Loi sur la protection des renseignements personnels numériques (L.C. 2015, ch. 32)
Texte complet :
- HTMLTexte complet : Loi sur la protection des renseignements personnels numériques (Boutons d’accessibilité disponibles) |
- PDFTexte complet : Loi sur la protection des renseignements personnels numériques [159 KB]
Sanctionnée le 2015-06-18
7. La même loi est modifiée par adjonction, avant l’article 8, de ce qui suit :
Note marginale :Transaction commerciale éventuelle
7.2 (1) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser et communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si, à la fois :
a) elles ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :
(i) à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,
(ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité,
(iii) si la transaction n’a pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à les détruire, dans un délai raisonnable;
b) les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.
Note marginale :Transaction commerciale effectuée
(2) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels, communiqués en vertu du paragraphe (1), à l’insu de l’intéressé ou sans son consentement dans le cas où :
a) elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :
(i) à n’utiliser et ne communiquer les renseignements dont elle a la gestion qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,
(ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité,
(iii) à donner effet à tout retrait de consentement fait en conformité avec l’article 4.3.8 de l’annexe 1;
b) les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;
c) dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’intéressé du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).
Note marginale :Valeur contraignante des accords
(3) L’organisation est tenue de se conformer aux modalités de tout accord conclu aux termes des alinéas (1)a) ou (2)a).
Note marginale :Exception
(4) Les paragraphes (1) et (2) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.
Note marginale :Relation d’emploi
7.3 En plus des cas visés à l’article 7, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, une entreprise fédérale peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin, et si elle a au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins.
Note marginale :Utilisation sans le consentement de l’intéressé
7.4 (1) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, utiliser un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Note marginale :Communication sans le consentement de l’intéressé
(2) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
8. Le paragraphe 8(8) de la version française de la même loi est remplacé par ce qui suit :
Note marginale :Conservation des renseignements
(8) Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente partie.
Note marginale :2000, ch. 17, al. 97(1)c)
9. (1) L’alinéa 9(2.3)a.1) de la même loi, édicté par l’alinéa 97(1)c) du chapitre 17 des Lois du Canada (2000), est abrogé.
(2) Le sous-alinéa 9(2.4)c)(iii) de la version française de la même loi est remplacé par ce qui suit :
(iii) ni le fait que l’institution ou la subdivision s’oppose à ce que l’organisation acquiesce à la demande.
(3) L’alinéa 9(3)a) de la même loi est remplacé par ce qui suit :
a) les renseignements sont protégés par le secret professionnel liant l’avocat ou le notaire à son client;
10. La même loi est modifiée par adjonction, après l’article 10, de ce qui suit :
Section 1.1Atteintes aux mesures de sécurité
Note marginale :Déclaration au commissaire
10.1 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
Note marginale :Modalités de la déclaration
(2) La déclaration contient les renseignements prévus par règlement et est faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Note marginale :Avis à l’intéressé
(3) À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.
Note marginale :Contenu de l’avis
(4) L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire.
Note marginale :Modalités de l’avis
(5) L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires.
Note marginale :Délai de l’avis
(6) L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Définition de « préjudice grave »
(7) Pour l’application du présent article, « préjudice grave » vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
Note marginale :Risque réel de préjudice grave : facteurs
(8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.
Note marginale :Avis à une organisation
10.2 (1) L’organisation qui, en application du paragraphe 10.1(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à des conditions précisées par règlement.
Note marginale :Délai de l’avis
(2) Elle le fait le plus tôt possible après avoir conclu qu’il y a eu atteinte.
Note marginale :Communication de renseignements personnels
(3) En plus des cas visés au paragraphe 7(3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si :
a) d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou la subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe (1);
b) d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’intéressé qui pourrait résulter de l’atteinte ou atténuer ce préjudice.
Note marginale :Communication sans consentement
(4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans le cas visé au paragraphe (3), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.
Note marginale :Registre
10.3 (1) L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion.
Note marginale :Accès au registre ou copie
(2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.
11. Le paragraphe 11(1) de la même loi est remplacé par ce qui suit :
Note marginale :Violation
11. (1) Tout intéressé peut déposer auprès du commissaire une plainte contre une organisation qui contrevient à l’une des dispositions des sections 1 ou 1.1, ou qui omet de mettre en oeuvre une recommandation énoncée dans l’annexe 1.
12. Le paragraphe 12.2(1) de la même loi est modifié par adjonction, après l’alinéa c), de ce qui suit :
c.1) que la question qui a donné lieu à la plainte fait l’objet d’un accord de conformité conclu en vertu du paragraphe 17.1(1);
- Date de modification :