéressé
7.4 (1) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, utiliser un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Note marginale :Communication sans le consentement de l’intéressé
(2) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
- 2015, ch. 32, art. 7
Note marginale :Demande écrite
8 (1) La demande prévue à l’article 4.9 de l’annexe 1 est présentée par écrit.
Note marginale :Aide à fournir
(2) Sur requête de l’intéressé, l’organisation fournit à celui-ci l’aide dont il a besoin pour préparer sa demande.
Note marginale :Délai de réponse
(3) L’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception.
Note marginale :Prorogation du délai
(4) Elle peut toutefois proroger le délai visé au paragraphe (3) :
a) d’une période maximale de trente jours dans les cas où :
(i) l’observation du délai entraverait gravement l’activité de l’organisation,
(ii) toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai;
b) de la période nécessaire au transfert des renseignements visés sur support de substitution.
Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.
Note marginale :Présomption
(5) Faute de répondre dans le délai, l’organisation est réputée avoir refusé d’acquiescer à la demande.
Note marginale :Coût
(6) Elle ne peut exiger de droits pour répondre à la demande que si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci et celui-ci l’avise qu’il ne retire pas sa demande.
Note marginale :Refus motivé
(7) L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours que lui accorde la présente partie.
Note marginale :Conservation des renseignements
(8) Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente partie.
- 2000, ch. 5, art. 8
- 2015, ch. 32, art. 8(F)
Note marginale :Cas où la communication est interdite
9 (1) Malgré l’article 4.9 de l’annexe 1, l’organisation ne peut communiquer de renseignement à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si ce dernier renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant.
Note marginale :Non-application
(2) Le paragraphe (1) ne s’applique pas si le tiers consent à la communication ou si l’intéressé a besoin du renseignement parce que la vie, la santé ou la sécurité d’un individu est en danger.
Note marginale :Renseignements relatifs aux al. 7(3)c), c.1) ou d)
(2.1) L’organisation est tenue de se conformer au paragraphe (2.2) si l’intéressé lui demande :
a) de l’aviser, selon le cas :
(i) de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)c.1) (i) ou (ii) ou des alinéas 7(3)c.2) ou d),
(ii) de l’existence de renseignements détenus par l’organisation et relatifs soit à toute telle communication, soit à une assignation, un mandat ou une ordonnance visés à l’alinéa 7(3)c), soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de ces sous-alinéas;
b) de lui communiquer ces renseignements.
Note marginale :Notification et réponse
(2.2) Le cas échéant, l’organisation :
a) notifie par écrit et sans délai la demande à l’institution gouvernementale ou à la subdivision d’une telle institution concernée;
b) ne peut donner suite à la demande avant le jour où elle reçoit l’avis prévu au paragraphe (2.3) ou, s’il est antérieur, le trentième jour suivant celui où l’institution ou la subdivision reçoit notification.
Note marginale :Opposition
(2.3) Dans les trente jours suivant celui où la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire :
a) à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
a.1) à la détection, à la prévention ou à la dissuasion du recyclage des produits de la criminalité ou du financement des activités terroristes;
b) au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.
Note marginale :Refus d’acquiescer à la demande
(2.4) Malgré l’article 4.9 de l’annexe 1, si elle est informée que l’institution ou la subdivision s’oppose à ce qu’elle acquiesce à la demande, l’organisation :
a) refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (2.1)a) ou se rapporte à des renseignements visés à cet alinéa;
b) en avise par écrit et sans délai le commissaire;
c) ne communique à l’intéressé :
(i) ni les renseignements détenus par l’organisation et relatifs à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)c.1)(i) ou (ii) ou des alinéas 7(3)c.2) ou d) ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de ces sous-alinéas.
(ii) ni le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision en application de l’alinéa (2.2)a) ou que le commissaire en a été avisé en application de l’alinéa b),
(iii) ni le fait que l’institution ou la subdivision s’oppose à ce que l’organisation acquiesce à la demande.
Note marginale :Cas où la communication peut être refusée
(3) Malgré la note afférente à l’article 4.9 de l’annexe 1, l’organisation n’est pas tenue de communiquer à l’intéressé des renseignements personnels dans les cas suivants seulement :
a) les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige;
b) la communication révélerait des renseignements commerciaux confidentiels;
c) elle risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu;
c.1) les renseignements ont été recueillis au titre de l’alinéa 7(1)b);
d) les renseignements ont été fournis uniquement à l’occasion d’un règlement officiel des différends;
e) les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.
Toutefois, dans les cas visés aux alinéas b) ou c), si les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu peuvent être retranchés du document en cause, l’organisation est tenue de faire la communication en retranchant ces renseignements.
Note marginale :Non-application
(4) Le paragraphe (3) ne s’applique pas si l’intéressé a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.
Note marginale :Avis
(5) Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (3)c.1), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.
- 2000, ch. 5, art. 9, ch. 17, art. 97
- 2001, ch. 41, art. 82
- 2005, ch. 46, art. 57
- 2006, ch. 9, art. 223
- 2015, ch. 32, art. 9
- 2019, ch. 18, art. 61
Note marginale :Déficience sensorielle
10 L’organisation communique les renseignements personnels sur support de substitution à toute personne ayant une déficience sensorielle qui y a droit sous le régime de la présente partie et qui en fait la demande, dans les cas suivants :
a) une version des renseignements visés existe déjà sur un tel support;
b) leur transfert sur un tel support est raisonnable et nécessaire pour que la personne puisse exercer les droits qui lui sont conférés sous le régime de la présente partie.
SECTION 1.1Atteintes aux mesures de sécurité
Note marginale :Déclaration au commissaire
10.1 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
Note marginale :Modalités de la déclaration
(2) La déclaration contient les renseignements prévus par règlement et est faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Note marginale :Avis à l’intéressé
(3) À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.
Note marginale :Contenu de l’avis
(4) L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire.
Note marginale :Modalités de l’avis
(5) L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires.
Note marginale :Délai de l’avis
(6) L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Note marginale :Définition de préjudice grave
(7) Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
Note marginale :Risque réel de préjudice grave : facteurs
(8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.
- 2015, ch. 32, art. 10
Note marginale :Avis à une organisation
10.2 (1) L’organisation qui, en application du paragraphe 10.1(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à des conditions précisées par règlement.
Note marginale :Délai de l’avis
(2) Elle le fait le plus tôt possible après avoir conclu qu’il y a eu atteinte.
Note marginale :Communication de renseignements personnels
(3) En plus des cas visés au paragraphe 7(3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si :
a) d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou la subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe (1);
b) d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’intéressé qui pourrait résulter de l’atteinte ou atténuer ce préjudice.
Note marginale :Communication sans consentement
(4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans le cas visé au paragraphe (3), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
- 2015, ch. 32, art. 10
Note marginale :Registre
10.3 (1) L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion.
Note marginale :Accès au registre ou copie
(2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.
- 2015, ch. 32, art. 10
SECTION 2Recours
Dépôt des plaintes
Note marginale :Violation
11 (1) Tout intéressé peut déposer auprès du commissaire une plainte contre une organisation qui contrevient à l’une des dispositions des sections 1 ou 1.1, ou qui omet de mettre en oeuvre une recommandation énoncée dans l’annexe 1.
Note marginale :Plaintes émanant du commissaire
(2) Le commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente partie.
Note marginale :Délai
(3) Lorsqu’elle porte sur le refus d’acquiescer à une demande visée à l’article 8, la plainte doit être déposée dans les six mois suivant, selon le cas, le refus ou l’expiration du délai pour répondre à la demande, à moins que le commissaire n’accorde un délai supplémentaire.
Note marginale :Avis
(4) Le commissaire donne avis de la plainte à l’organisation visée par celle-ci.
- 2000, ch. 5, art. 11
- 2015, ch. 32, art. 11
Examen des plaintes
Note marginale :Examen des plaintes par le commissaire
12 (1) Le commissaire procède à l’examen de toute plainte dont il est saisi à moins qu’il estime celle-ci irrecevable pour un des motifs suivants :
a) le plaignant devrait d’abord épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement ouverts;
b) la plainte pourrait avantageusement être instruite, dans un premier temps ou à toutes les étapes, selon des procédures prévues par le droit fédéral — à l’exception de la présente partie — ou le droit provincial;
c) la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance.
Note marginale :Exception
(2) Malgré le paragraphe (1), le commissaire n’a pas à examiner tout acte allégué dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.011 de cette loi.
Note marginale :Avis aux parties
(3) S’il décide de ne pas procéder à l’examen de la plainte ou de tout acte allégué dans celle-ci, le commissaire avise le plaignant et l’organisation de sa décision et des motifs qui la justifient.
Note marginale :Raisons impérieuses
(4) Le commissaire peut réexaminer sa décision de ne pas examiner la plainte aux termes du paragraphe (1) si le plaignant le convainc qu’il existe des raisons impérieuses pour ce faire.
- 2000, ch. 5, art. 12
- 2010, ch. 23, art. 83
Note marginale :Pouvoirs du commissaire
12.1 (1) Le commissaire peut, dans le cadre de l’examen des plaintes :
a) assigner et contraindre des témoins à comparaître devant lui, à déposer verbalement ou par écrit sous la foi du serment et à produire les documents ou pièces qu’il juge nécessaires pour examiner la plainte dont il est saisi, de la même façon et dans la même mesure qu’une cour supérieure d’archives;
b) faire prêter serment;
c) recevoir les éléments de preuve ou les renseignements — fournis notamment par déclaration verbale ou écrite sous serment — qu’il estime indiqués, indépendamment de leur admissibilité devant les tribunaux;
d) visiter, à toute heure convenable, tout local — autre qu’une maison d’habitation — occupé par l’organisation, à condition de satisfaire aux normes de sécurité établies par elle pour ce local;
e) s’entretenir en privé avec toute personne se trouvant dans le local visé à l’alinéa d) et y mener les enquêtes qu’il estime nécessaires;
f) examiner ou se faire remettre des copies ou des extraits des documents contenant des éléments utiles à l’examen de la plainte et trouvés dans le local visé à l’alinéa d).
Note marginale :Mode de règlement des différends
(2) Il peut tenter de parvenir au règlement de la plainte en ayant recours à un mode de règlement des différends, notamment la médiation et la conciliation.
Note marginale :Délégation
(3) Il peut déléguer les pouvoirs que les paragraphes (1) et (2) lui confèrent.
Note marginale :Renvoi des documents
(4) Le commissaire ou son délégué renvoie les documents ou pièces demandés en vertu du présent article aux personnes ou organisations qui les ont produits dans les dix jours suivant la requête que celles-ci lui présentent à cette fin, mais rien n’empêche le commissaire ou son délégué d’en réclamer une nouvelle production.
Note marginale :Certificat
(5) Chaque personne à qui les pouvoirs visés au paragraphe (1) sont délégués reçoit un certificat attestant sa qualité, qu’il présente, sur demande, au responsable du local qui sera visité en application de l’alinéa (1)d).
- 2010, ch. 23, art. 83
Fin de l’examen
Note marginale :Motifs
12.2 (1) Le commissaire peut mettre fin à l’examen de la plainte s’il estime, selon le cas :
a) qu’il n’existe pas suffisamment d’éléments de preuve pour le poursuivre;
b) que la plainte est futile, vexatoire ou entachée de mauvaise foi;
c) que l’organisation a apporté une réponse juste et équitable à la plainte;
c.1) que la question qui a donné lieu à la plainte fait l’objet d’un accord de conformité conclu en vertu du paragraphe 17.1(1);
d) que la plainte fait déjà l’objet d’une enquête au titre de la présente partie;
e) qu’il a déjà dressé un rapport sur l’objet de la plainte;
f) que les circonstances visées à l’un des alinéas 12(1)a) à c) existent;
g) que la plainte fait ou a fait l’objet d’un recours ou d’une procédure visés à l’alinéa 12(1)a) ou est ou a été instruite selon des procédures visées à l’alinéa 12(1)b).
Note marginale :Autre motif
(2) Le commissaire peut mettre fin à l’examen de tout acte allégué dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.011 de cette loi.
Note marginale :Avis aux parties
(3) Le commissaire avise le plaignant et l’organisation de la fin de l’examen et des motifs qui la justifient.
- 2010, ch. 23, art. 83
- 2015, ch. 32, art. 12
Rapport du commissaire
Note marginale :Contenu
13 (1) Dans l’année suivant, selon le cas, la date du dépôt de la plainte ou celle où il en a pris l’initiative, le commissaire dresse un rapport où :
a) il présente ses conclusions et recommandations;
b) il fait état de tout règlement intervenu entre les parties;
c) il demande, s’il y a lieu, à l’organisation de lui donner avis, dans un délai déterminé, soit des mesures prises ou envisagées pour la mise en oeuvre de ses recommandations, soit des motifs invoqués pour ne pas y donner suite;
d) mentionne, s’il y a lieu, l’existence du recours prévu à l’article 14.
(2) [Abrogé, 2010, ch. 23, art. 84]
Note marginale :Transmission aux parties
(3) Le rapport est transmis sans délai au plaignant et à l’organisation.
- 2000, ch. 5, art. 13
- 2010, ch. 23, art. 84
Audience de la Cour
Note marginale :Demande
14 (1) Après avoir reçu le rapport du commissaire ou l’avis l’informant de la fin de l’examen de la plainte au titre du paragraphe 12.2(3), le plaignant peut demander que la Cour entende toute question qui a fait l’objet de la plainte — ou qui est mentionnée dans le rapport — et qui est visée aux articles 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 ou 4.8 de l’annexe 1, aux articles 4.3, 4.5 ou 4.9 de cette annexe tels qu’ils sont modifiés ou clarifiés par les sections 1 ou 1.1, aux paragraphes 5(3) ou 8(6) ou (7), à l’article 10 ou à la section 1.1.
Note marginale :Délai de la demande
(2) La demande est faite dans l’année suivant la transmission du rapport ou de l’avis ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année.
Note marginale :Précision
(3) Il est entendu que les paragraphes (1) et (2) s’appliquent de la même façon aux plaintes visées au paragraphe 11(2) qu’à celles visées au paragraphe 11(1).
- 2000, ch. 5, art. 14
- 2010, ch. 23, art. 85
- 2015, ch. 32, art. 13
Note marginale :Exercice du recours par le commissaire
15 S’agissant d’une plainte dont il n’a pas pris l’initiative, le commissaire a qualité pour :
a) demander lui-même, dans le délai prévu à l’article 14, l’audition de toute question visée à cet article, avec le consentement du plaignant;
b) comparaître devant la Cour au nom du plaignant qui a demandé l’audition de la question;
c) comparaître, avec l’autorisation de la Cour, comme partie à la procédure.
Note marginale :Réparations
16 La Cour peut, en sus de toute autre réparation qu’elle accorde :
a) ordonner à l’organisation de revoir ses pratiques en vue de se conformer aux sections 1 et 1.1;
b) lui ordonner de publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques, que ces dernières aient ou non fait l’objet d’une ordonnance visée à l’alinéa a);
c) accorder au plaignant des dommages-intérêts, notamment en réparation de l’humiliation subie.
- 2000, ch. 5, art. 16
- 2015, ch. 32, art. 14
Note marginale :Procédure sommaire
17 (1) Le recours prévu aux articles 14 ou 15 est entendu et jugé sans délai et selon une procédure sommaire, à moins que la Cour ne l’estime contre-indiqué.
Note marginale :Précautions à prendre
(2) À l’occasion des procédures relatives au recours prévu aux articles 14 ou 15, la Cour prend toutes les précautions possibles, notamment, si c’est indiqué, par la tenue d’audiences à huis clos et l’audition d’arguments en l’absence d’une partie, pour éviter que ne soient divulgués, de par son propre fait ou celui de quiconque, des renseignements qui justifient un refus de communication de renseignements personnels demandés en vertu de l’article 4.9 de l’annexe 1.
Accord de conformité
Note marginale :Conclusion d’un accord de conformité
17.1 (1) Le commissaire peut, s’il a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission — pouvant constituer une contravention à l’une des dispositions des sections 1 ou 1.1 ou une omission de mettre en oeuvre une recommandation énoncée dans l’annexe 1, conclure avec l’organisation intéressée un accord, appelé « accord de conformité », visant à faire respecter la présente partie.
Note marginale :Conditions
(2) L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la présente partie.
Note marginale :Effet de l’accord de conformité
(3) Lorsqu’un accord de conformité a été conclu, le commissaire :
a) ne peut demander à la Cour, aux termes du paragraphe 14(1) ou de l’alinéa 15a), une audition à l’égard de toute question visée par l’accord;
b) demande la suspension de toute demande d’audition d’une question visée par l’accord qu’il a faite et qui est pendante au moment de la conclusion de l’accord.
Note marginale :Précision
(4) Il est entendu que la conclusion de l’accord n’a pas pour effet d’empêcher les poursuites pour infraction à la présente loi, ou d’empêcher un plaignant — autre que le commissaire — de faire une demande d’audition de la question aux termes de l’article 14.
- 2015, ch. 32, art. 15
Note marginale :Accord respecté
17.2 (1) S’il estime que l’accord de conformité a été respecté, le commissaire en fait part à l’organisation intéressée par avis écrit et il retire toute demande d’audition, faite aux termes du paragraphe 14(1) ou de l’alinéa 15a), d’une question visée par l’accord.
Note marginale :Accord non respecté
(2) S’il estime que l’accord de conformité n’a pas été respecté, le commissaire envoie à l’organisation intéressée un avis de défaut. Il peut alors demander à la Cour :
a) soit une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, en sus de toute autre réparation que la Cour peut accorder;
b) soit une audition de la question, aux termes du paragraphe 14(1) ou de l’alinéa 15a) ou, en cas de suspension de l’audition à la suite d’une demande faite en application de l’alinéa 17.1(3)b), le rétablissement de l’audition.
Note marginale :Délai de la demande
(3) Malgré le paragraphe 14(2), la demande est faite dans l’année suivant l’envoi de l’avis de défaut ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année.
- 2015, ch. 32, art. 15
SECTION 3Vérifications
Note marginale :Contrôle d’application
18 (1) Le commissaire peut, sur préavis suffisant et à toute heure convenable, procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels s’il a des motifs raisonnables de croire que celle-ci a contrevenu à l’une des dispositions des sections 1 ou 1.1 ou n’a pas mis en oeuvre une recommandation énoncée dans l’annexe 1; il a, à cette fin, le pouvoir :
a) d’assigner et de contraindre des témoins à comparaître devant lui, à déposer verbalement ou par écrit sous la foi du serment et à produire les documents ou pièces qu’il juge nécessaires pour procéder à la vérification, de la même façon et dans la même mesure qu’une cour supérieure d’archives;
b) de faire prêter serment;
c) de recevoir les éléments de preuve ou les renseignements — fournis notamment par déclaration verbale ou écrite sous serment — qu’il estime indiqués, indépendamment de leur admissibilité devant les tribunaux;
d) de visiter, à toute heure convenable, tout local — autre qu’une maison d’habitation — occupé par l’organisation, à condition de satisfaire aux normes de sécurité établies par elle pour ce local;
e) de s’entretenir en privé avec toute personne se trouvant dans le local visé à l’alinéa d) et d’y mener les enquêtes qu’il estime nécessaires;
f) d’examiner ou de se faire remettre des copies ou des extraits des documents contenant des éléments utiles à la vérification et trouvés dans le local visé à l’alinéa d).
Note marginale :Délégation
(2) Il peut déléguer les pouvoirs que le paragraphe (1) lui confère.
Note marginale :Renvoi des documents
(3) Le commissaire ou son délégué renvoie les documents ou pièces demandés en vertu du présent article aux personnes ou organisations qui les ont produits dans les dix jours suivant la requête que celles-ci lui présentent à cette fin, mais rien n’empêche le commissaire ou son délégué d’en réclamer une nouvelle production.
Note marginale :Certificat
(4) Chaque personne à qui les pouvoirs visés au paragraphe (1) sont délégués reçoit un certificat attestant sa qualité, qu’il présente, sur demande, au responsable du local qui sera visité en application de l’alinéa (1)d).
- 2000, ch. 5, art. 18
- 2015, ch. 32, art. 16
Note marginale :Rapport des conclusions et recommandations du commissaire
19 (1) À l’issue de la vérification, le commissaire adresse à l’organisation en cause un rapport où il présente ses conclusions ainsi que les recommandations qu’il juge indiquées.
Note marginale :Incorporation du rapport
(2) Ce rapport peut être incorporé dans le rapport visé à l’article 25.
SECTION 4Dispositions générales
Note marginale :Secret
20 (1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2).
Note marginale :Secret — déclarations et registre
(1.1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2).
Note marginale :Intérêt public
(2) Le commissaire peut rendre publique toute information dont il prend connaissance par suite de l’exercice des attributions que la présente partie lui confère, s’il estime que cela est dans l’intérêt public.
Note marginale :Communication de renseignements nécessaires
(3) Il peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — les renseignements qui, à son avis, sont nécessaires pour :
a) examiner une plainte ou procéder à une vérification en vertu de la présente partie;
b) motiver les conclusions et recommandations contenues dans les rapports prévus par la présente partie.
Note marginale :Communication dans le cadre de certaines procédures
(4) Il peut également communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — des renseignements :
a) dans le cadre des procédures intentées pour l’infraction visée à l’article 28;
b) dans le cadre des procédures intentées pour l’infraction visée à l’article 132 du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la présente partie;
c) lors d’une audience de la Cour prévue par cette partie;
d) lors de l’appel de la décision rendue par la Cour;
e) dans le cadre d’un contrôle judiciaire à l’égard de l’exercice des attributions que la présente partie confère au commissaire.
Note marginale :Dénonciation autorisée
(5) Dans les cas où, à son avis, il existe des éléments de preuve touchant la perpétration d’infractions au droit fédéral ou provincial par un cadre ou employé d’une organisation, le commissaire peut faire part au procureur général du Canada ou d’une province, selon le cas, des renseignements qu’il détient à cet égard.
Note marginale :Communication — atteinte aux mesures de sécurité
(6) Le commissaire peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — tout renseignement figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2) à une institution gouvernementale ou à une subdivision d’une telle institution, si le commissaire a des motifs raisonnables de croire qu’il pourrait être utile à une enquête sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être.
Note marginale :Communication de renseignements
(7) Le commissaire peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — des renseignements soit dans le cadre des procédures où il est intervenu au titre de l’alinéa 50c) de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, soit en conformité avec les paragraphes 58(3) ou 60(1) de cette loi.
- 2000, ch. 5, art. 20
- 2010, ch. 23, art. 86
- 2015, ch. 32, art. 17 et 26
Note marginale :Qualité pour témoigner
21 En ce qui concerne les questions venues à leur connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, le commissaire et les personnes agissant en son nom ou sous son autorité n’ont qualité pour témoigner que dans le cadre des procédures intentées pour l’infraction visée à l’article 28 ou pour l’infraction visée à l’article 132 du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la présente partie, lors d’une audience de la Cour prévue par cette partie ou lors de l’appel de la décision rendue par celle-ci.
Note marginale :Immunité du commissaire
22 (1) Le commissaire et les personnes agissant en son nom ou sous son autorité bénéficient de l’immunité en matière civile ou pénale pour les actes accomplis, les rapports établis et les paroles prononcées de bonne foi par suite de l’exercice effectif ou censé tel des attributions que la présente partie confère au commissaire.
Note marginale :Diffamation
(2) Ne peuvent donner lieu à poursuites pour diffamation :
a) les paroles prononcées, les renseignements fournis ou les documents ou pièces produits de bonne foi au cours d’une vérification ou de l’examen d’une plainte effectué par le commissaire ou en son nom dans le cadre de la présente partie;
b) les rapports établis de bonne foi par le commissaire dans le cadre de la présente partie, ainsi que les relations qui en sont faites de bonne foi pour des comptes rendus d’événements d’actualités.
- 2000, ch. 5, art. 22
- 2015, ch. 32, art. 18
Note marginale :Consultation
23 (1) S’il l’estime indiqué ou si tout intéressé le lui demande, le commissaire peut, pour veiller à ce que les renseignements personnels soient protégés de la façon la plus uniforme possible, consulter toute personne ayant, au titre d’une loi provinciale, des attributions semblables à celles du commissaire en matière de protection de tels renseignements.
Note marginale :Accords ou ententes avec les provinces
(2) Il peut conclure des accords ou ententes avec toute personne visée au paragraphe (1) en vue :
a) de coordonner l’activité de leurs bureaux respectifs, notamment de prévoir des mécanismes pour instruire les plaintes dans lesquelles ils ont un intérêt mutuel;
b) d’effectuer des recherches ou d’élaborer des lignes directrices ou d’autres documents en matière de protection des renseignements personnels et de publier ces lignes directrices ou autres documents ou les résultats de ces recherches;
c) d’élaborer des contrats ou autres documents types portant sur la protection des renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre;
d) d’élaborer la procédure à suivre pour la communication des renseignements au titre du paragraphe (3).
Note marginale :Communication de renseignements aux provinces
(3) Le commissaire peut, conformément à toute procédure élaborée au titre de l’alinéa (2)d), communiquer des renseignements à toute personne visée au paragraphe (1) dans le cas où ceux-ci :
a) soit pourraient être utiles à l’examen d’une plainte ou à une vérification — en cours ou éventuelle — au titre de la présente partie ou d’une loi provinciale dont les objectifs sont similaires à ceux de la présente loi;
b) soit pourraient aider la personne ou le commissaire à exercer ses attributions en matière de protection des renseignements personnels.
Note marginale :Fins d’utilisation et confidentialité
(4) La procédure visée à l’alinéa (2)d) :
a) précise que les renseignements ne peuvent être utilisés qu’aux fins auxquelles ils ont été communiqués;
b) prévoit que les renseignements seront traités de manière confidentielle et ne seront pas autrement communiqués sans le consentement exprès du commissaire.
- 2000, ch. 5, art. 23
- 2010, ch. 23, art. 87
Note marginale :Communication de renseignements à des États étrangers
23.1 (1) Sous réserve du paragraphe (3), le commissaire peut, conformément à toute procédure établie au titre de l’alinéa (4)b), communiquer les renseignements mentionnés au paragraphe (2) dont il a pris connaissance à la suite de l’exercice des attributions que lui confère la présente partie à toute personne ou à tout organisme qui, au titre d’une loi d’un État étranger :
a) soit a des attributions semblables à celles du commissaire en matière de protection de renseignements personnels;
b) soit est chargé de réprimer des comportements essentiellement semblables à ceux qui constituent des contraventions au titre de la présente partie.
Note marginale :Renseignements
(2) Les renseignements que le commissaire est autorisé à communiquer au titre du paragraphe (1) sont les suivants :
a) ceux qui, selon lui, pourraient être utiles à une enquête ou à une poursuite — en cours ou éventuelle — relative à une contravention à une loi de l’État étranger visant des comportements essentiellement semblables à ceux qui constituent des contraventions au titre de la présente partie;
b) ceux dont il croit que la communication est nécessaire afin d’obtenir de la personne ou de l’organisme des renseignements qui pourraient être utiles à l’examen d’une plainte ou à une vérification — en cours ou éventuelle — au titre de la présente partie.
Note marginale :Ententes écrites
(3) Le commissaire ne peut communiquer les renseignements à la personne ou à l’organisme visé au paragraphe (1) que s’il a conclu avec la personne ou l’organisme une entente écrite qui, à la fois :
a) précise que seuls les renseignements nécessaires aux fins prévues aux alinéas (2)a) et b) peuvent être communiqués;
b) précise que les renseignements ne peuvent être utilisés qu’aux fins auxquelles ils ont été communiqués;
c) prévoit que les renseignements seront traités de manière confidentielle et ne seront pas autrement communiqués sans le consentement exprès du commissaire.
Note marginale :Conclusion d’ententes
(4) Le commissaire peut conclure des ententes avec toute personne ou tout organisme visés au paragraphe (1), ou avec plusieurs d’entre eux, en vue :
a) d’assurer une coopération en matière de contrôle d’application des lois portant sur la protection des renseignements personnels, notamment la communication des renseignements visés au paragraphe (2) et la mise en place de mécanismes pour l’instruction des plaintes dans lesquelles ils ont un intérêt mutuel;
b) d’établir la procédure à suivre pour communiquer les renseignements mentionnés au paragraphe (2);
c) d’élaborer des documents — recommandations, résolutions, règles, normes ou autres — relativement à la protection des renseignements personnels;
d) d’effectuer des recherches en matière de protection des renseignements personnels et d’en publier les résultats;
e) de partager les connaissances et l’expertise, notamment par l’échange de personnel;
f) de préciser des questions d’intérêt commun et de fixer des priorités en matière de protection des renseignements personnels.
- 2010, ch. 23, art. 87
Note marginale :Promotion de l’objet de la partie
24 Le commissaire :
a) offre au grand public des programmes d’information destinés à lui faire mieux comprendre la présente partie et son objet;
b) fait des recherches liées à la protection des renseignements personnels — et en publie les résultats —, notamment toutes telles recherches que le ministre de l’Industrie demande;
c) encourage les organisations à élaborer des politiques détaillées — notamment des codes de pratiques — en vue de se conformer aux sections 1 et 1.1;
d) prend toute autre mesure indiquée pour la promotion de l’objet de la présente partie.
- 2000, ch. 5, art. 24
- 2015, ch. 32, art. 19
Note marginale :Rapport annuel
25 (1) Dans les trois mois suivant la fin de chaque exercice, le commissaire dépose devant le Parlement son rapport sur l’application de la présente partie, sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à celle-ci et sur l’application de ces lois.
Note marginale :Consultation
(2) Avant de rédiger son rapport, le commissaire consulte les personnes dans les provinces qui, à son avis, sont en mesure de l’aider à faire un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre.
- 2000, ch. 5, art. 25
- 2015, ch. 32, art. 20
Note marginale :Règlements
26 (1) Le gouverneur en conseil peut, par règlement, prendre toute mesure d’application de la présente partie, notamment :
a) préciser, pour l’application de toute disposition de la présente partie, les institutions gouvernementales et les subdivisions d’institutions gouvernementales, à titre particulier ou par catégorie;
a.01) [Abrogé, 2015, ch. 32, art. 21]
a.1) préciser tout renseignement ou toute catégorie de renseignements pour l’application des alinéas 7(1)d), (2)c.1) ou (3)h.1);
b) préciser les renseignements qui doivent être tenus et conservés au titre du paragraphe 10.3(1);
c) prendre toute mesure d’ordre réglementaire prévue par la présente partie.
Note marginale :Décret
(2) Il peut par décret :
a) prévoir que la présente partie lie tout mandataire de Sa Majesté du chef du Canada qui n’est pas assujetti à la Loi sur la protection des renseignements personnels;
b) s’il est convaincu qu’une loi provinciale essentiellement similaire à la présente partie s’applique à une organisation — ou catégorie d’organisations — ou à une activité — ou catégorie d’activités —, exclure l’organisation, l’activité ou la catégorie de l’application de la présente partie à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur de la province en cause;
c) modifier l’annexe 4.
- 2000, ch. 5, art. 26
- 2015, ch. 32, art. 21, ch. 36, art. 165
Note marginale :Dénonciation
27 (1) Toute personne qui a des motifs raisonnables de croire qu’une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir, peut notifier au commissaire des détails sur la question et exiger l’anonymat relativement à cette dénonciation.
Note marginale :Caractère confidentiel
(2) Le commissaire est tenu de garder confidentielle l’identité du dénonciateur auquel il donne l’assurance de l’anonymat.
- 2000, ch. 5, art. 27
- 2015, ch. 32, art. 22
Note marginale :Interdiction
27.1 (1) Il est interdit à l’employeur de congédier un employé, de le suspendre, de le rétrograder, de le punir, de le harceler ou de lui faire subir tout autre inconvénient, ou de le priver d’un avantage lié à son emploi parce que :
a) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a informé le commissaire que l’employeur ou une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir;
b) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a refusé ou a fait part de son intention de refuser d’accomplir un acte qui constitue une contravention à l’une des dispositions des sections 1 ou 1.1;
c) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a accompli ou a fait part de son intention d’accomplir un acte nécessaire pour empêcher la contravention à l’une des dispositions des sections 1 ou 1.1;
d) l’employeur croit que l’employé accomplira un des actes prévus aux alinéas a), b) ou c).
Note marginale :Précision
(2) Le présent article n’a pas pour effet de restreindre les droits d’un employé, que ce soit en général ou dans le cadre d’un contrat de travail ou d’une convention collective.
Note marginale :Définitions
(3) Dans le présent article, employé s’entend notamment d’un travailleur autonome et employeur a un sens correspondant.
- 2000, ch. 5, art. 27.1
- 2015, ch. 32, art. 23
Note marginale :Infraction et peine
28 Quiconque contrevient sciemment au paragraphe 8(8), à l’article 10.1 ou aux paragraphes 10.3(1) ou 27.1(1) ou entrave l’action du commissaire — ou de son délégué — dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt, sur déclaration de culpabilité :
a) par procédure sommaire, une amende maximale de 10 000 $;
b) par mise en accusation, une amende maximale de 100 000 $.
- 2000, ch. 5, art. 28
- 2015, ch. 32, art. 24
Note marginale :Examen par un comité parlementaire
Note de bas de page *29 (1) Le Parlement désigne ou constitue un comité, soit de la Chambre des communes, soit mixte, chargé spécialement de l’examen, tous les cinq ans suivant l’entrée en vigueur de la présente partie, de l’application de celle-ci.
Retour à la référence de la note de bas de page *[Note : Partie 1 en vigueur le 1er janvier 2001, voir TR/2000-29.]
Note marginale :Rapport
(2) Le comité examine les dispositions de la présente partie ainsi que les conséquences de son application en vue de la présentation, dans un délai d’un an à compter du début de l’examen ou tout délai supérieur autorisé par la Chambre des communes, d’un rapport au Parlement où seront consignées ses conclusions ainsi que ses recommandations, s’il y a lieu, quant aux modifications de la présente partie ou de ses modalités d’application qui seraient souhaitables.
SECTION 5Dispositions transitoires
Note marginale :Application
30 (1) La présente partie ne s’applique pas à une organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique dans une province dont la législature a le pouvoir de régir la collecte, l’utilisation ou la communication de tels renseignements, sauf si elle le fait dans le cadre d’une entreprise fédérale ou qu’elle communique ces renseignements pour contrepartie à l’extérieur de cette province.
Note marginale :Application
(1.1) La présente partie ne s’applique pas à une organisation à l’égard des renseignements personnels sur la santé qu’elle recueille, utilise ou communique.
Note marginale :Cessation d’effet
Note de bas de page *(2) Le paragraphe (1) cesse d’avoir effet trois ans après l’entrée en vigueur du présent article.
Retour à la référence de la note de bas de page *[Note : Article 30 en vigueur le 1er janvier 2001, voir TR/2000-29.]
Note marginale :Cessation d’effet
Note de bas de page *(2.1) Le paragraphe (1.1) cesse d’avoir effet un an après l’entrée en vigueur du présent article.
Retour à la référence de la note de bas de page *[Note : Article 30 en vigueur le 1er janvier 2001, voir TR/2000-29.]
PARTIE 2Documents électroniques
Définitions
Note marginale :Définitions
31 (1) Les définitions qui suivent s’appliquent à la présente partie.
- autorité responsable
autorité responsable S’agissant d’une disposition d’un texte législatif, s’entend de ce qui suit :
a) si le texte législatif est une loi fédérale, le ministre responsable de la disposition;
b) si le texte législatif est un texte pris sous le régime d’une loi fédérale ou en vertu d’une prérogative royale, la personne ou l’organisme qui l’a pris;
c) malgré les alinéas a) et b), toute personne ou tout organisme désigné par le gouverneur en conseil en vertu du paragraphe (2). (responsible authority)
- document électronique
document électronique Ensemble de données enregistrées ou mises en mémoire sur quelque support que ce soit par un système informatique ou un dispositif semblable et qui peuvent être lues ou perçues par une personne ou par un tel système ou dispositif. Sont également visés tout affichage et toute sortie imprimée ou autre de ces données. (electronic document)
- données
données Toute forme de représentation d’informations ou de notions. (data)
- signature électronique
signature électronique Signature constituée d’une ou de plusieurs lettres, ou d’un ou de plusieurs caractères, nombres ou autres symboles sous forme numérique incorporée, jointe ou associée à un document électronique. (electronic signature)
- signature électronique sécurisée
signature électronique sécurisée Signature électronique qui résulte de l’application de toute technologie ou de tout procédé prévu par règlement pris en vertu du paragraphe 48(1). (secure electronic signature)
- texte législatif
texte législatif Loi fédérale ou tout texte, quelle que soit son appellation, pris sous le régime d’une loi fédérale ou en vertu d’une prérogative royale, à l’exception d’un texte pris sous le régime de la Loi sur le Yukon, de la Loi sur les Territoires du Nord-Ouest ou de la Loi sur le Nunavut. (federal law)
Note marginale :Désignation
(2) Le gouverneur en conseil peut par décret, pour l’application de la présente partie, désigner toute personne, notamment un membre du Conseil privé de la Reine pour le Canada, ou tout organisme comme autorité responsable d’une disposition d’un texte législatif, s’il est d’avis que les circonstances le justifient.
Objet
Note marginale :Objet
32 La présente partie a pour objet de prévoir l’utilisation de moyens électroniques, de la manière prévue dans la présente partie, dans les cas où les textes législatifs envisagent l’utilisation d’un support papier pour enregistrer ou communiquer de l’information ou des transactions.
Moyens électroniques
Note marginale :Collecte, mise en mémoire, etc.
33 Tout ministre, ministère, direction, bureau, conseil, commission, office, service, personne morale ou autre organisme dont un ministre est responsable devant le Parlement peut faire usage d’un moyen électronique pour créer, recueillir, recevoir, mettre en mémoire, transférer, diffuser, publier ou traiter de quelque autre façon des documents ou de l’information, si aucun moyen particulier n’est prévu à l’égard de ces actes par un texte législatif.
Note marginale :Paiements par voie électronique
34 Tout paiement qui doit être remis au gouvernement du Canada peut être fait sous forme électronique, de la manière que le receveur général précise.
Note marginale :Version électronique des formulaires d’origine législative
35 (1) L’autorité responsable, à l’égard de toute disposition d’une loi fédérale dans laquelle figure un formulaire, peut prendre des règlements prévoyant une version électronique essentiellement semblable, qui peut être utilisée aux mêmes fins que le formulaire figurant dans la disposition.
Note marginale :Mode de dépôt électronique d’origine législative
(2) L’autorité responsable, à l’égard de toute disposition d’une loi fédérale qui prévoit un mode de dépôt non électronique d’un document, peut prendre des règlements prévoyant le dépôt d’une version électronique du document. La version électronique du document déposée conformément à ces règlements est assimilée au document déposé conformément à la disposition.
Note marginale :Mode de transmission de l’information d’origine législative
(3) L’autorité responsable, à l’égard de toute disposition d’une loi fédérale qui prévoit un mode de transmission non électronique de l’information, peut prendre des règlements en prévoyant un mode de transmission électronique. L’information transmise conformément à ces règlements est assimilée à l’information transmise conformément à la disposition.
Note marginale :Pouvoir de prescrire des formulaires
(4) Le pouvoir conféré par un texte législatif de publier, de prescrire ou d’établir un formulaire, ou d’établir un mode de dépôt d’un document ou un mode de transmission de l’information comprend le pouvoir de publier, de prescrire ou d’établir une version électronique du formulaire, ou d’établir un mode de dépôt électronique du document ou un mode de transmission électronique de l’information, selon le cas.
Définition de dépôt
(5) Au présent article, est assimilée au dépôt toute forme de transmission, quelle que soit la désignation de celle-ci.
Note marginale :Preuve par documents
36 La disposition d’un texte législatif qui prévoit qu’un certificat ou autre document portant la signature d’un ministre ou d’un fonctionnaire public fait foi de son contenu et est admissible en preuve vise également, sous réserve du texte législatif, la version électronique du certificat ou autre document si la version électronique porte la signature électronique sécurisée du ministre ou du fonctionnaire public.
Note marginale :Conservation des documents
37 Dans le cas où une disposition d’un texte législatif exige la conservation d’un document pour une période déterminée, à l’égard d’un document électronique, la conservation du document électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) le document électronique est conservé pour la période déterminée sous la forme dans laquelle il a été fait, envoyé ou reçu, ou sous une forme qui ne modifie en rien l’information qu’il contient;
b) cette information sera lisible ou perceptible par quiconque a accès au document électronique et est autorisé à exiger la production de celui-ci;
c) si le document électronique est envoyé ou reçu, l’information qui permet de déterminer son origine et sa destination, ainsi que la date et l’heure d’envoi ou de réception, doit être conservée.
Note marginale :Actes notariés
38 La mention, dans une disposition d’un texte législatif, d’un document reconnu dans la province de Québec comme un acte notarié vaut également mention de la version électronique du document si les conditions suivantes sont réunies :
a) la version électronique du document est reconnue par les lois de la province de Québec comme un acte notarié;
b) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3.
Note marginale :Sceaux
39 Dans le cas où une disposition d’un texte législatif exige l’apposition du sceau d’une personne, la signature électronique sécurisée qui s’identifie comme le sceau de cette personne satisfait à l’obligation si la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3.
Note marginale :Obligation de fournir des documents ou de l’information
40 Dans le cas où une disposition d’un texte législatif — à l’exclusion d’une disposition visée aux articles 41 à 47 — exige qu’une personne fournisse à une autre un document ou de l’information, la fourniture du document ou de l’information sous forme électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
b) les intéressés ont convenu de la fourniture du document ou de l’information sous forme électronique;
c) le document ou l’information sous forme électronique sera mis à la disposition exclusive de la personne à qui le document ou l’information est fourni et sera lisible ou perceptible de façon à pouvoir servir à la consultation ultérieure.
Note marginale :Documents sous forme écrite
41 Dans le cas où une disposition d’un texte législatif exige qu’un document soit fait par écrit, un document électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
b) les règlements visant l’application du présent article à la disposition ont été observés.
Note marginale :Documents originaux
42 Dans le cas où une disposition d’un texte législatif exige l’original d’un document, un document électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
b) le document électronique comporte une signature électronique sécurisée, ajoutée lors de la production originale du document électronique dans sa forme définitive, pouvant être utilisée pour établir que le document électronique n’a pas été modifié depuis;
c) les règlements visant l’application du présent article à la disposition ont été observés.
Note marginale :Signatures
43 Sous réserve des articles 44 à 46, dans le cas où une disposition d’un texte législatif exige une signature, la signature électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
b) les règlements visant l’application du présent article à la disposition ont été observés.
Note marginale :Déclarations sous serment
44 Dans le cas où une disposition d’un texte législatif exige une déclaration sous serment ou une affirmation solennelle, celle-ci peut être faite sous forme électronique si les conditions suivantes sont réunies :
a) l’auteur appose à la déclaration ou à l’affirmation sa signature électronique sécurisée;
b) le commissaire aux serments devant qui a été faite la déclaration ou l’affirmation appose à celle-ci sa signature électronique sécurisée;
c) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
d) les règlements visant l’application du présent article à la disposition ont été observés.
Note marginale :Déclarations
45 Dans le cas où une disposition d’un texte législatif exige une déclaration attestant la véracité, l’exactitude ou l’intégralité d’une information fournie par le déclarant, la déclaration peut être faite sous forme électronique si les conditions suivantes sont réunies :
a) le déclarant y appose sa signature électronique sécurisée;
b) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
c) les règlements visant l’application du présent article à la disposition ont été observés.
Note marginale :Signatures devant témoin
46 Dans le cas où une disposition d’un texte législatif exige la signature d’un témoin, un document électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) chacun des signataires et témoins appose au document électronique sa signature électronique sécurisée;
b) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
c) les règlements visant l’application du présent article à la disposition ont été observés.
Note marginale :Exemplaires
47 Dans le cas où une disposition d’un texte législatif exige la transmission d’un ou de plusieurs exemplaires d’un document, la transmission d’un document électronique satisfait à l’obligation si les conditions suivantes sont réunies :
a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3;
b) les règlements visant l’application du présent article à la disposition ont été observés.
Règlements et décrets
Note marginale :Règlements
48 (1) Sous réserve du paragraphe (2), le gouverneur en conseil peut, sur recommandation du Conseil du Trésor, prendre des règlements pour prévoir des technologies ou des procédés pour l’application de la définition de signature électronique sécurisée au paragraphe 31(1).
Note marginale :Critères
(2) Le gouverneur en conseil ne peut prévoir une technologie ou un procédé que s’il est convaincu qu’il peut être établi ce qui suit :
a) la signature électronique résultant de l’utilisation de la technologie ou du procédé est propre à l’utilisateur;
b) l’utilisation de la technologie ou du procédé pour l’incorporation, l’adjonction ou l’association de la signature électronique de l’utilisateur au document électronique se fait sous la seule responsabilité de ce dernier;
c) la technologie ou le procédé permet d’identifier l’utilisateur;
d) la signature électronique peut être liée au document électronique de façon à permettre de vérifier si le document a été modifié depuis que la signature électronique a été incorporée, jointe ou associée au document.
Note marginale :Effet d’une disposition modifiée ou abrogée
(3) La modification ou l’abrogation d’une disposition d’un règlement pris en vertu du paragraphe (1) qui a pour effet de supprimer une technologie ou un procédé du règlement n’a pas pour effet d’invalider la signature électronique résultant de l’utilisation de la technologie ou du procédé qui était mentionné dans le règlement.
Note marginale :Modification des annexes
49 Pour l’application des articles 38 à 47, l’autorité responsable, à l’égard d’une disposition d’un texte législatif, peut par décret modifier l’annexe 2 ou 3 par adjonction ou suppression de la mention du texte législatif ou de la disposition.
Note marginale :Règlements
50 (1) Pour l’application des articles 41 à 47, l’autorité responsable, à l’égard d’une disposition d’un texte législatif, peut prendre des règlements visant l’application de ces articles à la disposition.
Note marginale :Contenu
(2) Sans que soit limitée la portée générale du paragraphe (1), les règlements qui y sont prévus peuvent comprendre des règles visant notamment :
a) la technologie ou le procédé à utiliser pour faire ou envoyer le document électronique;
b) le format du document électronique;
c) le lieu où le document électronique est fait ou envoyé;
d) les délais et les circonstances dans lesquels le document électronique est présumé avoir été envoyé ou reçu, ainsi que le lieu où le document est présumé avoir été envoyé ou reçu;
e) la technologie ou le procédé à utiliser pour faire ou vérifier une signature électronique et la manière d’utiliser cette signature;
f) tout ce qui est utile à l’application des articles 41 à 47.
Note marginale :Règles minimales
(3) Sans que soit limitée la portée générale du paragraphe (1), si une disposition visée à l’un des articles 41 à 47 exige qu’une personne fournisse à une autre un document ou une information, les règles établies dans les règlements visant l’application de cet article à la disposition peuvent exiger que :
a) les intéressés aient convenu de la fourniture du document ou de l’information sous forme électronique;
b) le document ou l’information sous forme électronique soit mis à la disposition de la personne à qui le document ou l’information est fourni et soit lisible ou perceptible de façon à pouvoir servir à la consultation ultérieure.
Note marginale :Incorporation par renvoi
(4) Les règlements peuvent incorporer par renvoi une version déterminée dans le temps ou la dernière version modifiée des normes ou spécifications adoptées par des personnes physiques ou morales, de droit privé ou de droit public.
Note marginale :Effet d’une disposition supprimée de la liste
51 La suppression de l’inscription d’une disposition ou d’un texte législatif sur la liste figurant à l’annexe 2 ou 3 n’a pas pour effet d’invalider un acte accompli conformément aux règlements relatifs à cette disposition ou à ce texte législatif, pris en vertu de l’article 50, alors que la disposition ou le texte était inscrit sur la liste figurant à l’annexe.
PARTIE 3Modification de la Loi sur la preuve au Canada
52 à 57 [Modifications]
PARTIE 4Modification de la Loi sur les textes réglementaires
58 et 59 [Modifications]
PARTIE 5Modification de la Loi sur la révision des lois
60 à 71 [Modifications]
PARTIE 6Entrée en vigueur
Note marginale :Entrée en vigueur
Note de bas de page *72 Les parties 1 à 5 ou telle de leurs dispositions entrent en vigueur à la date ou aux dates fixées par décret, sur la recommandation :
a) dans le cas des parties 1 et 2 ou de telle de leurs dispositions, du ministre de l’Industrie;
b) dans le cas des parties 3 à 5 ou de telle de leurs dispositions, du ministre de la Justice.
Retour à la référence de la note de bas de page *[Note : Parties 2, 3 et 4 en vigueur le 1er mai 2000; partie 1 en vigueur le 1er janvier 2001, voir TR/2000-29; partie 5 en vigueur le 1er juin 2009, voir TR/2009-42.]
ANNEXE 1(article 5)Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96
4.1 Premier principe — Responsabilité
Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous.
4.1.1
Il incombe à la ou aux personnes désignées de s’assurer que l’organisation respecte les principes même si d’autres membres de l’organisation peuvent être chargés de la collecte et du traitement quotidiens des renseignements personnels. D’autres membres de l’organisation peuvent aussi être délégués pour agir au nom de la ou des personnes désignées.
4.1.2
Il doit être possible de connaître sur demande l’identité des personnes que l’organisation a désignées pour s’assurer que les principes sont respectés.
4.1.3
Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
4.1.4
Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris :
a) la mise en oeuvre des procédures pour protéger les renseignements personnels;
b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite;
c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et
d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
4.2 Deuxième principe — Détermination des fins de la collecte des renseignements
Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
4.2.1
L’organisation doit documenter les fins auxquelles les renseignements personnels sont recueillis afin de se conformer au principe de la transparence (article 4.8) et au principe de l’accès aux renseignements personnels (article 4.9).
4.2.2
Le fait de préciser les fins de la collecte de renseignements personnels avant celle-ci ou au moment de celle-ci permet à l’organisation de déterminer les renseignements dont elle a besoin pour réaliser les fins mentionnées. Suivant le principe de la limitation en matière de collecte (article 4.4), l’organisation ne doit recueillir que les renseignements nécessaires aux fins mentionnées.
4.2.3
Il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Selon la façon dont se fait la collecte, cette précision peut être communiquée de vive voix ou par écrit. Par exemple, on peut indiquer ces fins sur un formulaire de demande de renseignements.
4.2.4
Avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l’utilisation. À moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi, il faut obtenir le consentement de la personne concernée avant d’utiliser les renseignements à cette nouvelle fin. Pour obtenir plus de précisions sur le consentement, se reporter au principe du consentement (article 4.3).
4.2.5
Les personnes qui recueillent des renseignements personnels devraient être en mesure d’expliquer à la personne concernée à quelles fins sont destinés ces renseignements.
4.2.6
Ce principe est étroitement lié au principe de la limitation de la collecte (article 4.4) et à celui de la limitation de l’utilisation, de la communication et de la conservation (article 4.5).
4.3 Troisième principe — Consentement
Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
Note : Dans certaines circonstances, il est possible de recueillir, d’utiliser et de communiquer des renseignements à l’insu de la personne concernée et sans son consentement. Par exemple, pour des raisons d’ordre juridique ou médical ou pour des raisons de sécurité, il peut être impossible ou peu réaliste d’obtenir le consentement de la personne concernée. Lorsqu’on recueille des renseignements aux fins du contrôle d’application de la loi, de la détection d’une fraude ou de sa prévention, on peut aller à l’encontre du but visé si l’on cherche à obtenir le consentement de la personne concernée. Il peut être impossible ou inopportun de chercher à obtenir le consentement d’un mineur, d’une personne gravement malade ou souffrant d’incapacité mentale. De plus, les organisations qui ne sont pas en relation directe avec la personne concernée ne sont pas toujours en mesure d’obtenir le consentement prévu. Par exemple, il peut être peu réaliste pour une oeuvre de bienfaisance ou une entreprise de marketing direct souhaitant acquérir une liste d’envoi d’une autre organisation de chercher à obtenir le consentement des personnes concernées. On s’attendrait, dans de tels cas, à ce que l’organisation qui fournit la liste obtienne le consentement des personnes concernées avant de communiquer des renseignements personnels.
4.3.1
Il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d’utiliser ou de communiquer les renseignements recueillis. Généralement, une organisation obtient le consentement des personnes concernées relativement à l’utilisation et à la communication des renseignements personnels au moment de la collecte. Dans certains cas, une organisation peut obtenir le consentement concernant l’utilisation ou la communication des renseignements après avoir recueilli ces renseignements, mais avant de s’en servir, par exemple, quand elle veut les utiliser à des fins non précisées antérieurement.
4.3.2
Suivant ce principe, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
4.3.3
Une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
4.3.4
La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être.
4.3.5
Dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Par exemple, une personne qui s’abonne à un périodique devrait raisonnablement s’attendre à ce que l’entreprise, en plus de se servir de son nom et de son adresse à des fins de postage et de facturation, communique avec elle pour lui demander si elle désire que son abonnement soit renouvelé. Dans ce cas, l’organisation peut présumer que la demande de la personne constitue un consentement à ces fins précises. D’un autre côté, il n’est pas raisonnable qu’une personne s’attende à ce que les renseignements personnels qu’elle fournit à un professionnel de la santé soient donnés sans son consentement à une entreprise qui vend des produits de soins de santé. Le consentement ne doit pas être obtenu par un subterfuge.
4.3.6
La façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. Le consentement peut également être donné par un représentant autorisé (détenteur d’une procuration, tuteur).
4.3.7
Le consentement peut revêtir différentes formes, par exemple :
a) on peut se servir d’un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer la personne de l’utilisation qui sera faite des renseignements. En remplissant le formulaire et en le signant, la personne donne son consentement à la collecte de renseignements et aux usages précisés;
b) on peut prévoir une case où la personne pourra indiquer en cochant qu’elle refuse que ses nom et adresse soient communiqués à d’autres organisations. Si la personne ne coche pas la case, il sera présumé qu’elle consent à ce que les renseignements soient communiqués à des tiers;
c) le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou
d) le consentement peut être donné au moment où le produit ou le service est utilisé.
4.3.8
Une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. L’organisation doit informer la personne des conséquences d’un tel retrait.
4.4 Quatrième principe — Limitation de la collecte
L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
4.4.1
Les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Conformément au principe de la transparence (article 4.8), les organisations doivent préciser la nature des renseignements recueillis comme partie intégrante de leurs politiques et pratiques concernant le traitement des renseignements.
4.4.2
L’exigence selon laquelle les organisations sont tenues de recueillir des renseignements personnels de façon honnête et licite a pour objet de les empêcher de tromper les gens et de les induire en erreur quant aux fins auxquelles les renseignements sont recueillis. Cette obligation suppose que le consentement à la collecte de renseignements ne doit pas être obtenu par un subterfuge.
4.4.3
Ce principe est étroitement lié au principe de détermination des fins auxquelles la collecte est destinée (article 4.2) et à celui du consentement (article 4.3).
4.5 Cinquième principe — Limitation de l’utilisation, de la communication et de la conservation
Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
4.5.1
Les organisations qui se servent de renseignements personnels à des fins nouvelles doivent documenter ces fins (voir article 4.2.1).
4.5.2
Les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. On doit conserver les renseignements personnels servant à prendre une décision au sujet d’une personne suffisamment longtemps pour permettre à la personne concernée d’exercer son droit d’accès à l’information après que la décision a été prise. Une organisation peut être assujettie à des exigences prévues par la loi en ce qui concerne les périodes de conservation.
4.5.3
On devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels.
4.5.4
Ce principe est étroitement lié au principe du consentement (article 4.3), à celui de la détermination des fins auxquelles la collecte est destinée (article 4.2), ainsi qu’à celui de l’accès individuel (article 4.9).
4.6 Sixième principe — Exactitude
Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.
4.6.1
Le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l’usage auquel ils sont destinés, compte tenu des intérêts de la personne. Les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision à son sujet.
4.6.2
Une organisation ne doit pas systématiquement mettre à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les fins auxquelles ils ont été recueillis.
4.6.3
Les renseignements personnels qui servent en permanence, y compris les renseignements qui sont communiqués à des tiers, devraient normalement être exacts et à jour à moins que des limites se rapportant à l’exactitude de ces renseignements ne soient clairement établies.
4.7 Septième principe — Mesures de sécurité
Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
4.7.1
Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
4.7.2
La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. La notion de sensibilité est présentée à l’article 4.3.4.
4.7.3
Les méthodes de protection devraient comprendre :
a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et
c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
4.7.4
Les organisations doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels.
4.7.5
Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès (article 4.5.3).
4.8 Huitième principe — Transparence
Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
4.8.1
Les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans efforts déraisonnables de l’information au sujet des politiques et des pratiques d’une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible.
4.8.2
Les renseignements fournis doivent comprendre :
a) le nom ou la fonction de même que l’adresse de la personne responsable de la politique et des pratiques de l’organisation et à qui il faut acheminer les plaintes et les demandes de renseignements;
b) la description du moyen d’accès aux renseignements personnels que possède l’organisation;
c) la description du genre de renseignements personnels que possède l’organisation, y compris une explication générale de l’usage auquel ils sont destinés;
d) une copie de toute brochure ou autre document d’information expliquant la politique, les normes ou les codes de l’organisation; et
e) la définition de la nature des renseignements personnels communiqués aux organisations connexes (par exemple, les filiales).
4.8.3
Une organisation peut rendre l’information concernant sa politique et ses pratiques accessibles de diverses façons. La méthode choisie est fonction de la nature des activités de l’organisation et d’autres considérations. Par exemple, une organisation peut offrir des brochures à son établissement, poster des renseignements à ses clients, offrir un accès en ligne ou établir un numéro de téléphone sans frais.
4.9 Neuvième principe — Accès aux renseignements personnels
Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.
Note : Dans certains cas, il peut être impossible à une organisation de communiquer tous les renseignements personnels qu’elle possède au sujet d’une personne. Les exceptions aux exigences en matière d’accès aux renseignements personnels devraient être restreintes et précises. On devrait informer la personne, sur demande, des raisons pour lesquelles on lui refuse l’accès aux renseignements. Ces raisons peuvent comprendre le coût exorbitant de la fourniture de l’information, le fait que les renseignements personnels contiennent des détails sur d’autres personnes, l’existence de raisons d’ordre juridique, de raisons de sécurité ou de raisons d’ordre commercial exclusives et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d’une procédure de nature judiciaire.
4.9.1
Une organisation doit informer la personne qui en fait la demande du fait qu’elle possède des renseignements personnels à son sujet, le cas échéant. Les organisations sont invitées à indiquer la source des renseignements. L’organisation doit permettre à la personne concernée de consulter ces renseignements. Dans le cas de renseignements médicaux sensibles, l’organisation peut préférer que ces renseignements soient communiqués par un médecin. En outre, l’organisation doit informer la personne concernée de l’usage qu’elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués.
4.9.2
Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin.
4.9.3
L’organisation qui fournit le relevé des tiers à qui elle a communiqué des renseignements personnels au sujet d’une personne devrait être la plus précise possible. S’il lui est impossible de fournir une liste des organisations à qui elle a effectivement communiqué des renseignements au sujet d’une personne, l’organisation doit fournir une liste des organisations à qui elle pourrait avoir communiqué de tels renseignements.
4.9.4
Une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.
4.9.5
Lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.
4.9.6
Lorsqu’une contestation n’est pas réglée à la satisfaction de la personne concernée, l’organisation prend note de l’objet de la contestation. S’il y a lieu, les tierces parties ayant accès à l’information en question doivent être informées du fait que la contestation n’a pas été réglée.
4.10 Dixième principe — Possibilité de porter plainte à l’égard du non-respect des principes
Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée.
4.10.1
La question de la désignation de la personne responsable du respect des principes dans l’organisation fait l’objet de l’article 4.1.1.
4.10.2
Les organisations doivent établir des procédures pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite. Les procédures relatives aux plaintes devraient être facilement accessibles et simples à utiliser.
4.10.3
Les organisations doivent informer les personnes qui présentent une demande de renseignements ou déposent une plainte de l’existence des procédures pertinentes. Il peut exister un éventail de ces procédures. Par exemple, certaines autorités réglementaires acceptent les plaintes concernant les pratiques de gestion des renseignements personnels des entreprises relevant de leur compétence.
4.10.4
Une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l’organisation doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques au besoin.
ANNEXE 2(articles 38 à 47, 49 et 51)
Lois fédérales
Colonne 1 | Colonne 2 | |
---|---|---|
Article | Loi fédérale | Dispositions |
1 | Loi sur les immeubles fédéraux et les biens réels fédéraux | Articles 3, 5 à 7, 11 et 16 |
2 | Code canadien du travail | Paragraphe 254(1) |
3 | Loi sur l’arpentage des terres du Canada | Paragraphe 3(2) |
- 2000, ch. 5, ann. 2
- DORS/2004-309, art. 1
- DORS/2008-114
- DORS/2019-84, art. 1
ANNEXE 3(articles 38 à 47, 49 et 51)
Règlements et autres textes
Colonne 1 | Colonne 2 | |
---|---|---|
Article | Règlement ou autre texte | Dispositions |
1 | Règlement concernant les immeubles fédéraux | Articles 9 et 11 [DORS/2005-407] |
1 | Règlement concernant les immeubles fédéraux | Articles 9 et 11 [DORS/2004-309, art. 2] |
- 2000, ch. 5, ann. 3
- DORS/2004-309, art. 2
- DORS/2005-407
ANNEXE 4(paragraphe 4(1.1) et alinéa 26(2)c))
Organisations
Colonne 1 | Colonne 2 | |
---|---|---|
Article | Organisation | Renseignements personnels |
1 |
| Renseignements personnels recueillis, utilisés ou communiqués par l’organisation dans le cadre de ses activités interprovinciales ou internationales |
- 2015, ch. 36, art. 166
MODIFICATIONS NON EN VIGUEUR
— 2024, ch. 17, art. 347
347 (1) Le paragraphe 7(1) de la Loi sur la protection des renseignements personnels et les documents électroniques est modifié par adjonction, après l’alinéa b), de ce qui suit :
b.01) la communication est faite au titre de l’alinéa (3)d.21);
(2) L’alinéa 7(2)d) de la même loi est remplacé par ce qui suit :
d) le renseignement a été recueilli au titre des alinéas (1)a), b), b.01) ou e).
(3) Le paragraphe 7(3) de la même loi est modifié par adjonction, après l’alinéa d.2), de ce qui suit :
d.21) elle est faite à une autre organisation au titre du paragraphe 11.01(1) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes;
— 2024, ch. 17, par. 350(1) et al. 2a)
Projet de loi C-27
350 (1) Les paragraphes (2) à (4) s’appliquent en cas de sanction du projet de loi C-27, déposé au cours de la 1re session de la 44e législature et intitulé Loi de 2022 sur la mise en œuvre de la Charte du numérique (appelé « autre loi » au présent article).
(2) Si l’article 3 de l’autre loi entre en vigueur avant l’article 347 de la présente loi :
a) cet article 347 et l’intertitre le précédant sont abrogés;
- Date de modification :