Loi sur la protection des renseignements personnels numériques (L.C. 2015, ch. 32)

Sanctionnée le 2015-06-18

Loi sur la protection des renseignements personnels numériques

L.C. 2015, ch. 32

Sanctionnée 2015-06-18

Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence

SOMMAIRE

Le texte modifie la Loi sur la protection des renseignements personnels et les documents électroniques afin, notamment :

  • a) de préciser les éléments nécessaires à la validité du consentement à la collecte, à l’utilisation ou à la communication de renseignements personnels;

  • b) de permettre la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement aux fins suivantes :

    • (i) identifier un individu qui est blessé, malade ou décédé, et communiquer avec son parent le plus proche,

    • (ii) prévenir une fraude, la détecter ou y mettre fin,

    • (iii) protéger la victime d’exploitation financière;

  • c) de permettre à des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels, à l’insu de l’intéressé ou sans son consentement et à certaines fins, dans les cas suivants :

    • (i) ils sont contenus dans la déclaration d’un témoin relative à une réclamation d’assurance,

    • (ii) ils sont produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession;

  • d) de permettre à des organisations d’utiliser et de communiquer, à l’insu de l’intéressé ou sans son consentement et à certaines fins, des renseignements personnels afférents à une transaction commerciale, qu’elle soit éventuelle ou déjà effectuée;

  • e) de permettre à des entreprises fédérales de recueillir, d’utiliser et de communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement afin d’établir ou de gérer la relation d’emploi entre elles et lui, ou d’y mettre fin;

  • f) d’exiger que les organisations avisent certains individus et organisations de certaines atteintes aux mesures de sécurité présentant un risque réel de préjudice grave et qu’elles les déclarent au Commissaire à la protection de la vie privée;

  • g) d’exiger que les organisations tiennent et conservent un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion;

  • h) de créer des infractions relatives à la contravention à certaines obligations en matière d’atteintes aux mesures de sécurité;

  • i) de prolonger la période durant laquelle un plaignant peut saisir la Cour fédérale d’une question relative à sa plainte;

  • j) de permettre au Commissaire à la protection de la vie privée, dans certaines circonstances, de conclure avec une organisation un accord de conformité visant à faire respecter la partie 1 de cette loi;

  • k) de modifier l’information que le Commissaire à la protection de la vie privée peut, s’il l’estime dans l’intérêt public, rendre publique.

Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :

TITRE ABRÉGÉ

Note marginale :Titre abrégé

 Loi sur la protection des renseignements personnels numériques.

2000, ch. 5LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES

  •  (1) La définition de « renseignement personnel », au paragraphe 2(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, est remplacée par ce qui suit :

    « renseignement personnel »

    “personal information”

    « renseignement personnel » Tout renseignement concernant un individu identifiable.

  • (2) L’alinéa g) de la définition de « entreprises fédérales », au paragraphe 2(1) de la même loi, est remplacé par ce qui suit :

    • g) les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;

  • (3) Le paragraphe 2(1) de la même loi est modifié par adjonction, selon l’ordre alphabétique, de ce qui suit :

    « atteinte aux mesures de sécurité »

    “breach of security safeguards”

    « atteinte aux mesures de sécurité » Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 ou du fait que ces mesures n’ont pas été mises en place.

    « coordonnées d’affaires »

    “business contact information”

    « coordonnées d’affaires » Tout renseignement permettant d’entrer en contact — ou de faciliter la prise de contact — avec un individu dans le cadre de son emploi, de son entreprise ou de sa profession, tel que son nom, son poste ou son titre, l’adresse ou les numéros de téléphone ou de télécopieur de son lieu de travail ou son adresse électronique au travail.

    « transaction commerciale »

    “business transaction”

    « transaction commerciale » S’entend notamment des transactions suivantes :

    • a) l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;

    • b) la fusion ou le regroupement d’organisations;

    • c) le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;

    • d) le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;

    • e) la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;

    • f) tout autre arrangement prévu par règlement entre des organisations pour la poursuite d’activités d’affaires.

 L’alinéa 4(1)b) de la même loi est remplacé par ce qui suit :

  • b) soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.

 La même loi est modifiée par adjonction, après l’article 4, de ce qui suit :

Note marginale :Coordonnées d’affaires

4.01 La présente partie ne s’applique pas à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession.

 La même loi est modifiée par adjonction, après l’article 6, de ce qui suit :

Note marginale :Validité du consentement

6.1 Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

  •  (1) Le passage du paragraphe 7(1) de la version française de la même loi précédant l’alinéa a) est remplacé par ce qui suit :

    Note marginale :Collecte à l’insu de l’intéressé ou sans son consentement
    • 7. (1) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :

  • (2) L’alinéa 7(1)b) de la version française de la même loi est remplacé par ce qui suit :

    • b) il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’intéressé compromette l’exactitude du renseignement ou l’accès à celui-ci, et la collecte est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial;

  • (3) Le paragraphe 7(1) de la même loi est modifié par adjonction, après l’alinéa b), de ce qui suit :

    • b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la collecte est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;

    • b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte est compatible avec les fins auxquelles il a été produit;

  • (4) Le passage du paragraphe 7(2) de la version française de la même loi précédant l’alinéa a) est remplacé par ce qui suit :

    • Note marginale :Utilisation à l’insu de l’intéressé ou sans son consentement

      (2) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut utiliser de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :

  • (5) Le paragraphe 7(2) de la même loi est modifié par adjonction, après l’alinéa b), de ce qui suit :

    • b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont l’utilisation est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;

    • b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont l’utilisation est compatible avec les fins auxquelles il a été produit;

  • (6) Le passage du paragraphe 7(3) de la version française de la même loi précédant l’alinéa a) est remplacé par ce qui suit :

    • Note marginale :Communication à l’insu de l’intéressé ou sans son consentement

      (3) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants :

  • (7) L’alinéa 7(3)c.1) de la même loi est modifié par adjonction, après le sous-alinéa (iii), de ce qui suit :

    • (iv) qu’elle est demandée afin d’entrer en contact avec le plus proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé;

  • Note marginale :2000, ch. 17, al. 97(1)a)

    (8) L’alinéa 7(3)c.2) de la même loi, édicté par l’alinéa 97(1)a) du chapitre 17 des Lois du Canada (2000), est abrogé.

  • (9) L’alinéa 7(3)d) de la même loi est remplacé par ce qui suit :

    • d) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou une subdivision d’une telle institution et l’organisation :

      • (i) soit a des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être,

      • (ii) soit soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;

  • (10) Le paragraphe 7(3) de la même loi est modifié par adjonction, après l’alinéa d), de ce qui suit :

    • d.1) elle est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête;

    • d.2) elle est faite à une autre organisation et est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin;

    • d.3) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, si les conditions ci-après sont remplies :

      • (i) l’organisation a des motifs raisonnables de croire que l’intéressé a été, est ou pourrait être victime d’exploitation financière,

      • (ii) la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête y ayant trait,

      • (iii) il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci;

    • d.4) elle est nécessaire aux fins d’identification de l’intéressé qui est blessé, malade ou décédé et est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’intéressé ou à son représentant autorisé et, si l’intéressé est vivant, l’organisation en informe celui-ci par écrit et sans délai;

  • (11) Le paragraphe 7(3) de la même loi est modifié par adjonction, après l’alinéa e), de ce qui suit :

    • e.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement;

    • e.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise, ou de sa profession, et dont la communication est compatible avec les fins auxquelles il a été produit;

  • (12) L’alinéa 7(3)f) de la version française de la même loi est remplacé par ce qui suit :

    • f) la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit communiqué, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de la communication avant de la faire;

  • (13) L’alinéa 7(3)h.2) de la même loi est abrogé.

  • (14) L’alinéa 7(3)i) de la version française de la même loi est remplacé par ce qui suit :

    • i) la communication est exigée par la loi.

  • (15) Le paragraphe 7(5) de la même loi est remplacé par ce qui suit :

    • Note marginale :Communication sans consentement

      (5) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux alinéas (3)a) à h.1), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.

 
Date de modification :