Passer au contenu
;

Projet de loi C-11

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Passer à la navigation dans le document Passer au contenu du document

Second Session, Forty-third Parliament,

69 Elizabeth II, 2020

Deuxième session, quarante-troisième législature,

69 Elizabeth II, 2020

HOUSE OF COMMONS OF CANADA

CHAMBRE DES COMMUNES DU CANADA

BILL C-11
An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts

PROJET DE LOI C-11
Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois

FIRST READING, November 17, 2020
PREMIÈRE LECTURE LE 17 novembre 2020

MINISTER OF INNOVATION, SCIENCE AND INDUSTRY

MINISTRE DE L’INNOVATION, DES SCIENCES ET DE L’INDUSTRIE

90964


SOMMAIRE

SUMMARY

La partie 1 édicte la Loi sur la protection de la vie privée des consommateurs afin de protéger les renseignements personnels des individus tout en reconnaissant le besoin des organisations de recueillir, d’utiliser ou de communiquer de tels renseignements dans le cadre de leurs activités commerciales. En conséquence, elle abroge la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques et remplace le titre abrégé de cette loi par le titre Loi sur les documents électroniques. Elle apporte aussi des modifications corrélatives et connexes à d’autres lois.

Part 1 enacts the Consumer Privacy Protection Act to protect the personal information of individuals while recognizing the need of organizations to collect, use or disclose personal information in the course of commercial activities. In consequence, it repeals Part 1 of the Personal Information Protection and Electronic Documents Act and changes the short title of that Act to the Electronic Documents Act. It also makes consequential and related amendments to other Acts.

La partie 2 édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données qui constitue un tribunal administratif pour entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée au titre de la Loi sur la protection de la vie privée des consommateurs et pour infliger des pénalités relatives à la contravention de certaines dispositions de cette dernière loi. De plus, elle apporte une modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs.

Part 2 enacts the Personal Information and Data Protection Tribunal Act, which establishes an administrative tribunal to hear appeals of certain decisions made by the Privacy Commissioner under the Consumer Privacy Protection Act and to impose penalties for the contravention of certain provisions of that Act. It also makes a related amendment to the Administrative Tribunals Support Service of Canada Act.

Available on the House of Commons website at the following address:
www.ourcommons.ca
Disponible sur le site Web de la Chambre des communes à l’adresse suivante :
www.noscommunes.ca


TABLE ANALYTIQUE

TABLE OF PROVISIONS

Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois
An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts
Titre abrégé
Short Title
1

Loi de 2020 sur la mise en œuvre de la Charte du numérique

1

Digital Charter Implementation Act, 2020

PARTIE 1
PART 1
Loi sur la protection de la vie privée des consommateurs
Consumer Privacy Protection Act
2

Édiction

2

Enactment

Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
1

Loi sur la protection de la vie privée des consommateurs

1

Consumer Privacy Protection Act

Définitions
Interpretation
2

Définitions

2

Definitions

3

Désignation du ministre

3

Order designating Minister

4

Personnes autorisées

4

Authorized representatives

Objet et champ d’application
Purpose and Application
5

Objet

5

Purpose

6

Champ d’application

6

Application

PARTIE 1
PART 1
Obligations des organisations
Obligations of Organizations
Responsabilité des organisations
Accountability of Organizations
7

Responsabilité à l’égard des renseignements personnels

7

Accountability — personal information under organization’s control

8

Individus désignés

8

Designated individual

9

Programme de gestion de la protection des renseignements personnels

9

Privacy management program

10

Accès aux politiques, pratiques et procédures

10

Access by Commissioner — policies, practices and procedures

11

Protection équivalente

11

Same protection

Fins acceptables
Appropriate Purposes
12

Fins acceptables

12

Appropriate purposes

Limite : collecte, utilisation et communication
Limiting Collection, Use and Disclosure
13

Limite : collecte

13

Limiting collection

14

Fin nouvelle

14

New purpose

Consentement
Consent
15

Consentement requis

15

Consent required

16

Consentement obtenu par subterfuge

16

Consent obtained by deception

17

Retrait du consentement

17

Withdrawal of consent

Consentement : exceptions
Exceptions to Requirement for Consent
Activités d’affaires
Business Operations
18

Activités d’affaires

18

Business activities

19

Transfert à des fournisseurs de services

19

Transfer to service provider

20

Renseignements dépersonnalisés

20

De-identification of personal information

21

Recherche et développement

21

Research and development

22

Transaction commerciale éventuelle

22

Prospective business transaction

23

Renseignement produit par l’individu

23

Information produced in employment, business or profession

24

Relation d’emploi : entreprise fédérale

24

Employment relationship — federal work, undertaking or business

25

Communication à un avocat ou un notaire

25

Disclosure to lawyer or notary

26

Déclaration d’un témoin

26

Witness statement

27

Prévention, détection et suppression de la fraude

27

Prevention, detection or suppression of fraud

28

Recouvrement de créances

28

Debt collection

Intérêt public
Public Interest
29

Intérêt de l’individu

29

Individual’s interest

30

Situation d’urgence : utilisation

30

Emergency — use

31

Situation d’urgence : communication

31

Emergency — disclosure

32

Identification d’un individu

32

Identification of individual

33

Communication : proche parent ou représentant autorisé

33

Communication with next of kin or authorized representative

34

Exploitation financière

34

Financial abuse

35

Statistiques, études ou recherches

35

Statistical or scholarly study or research

36

Importance historique ou archivistique

36

Records of historic or archival importance

37

Communication après une période de temps

37

Disclosure after period of time

38

Fins journalistiques, artistiques ou littéraires

38

Journalistic, artistic or literary purposes

39

Fins socialement bénéfiques

39

Socially beneficial purposes

Enquêtes
Investigations
40

Violation d’un accord ou contravention au droit

40

Breach of agreement or contravention

41

Utilisation à des fins d’enquête

41

Use for investigations

42

Atteinte aux mesures de sécurité

42

Breach of security safeguards

Communication à une institution gouvernementale
Disclosures to Government Institutions
43

Application du droit

43

Administering law

44

Contrôle d’application : demande de l’institution gouvernementale

44

Law enforcement — request of government institution

45

Contravention au droit : sur initiative de l’organisation

45

Contravention of law — initiative of organization

46

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes

46

Proceeds of Crime (Money Laundering) and Terrorist Financing Act

47

Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale

47

Request by government institution — national security, defence or international affairs

48

Sécurité nationale, défense et affaires internationales : initiative de l’organisation

48

Initiative of organization — national security, defence or international affairs

Exigence de la loi
Required by Law
49

Collecte en vue d’une communication exigée par la loi

49

Required by law — collection

50

Assignation, mandat ou ordonnance

50

Subpoena, warrant or order

Renseignements publics
Publicly Available Information
51

Renseignements réglementaires

51

Information specified by regulations

Non-application de certaines exceptions : adresse électronique et programme d’ordinateur
Non-application of Certain Exceptions — Electronic Addresses and Computer Systems
52

Définitions

52

Definitions

Conservation et retrait des renseignements personnels
Retention and Disposal of Personal Information
53

Durée de conservation et retrait

53

Period for retention and disposal

54

Renseignements personnels utilisés pour prendre une décision

54

Personal information used for decision-making

55

Retrait à la demande de l’individu

55

Disposal at individual’s request

Exactitude des renseignements personnels
Accuracy of Personal Information
56

Exactitude des renseignements

56

Accuracy of information

Mesures de sécurité
Security Safeguards
57

Mesures de sécurité

57

Security safeguards

58

Déclaration au commissaire

58

Report to Commissioner

59

Avis à une organisation

59

Notification to organizations

60

Registre

60

Records

61

Fournisseur de services

61

Service providers

Ouverture et transparence
Openness and Transparency
62

Politiques et pratiques

62

Policies and practices

Accès et rectification
Access to and Amendment of Personal Information
63

Information et accès

63

Information and access

64

Demande par écrit

64

Request in writing

65

Renseignements nécessaires

65

Information to be provided

66

Langage clair

66

Plain language

67

Délai de réponse

67

Time limit

68

Coût

68

Costs for responding

69

Conservation des renseignements

69

Retention of information

70

Cas où la communication est interdite

70

When access prohibited

71

Modification des renseignements personnels

71

Amendment of personal information

Mobilité des renseignements personnels
Mobility of Personal Information
72

Communication conformément à un cadre de mobilité des données

72

Disclosure under data mobility framework

Contestation de la conformité
Challenging Compliance
73

Plaintes et demandes de renseignements

73

Complaints and requests for information

Renseignements dépersonnalisés
De-identification of Personal Information
74

Proportionnalité des procédés techniques et administratifs

74

Proportionality of technical and administrative measures

75

Interdiction 

75

Prohibition

PARTIE 2
PART 2
Attributions du commissaire et dispositions générales
Commissioner’s Powers, Duties and Functions and General Provisions
Codes de pratique et programmes de certification
Codes of Practice and Certification Programs
76

Définition de entité

76

Definition of entity

77

Programme de certification

77

Certification program

78

Réponse du commissaire

78

Response by Commissioner

79

Décision publique

79

Approval made public

80

Précision

80

For greater certainty

81

Pouvoirs du commissaire

81

Powers of Commissioner

Recours
Recourses
Dépôt des plaintes
Filing of Complaints
82

Contravention

82

Contravention

Examen des plaintes et règlement des différends
Investigation of Complaints and Dispute Resolution
83

Examen des plaintes par le commissaire

83

Investigation of complaint by Commissioner

84

Mode de règlement des différends

84

Dispute resolution mechanisms

Fin de l’examen
Discontinuance of Investigation
85

Motifs

85

Reasons

Accord de conformité
Compliance Agreements
86

Conclusion d’un accord de conformité

86

Entering into compliance agreement

Avis
Notification
87

Avis et motifs

87

Notification and reasons

Investigation
Inquiry
88

Investigation : plainte

88

Inquiry — complaint

89

Investigation : accord de conformité

89

Inquiry — compliance agreement

90

Règles de preuve

90

Nature of inquiries

91

Procédure

91

Procedure

92

Conclusion de l’investigation

92

Decision

Pénalités
Penalties
93

Recommandation

93

Recommendation

94

Infliction d’une pénalité

94

Imposition of penalty

95

Recouvrement

95

Recovery as debt due to Her Majesty

Vérification
Audits
96

Vérification de la conformité

96

Ensure compliance

97

Rapport des conclusions et recommandations du commissaire

97

Report of findings and recommendations

Pouvoirs du commissaire : examens, investigations et vérifications
Commissioner’s Powers — Investigations, Inquiries and Audits
98

Pouvoirs du commissaire

98

Powers of Commissioner

99

Délégation

99

Delegation

Appels
Appeals
100

Droit d’appel

100

Right of appeal

101

Appel avec autorisation

101

Appeal with leave

102

Sort de l’appel

102

Disposition of appeals

Exécution des ordonnances
Enforcement of Orders
103

Ordonnances de conformité

103

Compliance orders

104

Ordonnances du Tribunal

104

Tribunal orders

105

Dépôt au greffe de la cour

105

Filing with Court

Droit privé d’action
Private Right of Action
106

Dommages et intérêts : contravention

106

Damages — contravention of Act

Certificat délivré au titre de la Loi sur la preuve au Canada
Certificate Under Canada Evidence Act
107

Certificat délivré au titre de la Loi sur la preuve au Canada

107

Certificate under Canada Evidence Act

Attributions du commissaire
Powers, Duties and Functions of Commissioner
108

Éléments à prendre en compte

108

Factors to consider

109

Promotion de l’objet de la loi

109

Promoting purposes of Act

110

Interdiction : utilisation des renseignements

110

Prohibition — use for initiating complaint or audit

111

Manière d’exercer ses attributions

111

Information — powers, duties or functions

112

Secret

112

Confidentiality

113

Qualité pour témoigner

113

Not competent witness

114

Immunité du commissaire

114

Protection of Commissioner

115

Accords ou ententes : CRTC et commissaire de la concurrence

115

Agreements or arrangements — CRTC and Commissioner of Competition

116

Consultation avec les provinces

116

Consultations with provinces

117

Communication de renseignements à des États étrangers

117

Disclosure of information to foreign state

118

Rapport annuel

118

Annual report

Dispositions générales
General
119

Règlements

119

Regulations

120

Cadre de mobilité des données

120

Data mobility frameworks

121

Traitement différent : catégories

121

Distinguishing — classes

122

Règlements : codes de pratique et programmes de certification

122

Regulations — codes of conduct and certification programs

123

Dénonciation

123

Whistleblowing

124

Interdiction

124

Prohibition

125

Infraction et peine

125

Offence and punishment

126

Examen par un comité parlementaire

126

Review by parliamentary committee

Modifications corrélatives et connexes
Consequential and Related Amendments
3

Loi sur la protection des renseignements personnels et les documents électroniques

3

Personal Information Protection and Electronic Documents Act

9

Loi sur l’accès à l’information

9

Access to Information Act

10

Loi sur l’aéronautique

10

Aeronautics Act

11

Loi sur la preuve au Canada

11

Canada Evidence Act

13

Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes

13

Canadian Radio-television and Telecommunications Commission Act

14

Loi sur la concurrence

14

Competition Act

15

Loi canadienne sur les sociétés par actions

15

Canada Business Corporations Act

16

Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles

16

Public Servants Disclosure Protection Act

19

Chapitre 23 des Lois du Canada (2010)

19

Chapter 23 of the Statutes of Canada, 2010

31

Loi sur la modernisation des transports

31

Transportation Modernization Act

Modifications terminologiques
Terminology
32

Remplacement de « Loi sur la protection des renseignements personnels et les documents électroniques »

32

Replacement of “Personal Information Protection and Electronic Documents Act

Dispositions transitoires
Transitional Provisions
33

Définitions

33

Definitions

Dispositions de coordination
Coordinating Amendments
34

2018, ch. 10

34

2018, c. 10

PARTIE 2
PART 2
Loi sur le Tribunal de la protection des renseignements personnels et des données
Personal Information and Data Protection Tribunal Act
35

Édiction

35

Enactment

Loi portant constitution du Tribunal de la protection des renseignements personnels et des données
An Act to establish the Personal Information and Data Protection Tribunal
1

Loi sur le Tribunal de la protection des renseignements personnels et des données

1

Personal Information and Data Protection Tribunal Act

2

Définition de ministre

2

Definition of Minister

3

Désignation du ministre

3

Order designating Minister

4

Constitution

4

Establishment

5

Compétence

5

Jurisdiction

6

Membres

6

Members

7

Président et vice-président

7

Chairperson and Vice-Chairperson

8

Fonctions du président

8

Duties of Chairperson

9

Intérim — président

9

Acting Chairperson

10

Mandat

10

Term of office

11

Rémunération

11

Remuneration

12

Incompatibilité

12

Inconsistent interests

13

Siège

13

Principal office

14

Séances

14

Sittings

15

Audiences

15

Nature of hearings

16

Pouvoirs

16

Powers

17

Motifs

17

Reasons

18

Décisions publiques

18

Public availability — decisions

19

Règles de procédure

19

Rules

20

Dépens

20

Costs

21

Décision définitive

21

Decisions final

Modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs
Related Amendment to the Administrative Tribunals Support Service of Canada Act
36
36
PARTIE 3
PART 3
Entrée en vigueur
Coming into Force
37

Décret

37

Order in council

ANNEXE 
SCHEDULE 
ANNEXE 
SCHEDULE 


2nd Session, 43rd Parliament,

69 Elizabeth II, 2020

2e session, 43e législature,

69 Elizabeth II, 2020

HOUSE OF COMMONS OF CANADA

CHAMBRE DES COMMUNES DU CANADA

BILL C-11

PROJET DE LOI C-11

An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts

Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois

Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :

Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:

Titre abrégé

Short Title

Titre abrégé

Short title

1Loi de 2020 sur la mise en œuvre de la Charte du numérique.

1This Act may be cited as the Digital Charter Implementation Act, 2020.

PARTIE 1
Loi sur la protection de la vie privée des consommateurs

PART 1
Consumer Privacy Protection Act

Édiction de la loi

Enactment of Act

Édiction

Enactment

2Est édictée la Loi sur la protection de la vie privée des consommateurs, dont le texte suit et dont l’annexe figure à l’annexe de la présente loi :

2The Consumer Privacy Protection Act, whose text is as follows and whose schedule is set out in the schedule to this Act, is enacted:

Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
Titre abrégé
Short title

1Loi sur la protection de la vie privée des consommateurs.

1This Act may be cited as the Consumer Privacy Protection Act.

Définitions
Interpretation
Définitions
Definitions

2Les définitions qui suivent s’appliquent à la présente loi.

activité commerciale Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial, compte tenu des objectifs de l’organisation qui exerce l’activité ou commet l’acte, du contexte dans lequel l’activité est exercée ou l’acte est posé, des personnes en cause et des résultats de l’activité ou de l’acte.‍ (commercial activity)

atteinte aux mesures de sécurité Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 57 ou du fait que ces mesures n’ont pas été mises en place.‍ (breach of security safeguards)

commissaire Le Commissaire à la protection de la vie privée nommé en application de l’article 53 de la Loi sur la protection des renseignements personnels.‍ (Commissioner)

dépersonnaliser Modifier des renseignements personnels — ou créer des renseignements à partir de renseignements personnels — au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu.‍ (de-identify)

document Éléments d’information, quel qu’en soit la forme ou le support.‍ (record)

entreprises fédérales Les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement. Sont compris parmi les entreprises fédérales :

a)les installations, ouvrages, entreprises ou secteurs d’activité qui se rapportent à la navigation et aux transports par eau, notamment l’exploitation de navires et le transport par navire partout au Canada;

b)les installations ou ouvrages, notamment les chemins de fer, canaux ou liaisons télégraphiques, reliant une province à une autre, ou débordant les limites d’une province, et les entreprises correspondantes;

c)les lignes de transport par bateaux à vapeur ou autres navires, reliant une province à une autre, ou débordant les limites d’une province;

d)les passages par eaux entre deux provinces ou entre une province et un pays étranger;

e)les aéroports, aéronefs ou lignes de transport aérien;

f)les stations de radiodiffusion;

g)les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;

h)les ouvrages qui, bien qu’entièrement situés dans une province, sont, avant ou après leur réalisation, déclarés par le Parlement être à l’avantage général du Canada ou à l’avantage de plusieurs provinces;

i)les installations, ouvrages, entreprises ou secteurs d’activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales;

j)les installations, ouvrages, entreprises ou secteurs d’activité auxquels le droit, au sens de l’alinéa a) de la définition de droit à l’article 2 de la Loi sur les océans, s’applique en vertu de l’article 20 de cette loi et des règlements pris en vertu de l’alinéa 26(1)k) de la même loi.‍ (federal work, undertaking or business)

fournisseur de services Toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins.‍ (service provider)

ministre Le membre du Conseil privé de la Reine pour le Canada désigné en vertu de l’article 3 ou, à défaut de désignation, le ministre de l’Industrie.‍ (Minister)

organisation S’entend notamment des associations, sociétés de personnes, personnes et organisations syndicales.‍ (organization)

renseignement personnel Tout renseignement concernant un individu identifiable.‍ (personal information)

retrait Suppression définitive et irréversible de renseignements personnels.‍ (disposal)

support de substitution Tout support permettant à un individu ayant une déficience sensorielle de lire ou d’écouter des renseignements personnels.‍ (alternative format)

système décisionnel automatisé Technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux.‍ (automated decision system)

transaction commerciale S’entend notamment des transactions suivantes :

a)l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;

b)la fusion ou le regroupement d’organisations;

c)le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;

d)le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;

e)la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;

f)tout autre arrangement réglementaire entre des organisations pour la poursuite d’activités d’affaires.‍ (business transaction)

Tribunal Tribunal de la protection des renseignements personnels et des données constitué en vertu de l’article 4 de la Loi sur le Tribunal de la protection des renseignements personnels et des données.‍ (Tribunal)

2The following definitions apply in this Act.

alternative format, with respect to personal information, means a format that allows an individual with a sensory disability to read or listen to the personal information.‍ (support de substitution)

automated decision system means any technology that assists or replaces the judgement of human decision-makers using techniques such as rules-based systems, regression analysis, predictive analytics, machine learning, deep learning and neural nets.‍ (système décisionnel automatisé)

breach of security safeguards means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in section 57 or from a failure to establish those safeguards.‍ (atteinte aux mesures de sécurité)

business transaction includes

(a)the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;

(b)the merger or amalgamation of two or more organizations;

(c)the making of a loan or provision of other financing to an organization or a part of an organization;

(d)the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;

(e)the lease or licensing of any of an organization’s assets; and

(f)any other prescribed arrangement between two or more organizations to conduct a business activity.‍ (transaction commerciale)

commercial activity means any particular transaction, act or conduct or any regular course of conduct that is of a commercial character, taking into account an organization’s objectives for carrying out the transaction, act or conduct, the context in which it takes place, the persons involved and its outcome.‍ (activité commerciale)

Commissioner means the Privacy Commissioner appointed under section 53 of the Privacy Act.‍ (commissaire)

de-identify means to modify personal information — or create information from personal information — by using technical processes to ensure that the information does not identify an individual or could not be used in reasonably foreseeable circumstances, alone or in combination with other information, to identify an individual.‍ (dépersonnaliser)

disposal means the permanent and irreversible deletion of personal information.‍ (retrait)

federal work, undertaking or business means any work, undertaking or business that is within the legislative authority of Parliament. It includes

(a)a work, undertaking or business that is operated or carried on for or in connection with navigation and shipping, whether inland or maritime, including the operation of ships and transportation by ship anywhere in Canada;

(b)a railway, canal, telegraph or other work or undertaking that connects a province with another province, or that extends beyond the limits of a province;

(c)a line of ships that connects a province with another province, or that extends beyond the limits of a province;

(d)a ferry between a province and another province or between a province and a country other than Canada;

(e)aerodromes, aircraft or a line of air transportation;

(f)a radio broadcasting station;

(g)a bank or an authorized foreign bank as defined in section 2 of the Bank Act;

(h)a work that, although wholly situated within a province, is before or after its execution declared by Parliament to be for the general advantage of Canada or for the advantage of two or more provinces;

(i)a work, undertaking or business outside the exclusive legislative authority of the legislatures of the provinces; and

(j)a work, undertaking or business to which federal laws, within the meaning of section 2 of the Oceans Act, apply under section 20 of that Act and any regulations made under paragraph 26(1)‍(k) of that Act.‍ (entreprises fédérales)

Minister means the member of the Queen’s Privy Council for Canada designated under section 3 or, if no member is designated, the Minister of Industry.‍ (ministre)

organization includes an association, a partnership, a person or a trade union.‍ (organisation)

personal information means information about an identifiable individual.‍ (renseignement personnel)

prescribed means prescribed by regulation.‍ (Version anglaise seulement)

record means any documentary material, regardless of medium or form.‍ (document)

service provider means an organization, including a parent corporation, subsidiary, affiliate, contractor or subcontractor, that provides services for or on behalf of another organization to assist the organization in fulfilling its purposes.‍ (fournisseur de services)

Tribunal means the Personal Information and Data Protection Tribunal established under section 4 of the Personal Information and Data Protection Tribunal Act.‍ (Tribunal)

Désignation du ministre
Order designating Minister

3Le gouverneur en conseil peut, par décret, désigner tout membre du Conseil privé de la Reine pour le Canada à titre de ministre chargé de l’application de la présente loi.

3The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Act.

Personnes autorisées
Authorized representatives

4Les droits et recours prévus par la présente loi peuvent être exercés :

a)au nom du mineur ou de l’individu frappé d’une autre incapacité juridique, par la personne autorisée par la loi à gérer les affaires ou les biens de celui-ci;

b)au nom de l’individu décédé, par la personne autorisée par la loi à gérer la succession de cet individu, mais aux seules fins de gérer la succession;

c)au nom de tout autre individu, par la personne ayant reçu à cette fin une autorisation écrite de cet individu.

4The rights and recourses provided under this Act may be exercised

(a)on behalf of a minor or an individual under any other legal incapacity by a person authorized by or under law to administer the affairs or property of that individual;

(b)on behalf of a deceased individual by a person authorized by or under law to administer the estate or succession of that individual, but only for the purpose of that administration; and

(c)on behalf of any other individual by any person authorized in writing to do so by the individual.

Objet et champ d’application
Purpose and Application
Objet
Purpose

5La présente loi a pour objet de fixer, dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels, des règles régissant la protection des renseignements personnels d’une manière qui tient compte du droit à la vie privée des individus quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

5The purpose of this Act is to establish — in an era in which data is constantly flowing across borders and geographical boundaries and significant economic activity relies on the analysis, circulation and exchange of personal information — rules to govern the protection of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.

Champ d’application
Application

6(1)La présente loi s’applique à toute organisation à l’égard des renseignements personnels :

a)soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales;

b)soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.

6(1)This Act applies to every organization in respect of personal information that

(a)the organization collects, uses or discloses in the course of commercial activities; or

(b)is about an employee of, or an applicant for employment with, the organization and that the organization collects, uses or discloses in connection with the operation of a federal work, undertaking or business.

Précision
For greater certainty

(2)Il est entendu que la présente loi s’applique relativement à la collecte, à l’utilisation et à la communication de renseignements personnels, par une organisation, à l’échelle interprovinciale, internationale et, dans la mesure où l’organisation n’est pas exclue de l’application de la présente loi par décret pris en vertu de l’alinéa 119(2)b), intraprovinciale.

(2)For greater certainty, this Act applies in respect of personal information

(a)that is collected, used or disclosed interprovincially or internationally by an organization; or

(b)that is collected, used or disclosed by an organization within a province, to the extent that the organization is not exempt from the application of this Act under an order made under paragraph 119(2)‍(b).

Application
Application

(3)La présente loi s’applique également à toute organisation figurant à la colonne 1 de l’annexe à l’égard des renseignements personnels figurant à la colonne 2.

(3)This Act also applies to an organization set out in column 1 of the schedule in respect of personal information set out in column 2.

Limite
Limit

(4)Elle ne s’applique pas :

a)aux institutions fédérales auxquelles s’applique la Loi sur la protection des renseignements personnels;

b)aux individus à l’égard des renseignements personnels qu’ils recueillent, utilisent ou communiquent uniquement à des fins personnelles ou domestiques;

c)aux organisations à l’égard des renseignements personnels qu’elles recueillent, utilisent ou communiquent uniquement à des fins journalistiques, artistiques ou littéraires;

d)aux organisations à l’égard des renseignements personnels de tout individu qu’elles recueillent, utilisent ou communiquent uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession;

e)aux organisations soustraites à l’application de la présente loi par décret pris en vertu de l’alinéa 119(2)b) à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels à l’intérieur de la province en cause.

(4)This Act does not apply to

(a)any government institution to which the Privacy Act applies;

(b)any individual in respect of personal information that the individual collects, uses or discloses solely for personal or domestic purposes;

(c)any organization in respect of personal information that the organization collects, uses or discloses solely for journalistic, artistic or literary purposes;

(d)any organization in respect of an individual’s personal information that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession; or

(e)any organization that is, under an order made under paragraph 119(2)‍(b), exempt from the application of this Act in respect of the collection, use or disclosure of personal information that occurs within a province in respect of which the order was made.

Autre loi
Other Acts

(5)Les dispositions de la présente loi s’appliquent malgré toute disposition — édictée après le 31 décembre 2000 — d’une autre loi fédérale, sauf dérogation expresse de la disposition de l’autre loi.

(5)Every provision of this Act applies despite any provision, enacted after December 31, 2000, of any other Act of Parliament, unless the other Act expressly declares that that provision operates despite the provision of this Act.

PARTIE 1
Obligations des organisations
PART 1
Obligations of Organizations
Responsabilité des organisations
Accountability of Organizations
Responsabilité à l’égard des renseignements personnels
Accountability — personal information under organization’s control

7(1)Toute organisation est responsable des renseignements personnels qui relèvent d’elle.

7(1)An organization is accountable for personal information that is under its control.

Renseignements personnels qui relèvent de l’organisation
Personal information under control of organization

(2)Les renseignements personnels relèvent de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle.

(2)Personal information is under the control of the organization that decides to collect it and that determines the purposes for its collection, use or disclosure, regardless of whether the information is collected, used or disclosed by the organization itself or by a service provider on behalf of the organization.

Individus désignés
Designated individual

8(1)L’organisation désigne un ou plusieurs individus chargés des questions relatives aux obligations qui lui incombent sous le régime de la présente loi. Les coordonnées d’affaires des individus désignés sont fournies à toute personne par l’organisation sur demande.

8(1)An organization must designate one or more individuals to be responsible for matters related to its obligations under this Act. It must provide the designated individual’s business contact information to any person who requests it.

Effet de la désignation
Effect of designation of individual

(2)La désignation d’un individu en application du paragraphe (1) n’exempte pas l’organisation des obligations qui lui incombent sous le régime de la présente loi.

(2)The designation of an individual under subsection (1) does not relieve the organization of its obligations under this Act.

Programme de gestion de la protection des renseignements personnels
Privacy management program

9(1)L’organisation met en œuvre un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi, notamment des politiques, des pratiques et des procédures relatives :

a)à la protection des renseignements personnels;

b)à la réception des demandes de renseignements et des plaintes et à leur traitement;

c)à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures;

d)à l’élaboration de contenu expliquant les politiques et les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.

9(1)Every organization must implement a privacy management program that includes the organization’s policies, practices and procedures put in place to fulfil its obligations under this Act, including policies, practices and procedures respecting

(a)the protection of personal information;

(b)how requests for information and complaints are received and dealt with;

(c)the training and information provided to the organization’s staff respecting its policies, practices and procedures; and

(d)the development of materials to explain the organization’s policies and procedures put in place to fulfil its obligations under this Act.

Volume et nature des renseignements personnels
Volume and sensitivity

(2)Lorsqu’elle élabore son programme de gestion de protection des renseignements personnels, l’organisation tient compte du volume et de la nature délicate des renseignements personnels qui relèvent d’elle.

(2)In developing its privacy management program, the organization must take into account the volume and sensitivity of the personal information under its control.

Accès aux politiques, pratiques et procédures
Access by Commissioner — policies, practices and procedures

10Sur demande du commissaire, l’organisation lui donne accès aux politiques, pratiques et procédures comprises dans son programme de gestion de la protection des renseignements personnels.

10An organization must, on request of the Commissioner, provide the Commissioner with access to the policies, practices and procedures that are included in its privacy management program.

Protection équivalente
Same protection

11(1)L’organisation qui transfère des renseignements personnels à un fournisseur de services veille, contractuellement ou autrement, à ce que celui-ci offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la présente loi.

11(1)If an organization transfers personal information to a service provider, the organization must ensure, by contract or otherwise, that the service provider provides substantially the same protection of the personal information as that which the organization is required to provide under this Act.

Obligations du fournisseur de services
Service provider obligations

(2)Les obligations prévues à la présente partie, à l’exception de celles prévues aux articles 57 et 61, ne s’appliquent pas au fournisseur de services relativement aux renseignements personnels qui lui sont transférés. Il est toutefois assujetti à l’ensemble de ces obligations s’il les recueille, les utilise ou les communique à toutes autres fins que celles pour lesquelles ils lui ont été transférés.

(2)The obligations under this Part, other than those set out in sections 57 and 61, do not apply to a service provider in respect of personal information that is transferred to it. However, the service provider is subject to all of the obligations under this Part if it collects, uses or discloses that information for any purpose other than the purposes for which the information was transferred.

Fins acceptables
Appropriate Purposes
Fins acceptables
Appropriate purposes

12(1)L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

12(1)An organization may collect, use or disclose personal information only for purposes that a reasonable person would consider appropriate in the circumstances.

Éléments à prendre en compte
Factors to consider

(2)Pour établir le caractère acceptable des fins, il est tenu compte des éléments suivants :

a)la mesure dans laquelle les renseignements personnels sont de nature délicate;

b)le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation;

c)le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation;

d)l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables;

e)la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu.

(2)The following factors must be taken into account in determining whether the purposes referred to in subsection (1) are appropriate:

(a)the sensitivity of the personal information;

(b)whether the purposes represent legitimate business needs of the organization;

(c)the effectiveness of the collection, use or disclosure in meeting the organization’s legitimate business needs;

(d)whether there are less intrusive means of achieving those purposes at a comparable cost and with comparable benefits; and

(e)whether the individual’s loss of privacy is proportionate to the benefits in light of any measures, technical or otherwise, implemented by the organization to mitigate the impacts of the loss of privacy on the individual.

Établissement des fins
Purposes

(3)L’organisation établit et consigne les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués avant la collecte ou au plus tard au moment de celle-ci.

(3)An organization must determine at or before the time of the collection of any personal information each of the purposes for which the information is to be collected, used or disclosed and record those purposes.

Fin nouvelle
New purpose

(4)Si elle établit que les renseignements personnels qu’elle a recueillis seront utilisés ou communiqués à une fin nouvelle, l’organisation consigne la fin avant d’utiliser ou de communiquer les renseignements personnels à cette fin.

(4)If the organization determines that the personal information it has collected is to be used or disclosed for a new purpose, the organization must record that new purpose before using or disclosing that information for the new purpose.

Limite : collecte, utilisation et communication
Limiting Collection, Use and Disclosure
Limite : collecte
Limiting collection

13L’organisation ne peut recueillir que les renseignements personnels qui sont nécessaires aux fins qu’elle a établies et consignées en application du paragraphe 12(3).

13The organization may collect only the personal information that is necessary for the purposes determined and recorded under subsection 12(3).

Fins nouvelles
New purpose

14(1)L’organisation ne peut utiliser ou communiquer des renseignements personnels pour des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), sauf si elle obtient le consentement valide de l’individu concerné avant de le faire.

14(1)An organization must not use or disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3), unless the organization obtains the individual’s valid consent before any use or disclosure for that other purpose.

Utilisation ou communication : autres fins
Use or disclosure — other purposes

(2)Toutefois, l’organisation peut :

a)utiliser des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux articles 18, 20 et 21, aux paragraphes 22(1) et (2) et aux articles 23, 24, 26, 30, 41 et 51;

b)communiquer des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux paragraphes 22(1) et (2), aux articles 23 à 28, 31 à 37 et 39, au paragraphe 40(3) et aux articles 42 et 43 à 51.

(2)Despite subsection (1), an organization may

(a)use personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in sections 18, 20 and 21, subsections 22(1) and (2) and sections 23, 24, 26, 30, 41 and 51; or

(b)disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in subsections 22(1) and (2), sections 23 to 28, 31 to 37 and 39, subsection 40(3) and sections 42 and 43 to 51.

Consentement
Consent
Consentement requis
Consent required

15(1)Sauf disposition contraire de la présente loi, l’organisation qui recueille, utilise ou communique des renseignements personnels doit d’abord obtenir le consentement valide de l’individu concerné.

15(1)Unless this Act provides otherwise, an organization must obtain an individual’s valid consent for the collection, use or disclosure of the individual’s personal information.

Moment du consentement
Timing of consent

(2)Le consentement valide doit être obtenu au plus tard au moment de recueillir les renseignements personnels ou, s’agissant de renseignements qui seront utilisés ou communiqués à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), avant de les utiliser ou de les communiquer à ces autres fins.

(2)The individual’s consent must be obtained at or before the time of the collection of the personal information or, if the information is to be used or disclosed for a purpose other than a purpose determined and recorded under subsection 12(3), before any use or disclosure of the information for that other purpose.

Renseignements pour un consentement valide
Information for consent to be valid

(3)Le consentement n’est valide que si l’organisation fournit d’abord à l’individu concerné, dans un langage clair, les renseignements suivants :

a)les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels, établies par l’organisation et consignées en application des paragraphes 12(3) ou (4);

b)la façon dont les renseignements personnels seront recueillis, utilisés ou communiqués;

c)les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;

d)le type précis de renseignements personnels que l’organisation recueillera, utilisera ou communiquera;

e)le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués.

(3)The individual’s consent is valid only if, at or before the time that the organization seeks the individual’s consent, it provides the individual with the following information in plain language:

(a)the purposes for the collection, use or disclosure of the personal information determined by the organization and recorded under subsection 12(3) or (4);

(b)the way in which the personal information is to be collected, used or disclosed;

(c)any reasonably foreseeable consequences of the collection, use or disclosure of the personal information;

(d)the specific type of personal information that is to be collected, used or disclosed; and

(e)the names of any third parties or types of third parties to which the organization may disclose the personal information.

Forme du consentement
Form of consent

(4)Le consentement doit être obtenu expressément. Toutefois, compte tenu de la nature délicate des renseignements personnels qu’elle a l’intention de recueillir, d’utiliser ou de communiquer et des attentes raisonnables de l’individu concerné, une organisation peut conclure que le consentement implicite de l’individu est approprié.

(4)Consent must be expressly obtained, unless the organization establishes that it is appropriate to rely on an individual’s implied consent, taking into account the reasonable expectations of the individual and the sensitivity of the personal information that is to be collected, used or disclosed.

Consentement : bien ou service
Consent — provision of product or service

(5)L’organisation ne peut, pour le motif qu’elle fournit un bien ou un service, exiger d’un individu qu’il consente à la collecte, à l’utilisation ou à la communication de renseignements personnels qui ne sont pas nécessaires à la fourniture du bien ou du service.

(5)The organization must not, as a condition of the supply of a product or service, require an individual to consent to the collection, use or disclosure of their personal information beyond what is necessary to provide the product or service.

Consentement obtenu par subterfuge
Consent obtained by deception

16Il est interdit à l’organisation d’utiliser des pratiques trompeuses ou mensongères ou de fournir des informations fausses ou trompeuses pour obtenir, ou tenter d’obtenir, un consentement. Tout consentement ainsi obtenu n’est pas valide.

16An organization must not obtain or attempt to obtain an individual’s consent by providing false or misleading information or using deceptive or misleading practices. Any consent obtained under those circumstances is invalid.

Retrait du consentement
Withdrawal of consent

17(1)Sous réserve de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable, l’individu peut à tout moment retirer son consentement, en tout ou en partie. Le cas échéant, il en avise l’organisation suffisamment à l’avance.

17(1)On giving reasonable notice to an organization, an individual may, at any time, subject to this Act, to federal or provincial law or to the reasonable terms of a contract, withdraw their consent in whole or in part.

Cessation de la collecte, de l’utilisation ou de la communication
Collection, use or disclosure to cease

(2)Sur réception de l’avis, l’organisation informe l’individu concerné des conséquences du retrait de son consentement et cesse ensuite, dès que possible, de recueillir, d’utiliser ou de communiquer les renseignements personnels à l’égard desquels le consentement a été retiré.

(2)On receiving the notice from the individual, the organization must inform the individual of the consequences of the withdrawal of their consent and, as soon as feasible after that, cease the collection, use or disclosure of the individual’s personal information in respect of which the consent was withdrawn.

Consentement : exceptions
Exceptions to Requirement for Consent
Activités d’affaires
Business Operations
Activités d’affaires
Business activities

18(1)L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité d’affaires mentionnée au paragraphe (2) et :

a)une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation;

b)les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.

18(1)An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for a business activity described in subsection (2) and

(a)a reasonable person would expect such a collection or use for that activity; and

(b)the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.

Activités visées
List of activities

(2)Sous réserve des règlements, sont des activités d’affaires pour l’application du paragraphe (1) :

a)les activités nécessaires à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation;

b)les activités menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux de l’organisation;

c)les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation;

d)les activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit ou livre;

e)les activités dans le cadre desquelles il est pratiquement impossible pour l’organisation d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui-ci;

f)toute autre activité réglementaire.

(2)Subject to the regulations, the following activities are business activities for the purpose of subsection (1):

(a)an activity that is necessary to provide or deliver a product or service that the individual has requested from the organization;

(b)an activity that is carried out in the exercise of due diligence to prevent or reduce the organization’s commercial risk;

(c)an activity that is necessary for the organization’s information, system or network security;

(d)an activity that is necessary for the safety of a product or service that the organization provides or delivers;

(e)an activity in the course of which obtaining the individual’s consent would be impracticable because the organization does not have a direct relationship with the individual; and

(f)any other prescribed activity.

Transfert à des fournisseurs de services
Transfer to service provider

19L’organisation peut transférer à des fournisseurs de services les renseignements personnels d’un individu à son insu ou sans son consentement.

19An organization may transfer an individual’s personal information to a service provider without their knowledge or consent.

Renseignements dépersonnalisés
De-identification of personal information

20L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, afin de les dépersonnaliser.

20An organization may use an individual’s personal information without their knowledge or consent to de-identify the information.

Recherche et développement
Research and development

21L’organisation peut utiliser les renseignements personnels d’un individu à son insu ou sans son consentement à des fins de recherche et de développement internes, s’ils sont dépersonnalisés avant leur utilisation.

21An organization may use an individual’s personal information without their knowledge or consent for the organization’s internal research and development purposes, if the information is de-identified before it is used.

Transaction commerciale éventuelle
Prospective business transaction

22(1)Les organisations qui seront parties à une éventuelle transaction commerciale peuvent utiliser et communiquer les renseignements personnels d’un individu à son insu ou sans son consentement, si, à la fois :

a)les renseignements personnels sont dépersonnalisés avant l’utilisation ou la communication, selon le cas, et le demeurent jusqu’à ce que la transaction soit effectuée;

b)les organisations ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :

(i)à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,

(ii)à les protéger au moyen de mesures de sécurité correspondant à la mesure dans laquelle ils sont de nature délicate,

(iii)si la transaction n’aura pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à procéder à leur retrait, dans un délai raisonnable;

c)les organisations se conforment à l’accord;

d)les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.

22(1)Organizations that are parties to a prospective business transaction may use and disclose an individual’s personal information without their knowledge or consent if

(a)the information is de-identified before it is used or disclosed and remains so until the transaction is completed;

(b)the organizations have entered into an agreement that requires the organization that receives the information

(i)to use and disclose that information solely for purposes related to the transaction,

(ii)to protect the information by security safeguards appropriate to the sensitivity of the information, and

(iii)if the transaction does not proceed, to return the information to the organization that disclosed it, or dispose of it, within a reasonable time;

(c)the organizations comply with the terms of that agreement; and

(d)the information is necessary

(i)to determine whether to proceed with the transaction, and

(ii)if the determination is made to proceed with the transaction, to complete it.

Transaction commerciale effectuée
Completed business transaction

(2)Si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels mentionnés au paragraphe (1), à l’insu d’un individu ou sans son consentement si, à la fois :

a)elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :

(i)à n’utiliser et ne communiquer les renseignements personnels qui relèvent d’elle qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,

(ii)à les protéger au moyen de mesures de sécurité correspondant à la mesure dans laquelle ils sont de nature délicate,

(iii)à donner effet à tout retrait de consentement fait en conformité avec le paragraphe 17(1);

b)elles se conforment à l’accord;

c)les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;

d)dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’individu du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).

(2)If the business transaction is completed, the organizations that are parties to the transaction may use and disclose the personal information referred to in subsection (1) without the individual’s knowledge or consent if

(a)the organizations have entered into an agreement that requires each of them

(i)to use and disclose the information under its control solely for the purposes for which the information was collected or permitted to be used or disclosed before the transaction was completed,

(ii)to protect that information by security safeguards appropriate to the sensitivity of the information, and

(iii)to give effect to any withdrawal of consent made under subsection 17(1);

(b)the organizations comply with the terms of that agreement;

(c)the information is necessary for carrying on the business or activity that was the object of the transaction; and

(d)one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their information has been disclosed under subsection (1).

Exception
Exception

(3)Les paragraphes (1) et (2) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.

(3)Subsections (1) and (2) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.

Renseignement produit par l’individu
Information produced in employment, business or profession

23L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit d’un renseignement qui est produit par l’individu dans le cadre de son emploi, de son entreprise ou de sa profession et dont la collecte, l’utilisation ou la communication est compatible avec les fins auxquelles il a été produit.

23An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if it was produced by the individual in the course of their employment, business or profession and the collection, use or disclosure is consistent with the purposes for which the information was produced.

Relation d’emploi : entreprise fédérale
Employment relationship — federal work, undertaking or business

24Dans le cadre d’une entreprise fédérale, l’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu sans son consentement, si, à la fois :

a)la collecte, l’utilisation ou la communication est nécessaire pour établir ou gérer la relation d’emploi entre l’individu et l’organisation, ou pour y mettre fin;

b)l’organisation a informé l’individu que ses renseignements personnels seraient ou pourraient être recueillis, utilisés ou communiqués à ces fins.

24An organization that operates a federal, work or business may collect, use or disclose an individual’s personal information without their consent if

(a)the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the organization and the individual in connection with the operation of a federal work, undertaking or business; and

(b)the organization has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.

Communication à un avocat ou un notaire
Disclosure to lawyer or notary

25L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’avocat — ou, au Québec, à l’avocat ou au notaire — qui la représente.

25An organization may disclose an individual’s personal information without their knowledge or consent to a lawyer or, in Quebec, a lawyer or notary, who is representing the organization.

Déclaration d’un témoin
Witness statement

26L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils sont contenus dans la déclaration d’un témoin et que la collecte, l’utilisation ou la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement.

26An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the information is contained in a witness statement and the collection, use or disclosure is necessary to assess, process or settle an insurance claim.

Prévention, détection et suppression de la fraude
Prevention, detection or suppression of fraud

27(1)L’organisation peut, si la communication est raisonnable, communiquer à une autre organisation les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

27(1)An organization may disclose an individual’s personal information to another organization without the individual’s knowledge or consent if the disclosure is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the individual’s knowledge or consent would compromise the ability to prevent, detect or suppress the fraud.

Collecte
Collection

(2)L’organisation peut recueillir les renseignements personnels qui lui sont communiqués au titre du paragraphe (1) à l’insu ou sans le consentement de l’individu.

(2)An organization may collect an individual’s personal information without their knowledge or consent if the information was disclosed to it under subsection (1).

Recouvrement de créances
Debt collection

28L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue du recouvrement d’une créance qu’elle a contre lui.

28An organization may disclose an individual’s personal information without their knowledge or consent for the purpose of collecting a debt owed by the individual to the organization.

Intérêt public
Public Interest
Intérêt de l’individu
Individual’s interest

29(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte des renseignements est manifestement dans l’intérêt de l’individu et le consentement ne peut être obtenu auprès de celui-ci en temps opportun.

29(1)An organization may collect an individual’s personal information without their knowledge or consent if the collection is clearly in the interests of the individual and consent cannot be obtained in a timely way.

Utilisation
Use

(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).

(2)An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).

Situation d’urgence : utilisation
Emergency — use

30L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, pour répondre à une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu.

30An organization may use an individual’s personal information without their knowledge or consent for the purpose of acting in respect of an emergency that threatens the life, health or security of any individual.

Situation d’urgence : communication
Emergency — disclosure

31L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à toute personne qui en a besoin en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu. Dans le cas où l’individu que les renseignements concernent est vivant, l’organisation l’en informe par écrit et sans délai.

31An organization may disclose an individual’s personal information without their knowledge or consent to a person who needs the information because of an emergency that threatens the life, health or security of any individual. If the individual whom the information is about is alive, the organization must inform that individual in writing without delay of the disclosure.

Identification d’un individu
Identification of individual

32L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est nécessaire aux fins d’identification de l’individu qui est blessé, malade ou décédé et qu’elle est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé. Dans le cas où l’individu est vivant, l’organisation l’en informe par écrit et sans délai.

32An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is necessary to identify the individual who is injured, ill or deceased and is made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative. If the individual is alive, the organization must inform them in writing without delay of the disclosure.

Communication : proche parent ou représentant autorisé
Communication with next of kin or authorized representative

33L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est faite afin d’entrer en contact avec un proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé.

33An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual.

Exploitation financière
Financial abuse

34L’organisation peut communiquer, de sa propre initiative, les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé, si les conditions suivantes sont remplies :

a)l’organisation a des motifs raisonnables de croire que l’individu a été, est ou pourrait être victime d’exploitation financière;

b)la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête sur celle-ci;

c)il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.

34An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution, a part of a government institution or the individual’s next of kin or authorized representative if

(a)the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse;

(b)the disclosure is made solely for purposes related to preventing or investigating the abuse; and

(c)it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse.

Statistiques, études ou recherches
Statistical or scholarly study or research

35L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :

a)la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites et ces fins ne peuvent être réalisées sans que les renseignements ne soient communiqués;

b)le consentement est pratiquement impossible à obtenir;

c)l’organisation informe le commissaire de la communication avant de la faire.

35An organization may disclose an individual’s personal information without their knowledge or consent if

(a)the disclosure is made for statistical purposes or for scholarly study or research purposes and those purposes cannot be achieved without disclosing the information;

(b)it is impracticable to obtain consent; and

(c)the organization informs the Commissioner of the disclosure before the information is disclosed.

Importance historique ou archivistique
Records of historic or archival importance

36L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution dont les attributions comprennent la conservation de documents ayant une importance historique ou archivistique en vue d’une telle conservation.

36An organization may disclose an individual’s personal information without their knowledge or consent to an institution whose functions include the conservation of records of historic or archival importance, if the disclosure is made for the purpose of such conservation.

Communication après une période de temps
Disclosure after period of time

37L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, cent ans après la constitution du document les contenant ou vingt ans après le décès de l’individu, selon celle de ces périodes qui se termine la première.

37An organization may disclose an individual’s personal information without their knowledge or consent after the earlier of

(a)100 years after the record containing the information was created, and

(b)20 years after the death of the individual.

Fins journalistiques, artistiques ou littéraires
Journalistic, artistic or literary purposes

38L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires.

38An organization may collect an individual’s personal information without their knowledge or consent if the collection is solely for journalistic, artistic or literary purposes.

Fins socialement bénéfiques
Socially beneficial purposes

39(1)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, aux conditions suivantes :

a)les renseignements personnels sont dépersonnalisés avant la communication;

b)la communication est faite :

(i)à une institution gouvernementale au Canada ou à une subdivision d’une telle institution,

(ii)à un établissement de soins de santé, à un établissement d’enseignement postsecondaire ou à une bibliothèque publique situés au Canada,

(iii)à une organisation mandatée, en vertu d’une loi fédérale ou provinciale ou d’un contrat avec une institution gouvernementale au Canada — ou avec une subdivision d’une telle institution —, pour réaliser une fin socialement bénéfique,

(iv)à toute autre entité réglementaire;

c)la communication est faite pour une fin socialement bénéfique.

39(1)An organization may disclose an individual’s personal information without their knowledge or consent if

(a)the personal information is de-identified before the disclosure is made;

(b)the disclosure is made to

(i)a government institution or part of a government institution in Canada,

(ii)a health care institution, post-secondary educational institution or public library in Canada,

(iii)any organization that is mandated, under a federal or provincial law or by contract with a government institution or part of a government institution in Canada, to carry out a socially beneficial purpose, or

(iv)any other prescribed entity; and

(c)the disclosure is made for a socially beneficial purpose.

Définition de fin socialement bénéfique
Definition of socially beneficial purpose

(2)Pour l’application du présent article, fin socialement bénéfique s’entend de toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire.

(2)For the purpose of this section, socially beneficial purpose means a purpose related to health, the provision or improvement of public amenities or infrastructure, the protection of the environment or any other prescribed purpose.

Enquêtes
Investigations
Violation d’un accord ou contravention au droit
Breach of agreement or contravention

40(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’individu compromette l’exactitude des renseignements ou l’accès à ceux-ci, et si la collecte est raisonnable et faite à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial.

40(1)An organization may collect an individual’s personal information without their knowledge or consent if it is reasonable to expect that the collection with their knowledge or consent would compromise the availability or the accuracy of the information and the collection is reasonable for purposes related to investigating a breach of an agreement or a contravention of federal or provincial law.

Utilisation
Use

(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).

(2)An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).

Communication
Disclosure

(3)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette l’enquête.

(3)An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of federal or provincial law that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation.

Utilisation à des fins d’enquête
Use for investigations

41L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, si, dans le cadre de ses activités, elle découvre l’existence de renseignements dont elle a des motifs raisonnables de croire qu’ils pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être et si l’utilisation est faite en vue d’enquêter sur cette contravention.

41An organization may use an individual’s personal information without their knowledge or consent if, in the course of its activities, the organization becomes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed and the information is used for the purpose of investigating that contravention.

Atteinte aux mesures de sécurité
Breach of security safeguards

42L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement si :

a)d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe 59(1);

b)d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’individu qui pourrait résulter de l’atteinte ou atténuer ce préjudice.

42An organization may disclose an individual’s personal information without their knowledge or consent if

(a)the disclosure is made to the other organization, government institution or part of a government institution that was notified of a breach under subsection 59(1); and

(b)the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.

Communication à une institution gouvernementale
Disclosures to Government Institutions
Application du droit
Administering law

43L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée pour l’application du droit fédéral ou provincial.

43An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of administering federal or provincial law.

Contrôle d’application : demande de l’institution gouvernementale
Law enforcement — request of government institution

44L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée aux fins du contrôle d’application du droit fédéral, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.

44An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of enforcing federal or provincial law or law of a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering intelligence for the purpose of enforcing any such law.

Contravention au droit : sur initiative de l’organisation
Contravention of law — initiative of organization

45L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution si l’organisation a des motifs raisonnables de croire que les renseignements concernent une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être.

45An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization has reasonable grounds to believe that the information relates to a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed.

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Proceeds of Crime (Money Laundering) and Terrorist Financing Act

46L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article.

46An organization may disclose an individual’s personal information without their knowledge or consent to the government institution referred to in section 7 of the Proceeds of Crime (Money Laundering) and Terrorist Financing Act as required by that section.

Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale
Request by government institution — national security, defence or international affairs

47(1)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait qu’elle soupçonne qu’ils concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.

47(1)An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that it suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.

Collecte
Collection

(2)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).

(2)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).

Utilisation
Use

(3)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).

(3)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).

Sécurité nationale, défense et affaires internationales : initiative de l’organisation
Initiative of organization — national security, defence or international affairs

48(1)L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou une subdivision d’une telle institution si elle soupçonne que les renseignements concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.

48(1)An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.

Collecte
Collection

(2)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).

(2)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).

Utilisation
Use

(3)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).

(3)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).

Exigence de la loi
Required by Law
Collecte en vue d’une communication exigée par la loi
Required by law — collection

49(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite en vue d’une communication exigée par la loi.

49(1)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure that is required by law.

Utilisation
Use

(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).

(2)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (1).

Communication
Disclosure

(3)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par la loi.

(3)An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required by law.

Assignation, mandat ou ordonnance
Subpoena, warrant or order

50L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou par des règles de procédure se rapportant à la production de documents.

50An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required to comply with a subpoena or warrant issued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of procedure relating to the production of records.

Renseignements publics
Publicly Available Information
Renseignements réglementaires
Information specified by regulations

51L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit de renseignements personnels précisés par les règlements, auxquels le public a accès.

51An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the personal information is publicly available and is specified by the regulations.

Non-application de certaines exceptions : adresse électronique et programme d’ordinateur
Non-application of Certain Exceptions — Electronic Addresses and Computer Systems
Définitions
Definitions

52(1)Les définitions qui suivent s’appliquent au présent article.

adresse électronique Toute adresse utilisée relativement à l’un des comptes suivants :

a)un compte courriel;

b)un compte de messagerie instantanée;

c)tout autre compte similaire.‍ (electronic address)

ordinateur S’entend au sens du paragraphe 342.‍1(2) du Code criminel.‍ (computer system)

programme d’ordinateur S’entend au sens du paragraphe 342.‍1(2) du Code criminel.‍ (computer program)

utiliser S’agissant d’un ordinateur ou d’un réseau informatique, le programmer, lui faire exécuter un programme, communiquer avec lui, y mettre en mémoire, ou en extraire, des données ou utiliser ses ressources de toute autre façon, notamment ses données et ses programmes.‍ (access)

52(1)The following definitions apply in this section.

access means to program, execute programs on, communicate with, store data in, retrieve data from or otherwise make use of any resources, including data or programs of a computer system or a computer network.‍ (utiliser)

computer program has the same meaning as in subsection 342.‍1(2) of the Criminal Code.‍ (programme d’ordinateur)

computer system has the same meaning as in subsection 342.‍1(2) of the Criminal Code.‍ (ordinateur)

electronic address means an address used in connection with

(a)an electronic mail account;

(b)an instant messaging account; or

(c)any similar account.‍ (adresse électronique)

Collecte et utilisation d’adresses électroniques
Collection and use of electronic addresses

(2)L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1) ou des articles 30, 38, 41 ou 51 si elle recueille l’adresse électronique d’un individu, à son insu ou sans son consentement, à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir, ou si elle utilise une adresse électronique ainsi recueillie.

(2)An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1) and sections 30, 38, 41 and 51 to

(a)collect an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, electronic addresses; or

(b)use an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program described in paragraph (a).

Collecte et utilisation de renseignements personnels
Accessing computer system to collect personal information, etc.

(3)L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1), des articles 30 ou 38, du paragraphe 40(1) ou des articles 41 ou 51 si elle recueille, par tout moyen de télécommunication, les renseignements personnels d’un individu, à son insu ou sans son consentement en utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale, ou si elle utilise des renseignements personnels ainsi recueillis.

(3)An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1), sections 30 and 38, subsection 40(1) and sections 41 and 51 to

(a)collect an individual’s personal information without their knowledge or consent, through any means of telecommunication, if the information is collected by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or

(b)use an individual’s personal information without their knowledge or consent, if the information is collected in a manner described in paragraph (a).

Consentement implicite
Express consent

(4)Malgré le paragraphe 15(4), l’organisation ne peut conclure que l’individu a implicitement consenti à la collecte ou à l’utilisation mentionnée aux paragraphes (2) ou (3).

(4)Despite subsection 15(4), an organization is not to rely on an individual’s implied consent in respect of any collection of personal information described in paragraph (2)‍(a) or (3)‍(a) or any use of personal information described in paragraph (2)‍(b) or (3)‍(b).

Conservation et retrait des renseignements personnels
Retention and Disposal of Personal Information
Durée de conservation et retrait
Period for retention and disposal

53L’organisation ne conserve des renseignements personnels que le temps nécessaire :

a)pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués;

b)pour respecter les exigences de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable.

L’organisation procède ensuite, dès que possible, à leur retrait.

53An organization must not retain personal information for a period longer than necessary to

(a)fulfil the purposes for which the information was collected, used or disclosed; or

(b)comply with the requirements of this Act, of federal or provincial law or of the reasonable terms of a contract.

The organization must dispose of the information as soon as feasible after that period.

Renseignements personnels utilisés pour prendre une décision
Personal information used for decision-making

54L’organisation qui utilise des renseignements personnels pour prendre une décision concernant un individu conserve ces renseignements suffisamment longtemps pour permettre à l’individu de présenter une demande au titre de l’article 63.

54An organization that uses personal information to make a decision about an individual must retain the information for a sufficient period of time to permit the individual to make a request for access under section 63.

Retrait à la demande de l’individu
Disposal at individual’s request

55(1)L’organisation qui reçoit d’un individu une demande écrite visant à ce qu’elle procède au retrait des renseignements personnels qu’elle a recueillis auprès de lui, procède, dès que possible, à leur retrait si, à la fois :

a)le retrait n’entraîne pas le retrait des renseignements personnels d’un autre individu dont ce renseignement ne peut être retranché;

b)aucune exigence de la présente loi ou du droit fédéral ou provincial ni aucune restriction contractuelle raisonnable ne l’en empêche.

55(1)If an organization receives a written request from an individual to dispose of personal information that it has collected from the individual, the organization must, as soon as feasible, dispose of the information, unless

(a)disposing of the information would result in the disposal of personal information about another individual and the information is not severable; or

(b)there are other requirements of this Act, of federal or provincial law or of the reasonable terms of a contract that prevent it from doing so.

Refus motivé
Reasons

(2)L’organisation qui refuse la demande notifie par écrit son refus motivé à l’individu et informe celui-ci des recours prévus à l’article 73 et au paragraphe 82(1).

(2)An organization that refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).

Retrait des renseignements personnels transférés
Disposal of transferred personal information

(3)L’organisation qui procède au retrait des renseignements personnels d’un individu informe, dès que possible, de la demande de retrait tout fournisseur de services à qui elle a transféré les renseignements et confirme avec celui-ci qu’il a procédé à leur retrait.

(3)If an organization disposes of personal information, it must, as soon as feasible, inform any service provider to which it has transferred the information of the individual’s request and obtain a confirmation from the service provider that the information has been disposed of.

Exactitude des renseignements personnels
Accuracy of Personal Information
Exactitude des renseignements
Accuracy of information

56(1)L’organisation prend toutes les mesures raisonnables pour que les renseignements personnels qui relèvent d’elle soient aussi à jour, exacts et complets que l’exige la réalisation des fins auxquelles ils ont été recueillis, utilisés ou communiqués.

56(1)An organization must take reasonable steps to ensure that personal information under its control is as accurate, up-to-date and complete as is necessary to fulfil the purposes for which the information is collected, used or disclosed.

Critères
Extent of accuracy

(2)L’organisation détermine la mesure dans laquelle les renseignements personnels doivent être à jour, exacts et complets en tenant compte des intérêts de l’individu concerné et notamment :

a)de la possibilité que les renseignements servent à prendre une décision concernant l’individu;

b)du fait que les renseignements servent sur une base régulière;

c)du fait que les renseignements sont communiqués à des tiers.

(2)In determining the extent to which personal information must be accurate, complete and up-to-date, the organization must take into account the individual’s interests, including

(a)whether the information may be used to make a decision about the individual;

(b)whether the information is used on an ongoing basis; and

(c)whether the information is disclosed to third parties.

Mise à jour systématique
Routine updating

(3)Sauf si cela est nécessaire à la réalisation des fins auxquelles ils sont recueillis, utilisés ou communiqués, l’organisation ne met pas systématiquement à jour les renseignements personnels.

(3)An organization is not to routinely update personal information unless it is necessary to fulfil the purposes for which the information is collected, used or disclosed.

Mesures de sécurité
Security Safeguards
Mesures de sécurité
Security safeguards

57(1)L’organisation protège les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques. Le degré de protection des renseignements personnels est proportionnel à la mesure dans laquelle les renseignements sont de nature délicate.

57(1)An organization must protect personal information through physical, organizational and technological security safeguards. The level of protection provided by those safeguards must be proportionate to the sensitivity of the information.

Éléments à prendre en compte
Factors to consider

(2)Les mesures de sécurité établies par l’organisation tiennent également compte de la quantité, de la répartition, du format et de la méthode de stockage des renseignements.

(2)In addition to the sensitivity of the information, the organization must, in establishing its security safeguards, take into account the quantity, distribution, format and method of storage of the information.

Portée des mesures de sécurité
Scope of security safeguards

(3)Les mesures de sécurité protègent les renseignements personnels contre, notamment, la perte ou le vol ainsi que l’accès, la communication, la copie, l’utilisation ou la modification non autorisés.

(3)The security safeguards must protect personal information against, among other things, loss, theft and unauthorized access, disclosure, copying, use and modification.

Déclaration au commissaire
Report to Commissioner

58(1)L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elle s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.

58(1)An organization must report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.

Modalités de la déclaration
Report requirements

(2)La déclaration contient les renseignements réglementaires et est faite, selon les modalités réglementaires, dès que possible après que l’organisation a conclu qu’il y a eu atteinte.

(2)The report must contain the prescribed information and must be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.

Avis à l’individu
Notification to individual

(3)À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’individu de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant qui relèvent d’elle s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit de l’individu.

(3)Unless otherwise prohibited by law, an organization must notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.

Contenu de l’avis
Contents of notification

(4)L’avis contient suffisamment d’information pour permettre à l’individu de comprendre l’importance, pour lui, de l’atteinte et de prendre, si possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer ce préjudice. Il contient aussi tout autre renseignement réglementaire.

(4)The notification must contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It must also contain any other prescribed information.

Modalités de l’avis
Form and manner

(5)L’avis est manifeste et donné à l’individu directement, selon les modalités réglementaires. Dans les circonstances réglementaires, il est donné indirectement, selon les modalités réglementaires.

(5)The notification must be conspicuous and must be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it must be given indirectly in the prescribed form and manner.

Délai de l’avis
Time to give notification

(6)L’avis est donné dès que possible après que l’organisation a conclu qu’il y a eu atteinte.

(6)The notification must be given as soon as feasible after the organization determines that the breach has occurred.

Définition de préjudice grave
Definition of significant harm

(7)Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

(7)For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation or relationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.

Risque réel de préjudice grave : éléments
Real risk of significant harm — factors

(8)Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’individu sont notamment la mesure dans laquelle les renseignements personnels en cause sont de nature délicate, la probabilité que les renseignements aient été ou seront mal utilisés ou soient en train de l’être et tout autre élément réglementaire.

(8)The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include

(a)the sensitivity of the personal information involved in the breach;

(b)the probability that the personal information has been, is being or will be misused; and

(c)any other prescribed factor.

Avis à une organisation
Notification to organizations

59(1)L’organisation qui, en application du paragraphe 58(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser également toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à une ou plusieurs conditions réglementaires.

59(1)An organization that notifies an individual of a breach of security safeguards under subsection 58(3) must notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.

Délai
Time to give notification

(2)L’organisation donne l’avis dès que possible après avoir conclu qu’il y a eu atteinte.

(2)The notification must be given as soon as feasible after the organization determines that the breach has occurred.

Registre
Records

60(1)L’organisation tient et conserve, conformément aux exigences réglementaires, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels qui relèvent d’elle.

60(1)An organization must, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.

Accès au registre : commissaire
Provision to Commissioner

(2)Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.

(2)An organization must, on request, provide the Commissioner with access to, or a copy of, the record.

Fournisseur de services
Service providers

61Le fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels avise dès que possible l’organisation de laquelle ils relèvent.

61If a service provider determines that any breach of security safeguards has occurred that involves personal information, it must as soon as feasible notify the organization that controls the personal information.

Ouverture et transparence
Openness and Transparency
Politiques et pratiques
Policies and practices

62(1)L’organisation rend facilement accessible, dans un langage clair, des renseignements sur les politiques et les pratiques qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.

62(1)An organization must make readily available, in plain language, information that explains the organization’s policies and practices put in place to fulfil its obligations under this Act.

Autres renseignements
Additional information

(2)À cet égard, l’organisation rend accessible les renseignements suivants :

a)la description du type de renseignements personnels qui relèvent d’elle;

b)une explication générale de l’usage auquel les renseignements personnels sont destinés, y compris la façon dont l’organisation applique les exceptions à l’obligation d’obtenir le consentement d’un individu prévues à la présente loi;

c)une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés;

d)le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;

e)la manière de présenter, au titre de l’article 55, une demande de retrait de renseignements personnels ou, au titre de l’article 63, une demande d’accès aux renseignements personnels;

f)les coordonnées d’affaires de l’individu à qui les demandes de renseignements et les plaintes peuvent être acheminées.

(2)In fulfilling its obligation under subsection (1), an organization must make the following information available:

(a)a description of the type of personal information under the organization’s control;

(b)a general account of how the organization makes use of personal information, including how the organization applies the exceptions to the requirement to obtain consent under this Act;

(c)a general account of the organization’s use of any automated decision system to make predictions, recommendations or decisions about individuals that could have significant impacts on them;

(d)whether or not the organization carries out any international or interprovincial transfer or disclosure of personal information that may have reasonably foreseeable privacy implications;

(e)how an individual may make a request for disposal under section 55 or access under section 63; and

(f)the business contact information of the individual to whom complaints or requests for information may be made.

Accès et rectification
Access to and Amendment of Personal Information
Information et accès
Information and access

63(1)Sur demande de l’individu, l’organisation lui indique si elle détient des renseignements personnels qui le concernent, quel est l’usage qu’elle en fait et si elle les a communiqués. Elle met à sa disposition ces renseignements personnels.

63(1)On request by an individual, an organization must inform them of whether it has any personal information about them, how it uses the information and whether it has disclosed the information. It must also give the individual access to the information.

Nom des tiers ou catégories de tiers
Names or types of third parties

(2)Si l’organisation a communiqué les renseignements, elle fournit à l’individu le nom des tiers ou les catégories de tiers auxquels ils ont été communiqués, et ce, même lorsqu’elle les a communiqués sans son consentement.

(2)If the organization has disclosed the information, the organization must also provide to the individual the names of the third parties or types of third parties to which the disclosure was made, including in cases where the disclosure was made without the consent of the individual.

Système décisionnel automatisé
Automated decision system

(3)Si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant l’individu, elle lui fournit, à sa demande, une explication de la prédiction, de la recommandation ou de la décision et lui indique la provenance des renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision.

(3)If the organization has used an automated decision system to make a prediction, recommendation or decision about the individual, the organization must, on request by the individual, provide them with an explanation of the prediction, recommendation or decision and of how the personal information that was used to make the prediction, recommendation or decision was obtained.

Demande par écrit
Request in writing

64(1)La demande mentionnée à l’article 63 est présentée par écrit.

64(1)A request under section 63 must be made in writing.

Aide à fournir
Assistance

(2)Sur requête de l’individu, l’organisation lui fournit l’aide dont il a besoin pour préparer sa demande.

(2)An organization must assist any individual who informs the organization that they need assistance in preparing a request to the organization.

Renseignements nécessaires
Information to be provided

65L’organisation peut exiger de l’individu qu’il lui fournisse suffisamment de renseignements pour satisfaire à ses obligations prévues à l’article 63.

65An organization may require the individual to provide it with sufficient information to allow the organization to fulfil its obligations under section 63.

Langage clair
Plain language

66(1)L’organisation fournit l’information mentionnée à l’article 63 dans un langage clair.

66(1)The information referred to in section 63 must be provided to the individual in plain language.

Déficience sensorielle
Sensory disability

(2)Pour l’application de l’article 63, l’organisation met à la disposition de l’individu ayant une déficience sensorielle qui en fait la demande les renseignements personnels le concernant sur support de substitution dans l’un ou l’autre des cas suivants :

a)une version des renseignements visés existe déjà sur un tel support;

b)leur transfert sur un tel support est raisonnable et nécessaire pour que l’individu puisse exercer les droits qui lui sont conférés sous le régime de la présente loi.

(2)For the purpose of section 63, an organization must give access to personal information in an alternative format to an individual with a sensory disability who requests that it be transmitted in that format if

(a)a version of the information already exists in that format; or

(b)its conversion into that format is reasonable and necessary in order for the individual to be able to exercise rights under this Act.

Renseignements médicaux de nature délicate
Sensitive medical information

(3)Dans le cas de renseignements médicaux de nature délicate, l’organisation peut mettre ces renseignements à la disposition du demandeur par l’intermédiaire d’un médecin.

(3)An organization may choose to give an individual access to sensitive medical information through a medical practitioner.

Délai de réponse
Time limit

67(1)L’organisation saisie de la demande mentionnée à l’article 63 doit y donner suite avec la diligence voulue et, au plus tard, dans les trente jours suivant sa réception.

67(1)An organization must respond to a request made under section 63 with due diligence and in any case no later than 30 days after the day on which the request was received.

Prorogation du délai
Extension of time limit

(2)Elle peut toutefois proroger le délai :

a)d’une période maximale de trente jours lorsque :

(i)ou bien l’observation du délai entraverait déraisonnablement l’activité de l’organisation,

(ii)ou bien toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai;

b)de la période nécessaire au transfert des renseignements personnels visés sur support de substitution.

Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la réception de la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

(2)An organization may extend the time limit

(a)for a maximum of 30 days if

(i)meeting the time limit would unreasonably interfere with the activities of the organization, or

(ii)the time required to undertake any consultations necessary to respond to the request would make the time limit impracticable to meet; or

(b)for the period that is necessary in order to be able to convert the personal information into an alternative format.

In either case, the organization must, no later than 30 days after the day on which the request was received, send a notice of extension to the individual, advising them of the new time limit, the reasons for extending the time limit and their right to make a complaint to the Commissioner in respect of the extension.

Refus motivé
Reasons

(3)L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours prévus à l’article 73 et au paragraphe 82(1).

(3)An organization that responds within the time limit and refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).

Présomption
Deemed refusal

(4)Faute de répondre dans le délai prévu, l’organisation est réputée avoir refusé d’acquiescer à la demande.

(4)If the organization fails to respond within the time limit, the organization is deemed to have refused the request.

Coût
Costs for responding

68L’organisation peut exiger des droits pour répondre à la demande mentionnée à l’article 63 si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci, celui-ci l’avise qu’il ne retire pas sa demande et les droits exigés sont minimes.

68An organization must not respond to the individual’s request made under section 63 at a cost unless

(a)the organization has informed the individual of the approximate cost;

(b)the cost to the individual is minimal; and

(c)the individual has advised the organization that the request is not being withdrawn.

Conservation des renseignements
Retention of information

69L’organisation qui détient des renseignements personnels visés par une demande mentionnée à l’article 63 les conserve le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente loi.

69An organization that has personal information that is the subject of a request made under section 63 must retain the information for as long as is necessary to allow the individual to exhaust any recourse that they may have under this Act.

Cas où la communication est interdite
When access prohibited

70(1)Malgré l’article 63, l’organisation ne peut mettre à la disposition du demandeur des renseignements personnels qui révéleraient vraisemblablement des renseignements personnels sur un autre individu. Toutefois, si ces derniers renseignements peuvent être retranchés, l’organisation est tenue de les retrancher puis de mettre à la disposition du demandeur les renseignements le concernant.

70(1)Despite section 63, an organization must not give an individual access to personal information under that section if doing so would likely reveal personal information about another individual. However, if the information about the other individual is severable from the information about the requester, the organization must sever the information about the other individual before giving the requester access.

Non-application
Limit

(2)Le paragraphe (1) ne s’applique pas si l’autre individu consent à ce que ses renseignements personnels soient mis à la disposition du demandeur ou si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.

(2)Subsection (1) does not apply if the other individual consents to the access or the requester needs the information because an individual’s life, health or security is threatened.

Renseignements relatifs à certaines exceptions à l’obligation d’obtenir le consentement
Information related to certain exceptions to consent

(3)L’organisation est tenue de se conformer au paragraphe (4) si le demandeur lui demande :

a)de l’aviser, selon le cas :

(i)de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50,

(ii)de l’existence de renseignements détenus par l’organisation relatifs soit à toute communication visée au sous-alinéa (i), soit à une assignation, à un mandat ou à une ordonnance visé à l’article 50, soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de l’article 44 ou du paragraphe 47(1);

b)de mettre à sa disposition les renseignements visés au sous-alinéa a)‍(ii).

(3)An organization must comply with subsection (4) if an individual requests that the organization

(a)inform the individual about

(i)any disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50, or

(ii)the existence of any information that the organization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in section 50 or to a request made by a government institution or a part of a government institution under section 44 or subsection 47(1); or

(b)give the individual access to the information referred to in subparagraph (a)‍(ii).

Notification et réponse
Notification and response

(4)Le cas échéant, l’organisation :

a)notifie par écrit et sans délai la demande à l’institution gouvernementale concernée ou à la subdivision d’une telle institution;

b)ne peut donner suite à la demande avant la date de réception de l’avis prévu au paragraphe (5) ou, s’il est antérieur, le trentième jour suivant celle à laquelle l’institution ou la subdivision reçoit la notification.

(4)An organization to which subsection (3) applies

(a)must, in writing and without delay, notify the institution or part concerned of the request made by the individual; and

(b)must not respond to the request before the earlier of

(i)the day on which it is notified under subsection (5), and

(ii)30 days after the day on which the institution or part is notified.

Opposition
Objection

(5)Dans les trente jours suivant la date à laquelle la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire :

a)à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;

b)à la détection, à la prévention ou à la dissuasion à l’égard du recyclage des produits de la criminalité ou du financement des activités terroristes;

c)au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.

(5)Within 30 days after the day on which it is notified under subsection (4), the institution or part must notify the organization of whether the institution or part objects to the organization complying with the request. The institution or part may object only if the institution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to

(a)national security, the defence of Canada or the conduct of international affairs;

(b)the detection, prevention or deterrence of money laundering or the financing of terrorist activities; or

(c)the enforcement of federal or provincial law or law of a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law.

Refus d’acquiescer à la demande
Prohibition

(6)Malgré l’article 63, si elle est informée que l’institution ou la subdivision s’oppose à ce qu’elle acquiesce à la demande, l’organisation :

a)refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (3)a) ou se rapporte à des renseignements visés au sous-alinéa (3)a)‍(ii);

b)avise par écrit et sans délai le commissaire du refus;

c)ne met pas à la disposition du demandeur les renseignements qu’elle détient et qui se rapportent à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50 ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de cet article 44 ou de ce paragraphe 47(1);

d)ne fournit pas au demandeur le nom de l’institution gouvernementale ou de la subdivision d’une telle institution — ou la catégorie d’institution gouvernementale ou de subdivision d’une telle institution — à laquelle les renseignements ont été communiqués;

e)ne communique pas au demandeur le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision d’une telle institution en application de l’alinéa (4)a), que celle-ci s’oppose à ce que l’organisation acquiesce à la demande et que le commissaire a été avisé en application de l’alinéa b).

(6)Despite section 63, if an organization is notified under subsection (5) that the institution or part objects to the organization complying with the request, the organization

(a)must refuse the request to the extent that it relates to paragraph (3)‍(a) or to information referred to in subparagraph (3)‍(a)‍(ii);

(b)must notify the Commissioner, in writing and without delay, of the refusal; and

(c)must not give the individual access to any information that the organization has relating to a disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50 or to a request made by a government institution or part of a government institution under section 44 or subsection 47(1); and

(d)must not provide to the individual the name of the government institution or part to which the disclosure was made or its type; and

(e)must not disclose to the individual the fact that the organization notified an institution or part under paragraph (4)‍(a), that the institution or part objects or that the Commissioner was notified under paragraph (b).

Cas où la communication peut être refusée
When access may be refused

(7)Malgré l’article 63, l’organisation n’est pas tenue de mettre à la disposition du demandeur des renseignements personnels dans les cas suivants :

a)les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige;

b)cela révélerait des renseignements commerciaux confidentiels;

c)cela risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu;

d)les renseignements ont été recueillis au titre du paragraphe 40(1);

e)les renseignements ont été produits uniquement à l’occasion d’un règlement officiel des différends;

f)les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.

Toutefois, dans les cas visés aux alinéas b) ou c), s’il est possible de retrancher les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu, l’organisation est tenue de mettre à la disposition du demandeur les renseignements personnels en retranchant ces renseignements.

(7)Despite section 63, an organization is not required to give access to personal information if

(a)the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege;

(b)to do so would reveal confidential commercial information;

(c)to do so could reasonably be expected to threaten the life or security of another individual;

(d)the information was collected under subsection 40(1);

(e)the information was generated in the course of a formal dispute resolution process; or

(f)the information was created for the purpose of making a disclosure under the Public Servants Disclosure Protection Act or in the course of an investigation into a disclosure under that Act.

However, in the circumstances described in paragraph (b) or (c), if giving access to the information would reveal confidential commercial information or could reasonably be expected to threaten the life or security of another individual, as the case may be, and that information is severable from any other information for which access is requested, the organization must give the individual access after severing.

Non-application
Limit

(8)Le paragraphe (7) ne s’applique pas si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.

(8)Subsection (7) does not apply if the individual needs the information because an individual’s life, health or security is threatened.

Avis
Notice

(9)Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (7)d), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.

(9)If an organization decides not to give access to personal information in the circumstances set out in paragraph (7)‍(d), the organization must, in writing, notify the Commissioner, and must provide any information that the Commissioner may specify.

Modification des renseignements personnels
Amendment of personal information

71(1)Si, après avoir consulté les renseignements personnels le concernant, l’individu démontre à l’organisation qu’ils sont désuets, inexacts ou incomplets, celle-ci apporte les modifications requises.

71(1)If an individual has been given access to their personal information and demonstrates that the information is not accurate, up-to-date or complete, the organization must amend the information as required.

Tiers qui ont accès
Third party

(2)L’organisation transmet, s’il y a lieu, les renseignements modifiés à tout tiers qui y a accès.

(2)The organization must, if it is appropriate to do so, transmit the amended information to any third party that has access to the information.

Consignation de la décision
Record of determination

(3)Si l’organisation et l’individu ne peuvent s’entendre sur les modifications à apporter aux renseignements, l’organisation consigne le désaccord et, s’il y a lieu, en informe les tiers qui ont accès aux renseignements.

(3)If the organization and the individual do not agree on the amendments that are to be made to the information, the organization must record the disagreement and, if it is appropriate to do so, inform third parties that have access to the information of the fact that there is a disagreement.

Mobilité des renseignements personnels
Mobility of Personal Information
Communication conformément à un cadre de mobilité des données
Disclosure under data mobility framework

72Sous réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont soumises à un cadre de mobilité des données prévu par règlement.

72Subject to the regulations, on the request of an individual, an organization must as soon as feasible disclose the personal information that it has collected from the individual to an organization designated by the individual, if both organizations are subject to a data mobility framework provided under the regulations.

Contestation de la conformité
Challenging Compliance
Plaintes et demandes de renseignements
Complaints and requests for information

73(1)L’individu peut déposer une plainte ou une demande de renseignements auprès de l’organisation à l’égard de sa conformité à la présente partie. L’organisation donne suite aux plaintes et aux demandes de renseignements qu’elle reçoit.

73(1)An individual may make a complaint, or a request for information, to an organization with respect to its compliance with this Part. The organization must respond to any complaint or request that it receives.

Manière de présenter une plainte ou une demande
Process for making complaint or request

(2)L’organisation rend facilement accessible les renseignements portant sur la manière de présenter une telle plainte ou une telle demande.

(2)An organization must make readily available information about the process for making a complaint or request.

Enquête des plaintes
Investigation of complaints

(3)L’organisation enquête sur toutes les plaintes qu’elle reçoit et effectue tout changement nécessaire à ses politiques, ses pratiques et ses procédures à la suite de l’enquête.

(3)An organization must investigate any complaint that it receives and make any necessary changes to its policies, practices and procedures as a result of the investigation.

Renseignements dépersonnalisés
De-identification of Personal Information
Proportionnalité des procédés techniques et administratifs
Proportionality of technical and administrative measures

74Lorsque l’organisation dépersonnalise des renseignements personnels, elle veille à ce que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels.

74An organization that de-identifies personal information must ensure that any technical and administrative measures applied to the information are proportionate to the purpose for which the information is de-identified and the sensitivity of the personal information.

Interdiction 
Prohibition

75Sauf à des fins de vérification de l’efficacité des mesures de sécurité mises en place, il est interdit à toute organisation d’utiliser des renseignements dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, afin d’identifier un individu.

75An organization must not use de-identified information alone or in combination with other information to identify an individual, except in order to conduct testing of the effectiveness of security safeguards that the organization has put in place to protect the information.

PARTIE 2
Attributions du commissaire et dispositions générales
PART 2
Commissioner’s Powers, Duties and Functions and General Provisions
Codes de pratique et programmes de certification
Codes of Practice and Certification Programs
Définition de entité
Definition of entity

76(1)Au présent article et aux articles 77 à 81, entité s’entend notamment d’une organisation, que la présente loi s’applique à elle ou non, ou d’une institution gouvernementale.

76(1)For the purpose of this section and sections 77 to 81, entity includes any organization, regardless of whether it is an organization to which this Act applies, or a government institution.

Code de pratique
Code of practice

(2)Toute entité peut, de la manière prévue par règlement, demander au commissaire d’approuver un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi.

(2)An entity may, in the manner provided by the regulations, apply to the Commissioner for approval of a code of practice that provides for substantially the same or greater protection of personal information as some or all of the protection provided under this Act.

Décision du commissaire
Approval by Commissioner

(3)Le commissaire peut approuver le code de pratique s’il conclut que celui-ci est conforme aux critères prévus par règlement.

(3)The Commissioner may approve the code of practice if the Commissioner determines that the code meets the criteria set out in the regulations.

Programme de certification
Certification program

77(1)Toute entité peut, de la manière prévue par règlement, demander au commissaire d’approuver un programme de certification comprenant les éléments suivants :

a)un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi;

b)des lignes directrices sur l’interprétation et la mise en œuvre du code de pratique;

c)un mécanisme par lequel l’entité qui gère le programme peut certifier une organisation conforme à ce code;

d)un mécanisme de vérification indépendante de la conformité d’une organisation à ce code;

e)des mesures disciplinaires en cas de non-conformité d’une organisation à ce code, notamment la révocation de la certification;

f)tout autre élément prévu par règlement.

77(1)An entity may, in the manner provided by the regulations, apply to the Commissioner for approval of a certification program that includes

(a)a code of practice that provides for substantially the same or greater protection of personal information as some or all of the protection provided under this Act;

(b)guidelines for interpreting and implementing the code of practice;

(c)a mechanism by which an entity that operates the program may certify that an organization is in compliance with the code of practice;

(d)a mechanism for the independent verification of an organization’s compliance with the code of practice;

(e)disciplinary measures for non-compliance with the code of practice by an organization, including the revocation of an organization’s certification; and

(f)anything else that is provided in the regulations.

Décision du commissaire
Approval by Commissioner

(2)Le commissaire peut approuver le programme de certification s’il conclut que celui-ci est conforme aux critères prévus par règlement.

(2)The Commissioner may approve the certification program if the Commissioner determines that the program meets the criteria set out in the regulations.

Réponse du commissaire
Response by Commissioner

78Le commissaire donne suite, par écrit, à la demande d’approbation mentionnée au paragraphe 76(2) ou 77(1) dans le délai précisé par règlement.

78The Commissioner must respond in writing to an application under subsection 76(2) or 77(1) in the time specified in the regulations.

Décision publique
Approval made public

79Le commissaire rend publique sa décision d’approuver un code de pratique ou un programme de certification.

79The Commissioner must make public a decision to approve a code of practice or certification program.

Précision
For greater certainty

80Il est entendu que l’organisation n’est pas exemptée des obligations qui lui incombent sous le régime de la présente loi du fait qu’elle se conforme aux exigences d’un code de pratique ou d’un programme de certification.

80For greater certainty, compliance with the requirements of a code of practice or a certification program does not relieve an organization of its obligations under this Act.

Pouvoirs du commissaire
Powers of Commissioner

81Le commissaire peut :

a)demander à toute entité qui gère un programme de certification approuvé tout renseignement relatif à ce programme de certification;

b)dans l’exercice des attributions qui lui sont conférées en vertu de la présente loi, collaborer avec une entité qui gère un programme de certification approuvé;

c)dans les circonstances et selon les critères prévus par règlement, recommander, conformément aux règlements, à toute entité qui gère un programme de certification approuvé de retirer sa certification à une organisation, s’il est d’avis que cette organisation ne se conforme pas aux exigences de ce programme;

d)dans le cadre d’un accord ou d’une entente mentionnée à l’article 115, communiquer au commissaire de la concurrence tout renseignement relatif à une entité qui gère un programme de certification approuvé ou à une organisation certifiée en vertu d’un tel programme;

e)révoquer, conformément aux règlements, l’approbation d’un programme de certification dans les circonstances et selon les critères prévus par règlement;

f)consulter les institutions gouvernementales fédérales concernant les codes de pratique ou les programmes de certification.

81The Commissioner may

(a)request that an entity that operates an approved certification program provide the Commissioner with information that relates to the program;

(b)cooperate with an entity that operates an approved certification program for the purpose of the exercise of the Commissioner’s powers and the performance of the Commissioner’s duties and functions under this Act;

(c)in accordance with the regulations, recommend to an entity that operates an approved certification program that an organization’s certification be withdrawn, in the circumstances and according to the criteria set out in the regulations, if the Commissioner is of the opinion that the organization is not in compliance with the requirements of the program;

(d)disclose information to the Commissioner of Competition, under an agreement or arrangement entered into under section 115, that relates to an entity that operates an approved certification program or an organization that is certified under an approved certification program;

(e)in accordance with the regulations, revoke an approval of a certification program in the circumstances and according to the criteria set out in the regulations; or

(f)consult with federal government institutions respecting codes of practice or certification programs.

Recours
Recourses
Dépôt des plaintes
Filing of Complaints
Contravention
Contravention

82(1)Tout individu peut déposer auprès du commissaire une plainte écrite contre une organisation qui contrevient à la partie 1.

82(1)An individual may file with the Commissioner a written complaint against an organization for contravening Part 1.

Plaintes émanant du commissaire
Commissioner may initiate complaint

(2)Le commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente loi.

(2)If the Commissioner is satisfied that there are reasonable grounds to investigate a matter under this Act, the Commissioner may initiate a complaint in respect of the matter.

Délai
Time limit

(3)Lorsqu’elle porte sur le refus d’acquiescer à une demande visée à l’article 63, la plainte doit être déposée, à moins que le commissaire n’accorde un délai supplémentaire, dans les six mois suivant, selon le cas, le refus ou l’expiration du délai pour répondre à la demande.

(3)A complaint that results from the refusal to grant a request made under section 63 must be filed within six months, or any longer period that the Commissioner allows, after the refusal or after the expiry of the time limit for responding to the request, as the case may be.

Avis
Notice

(4)Le commissaire avise l’organisation visée de la plainte sauf s’il décide de ne pas examiner la plainte en application du paragraphe 83(2).

(4)The Commissioner must give notice of a complaint to the organization against which the complaint was made, unless the Commissioner decides under subsection 83(2) not to carry out an investigation.

Examen des plaintes et règlement des différends
Investigation of Complaints and Dispute Resolution
Examen des plaintes par le commissaire
Investigation of complaint by Commissioner

83(1)Le commissaire procède à l’examen de toute plainte dont il est saisi, à moins qu’il ne juge celle-ci irrecevable pour un des motifs suivants :

a)le plaignant devrait d’abord épuiser les procédures de règlement des griefs ou de révision qui lui sont raisonnablement ouverts;

b)la plainte pourrait avantageusement être instruite, dans un premier temps ou à toutes les étapes, selon des procédures prévues par le droit fédéral — à l’exception de la présente loi — ou le droit provincial;

c)la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance;

d)la question soulevée dans la plainte fait l’objet d’un programme de certification approuvé par le commissaire au titre du paragraphe 77(2) et l’organisation concernée est certifiée dans le cadre de ce programme.

83(1)The Commissioner must carry out an investigation in respect of a complaint, unless the Commissioner is of the opinion that

(a)the complainant should first exhaust grievance or review procedures otherwise reasonably available;

(b)the complaint could more appropriately be dealt with, initially or completely, by means of a procedure provided for under any federal law, other than this Act, or provincial law;

(c)the complaint was not filed within a reasonable period after the day on which the subject matter of the complaint arose; or

(d)the complaint raises an issue in respect of which a certification program that was approved by the Commissioner under subsection 77(2) applies and the organization is certified under that program.

Exception
Exception

(2)Malgré le paragraphe (1), le commissaire n’a pas à examiner tout acte mentionné dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.‍01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.‍011 de cette loi.

(2)Despite subsection (1), the Commissioner is not required to carry out an investigation in respect of an act alleged in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.

Avis aux parties
Notification

(3)S’il décide de ne pas procéder à l’examen de la plainte ou de tout acte mentionné dans celle-ci, le commissaire avise de sa décision et des motifs qui la justifient le plaignant et l’organisation. Toutefois, dans le cas où il prend cette décision pour l’un des motifs mentionnés au paragraphe (2), il n’avise que le plaignant.

(3)The Commissioner must notify the complainant and the organization that the Commissioner will not investigate the complaint or any act alleged in the complaint and give reasons. However, if the decision is made for any of the reasons set out in subsection (2), the Commissioner must notify the complainant only.

Raisons impérieuses
Compelling reasons

(4)Le commissaire peut réexaminer sa décision de ne pas examiner la plainte aux termes du paragraphe (1) si le plaignant le convainc qu’il existe des raisons impérieuses pour ce faire.

(4)The Commissioner may reconsider a decision not to investigate under subsection (1) if the Commissioner is satisfied that the complainant has established that there are compelling reasons to investigate.

Mode de règlement des différends
Dispute resolution mechanisms

84Le commissaire peut tenter de parvenir au règlement de la plainte en ayant recours à un mode de règlement des différends, notamment la médiation et la conciliation, à moins qu’elle ne fasse l’objet d’une investigation.

84The Commissioner may attempt to resolve a complaint by means of a dispute resolution mechanism such as mediation and conciliation, unless an inquiry is being conducted in respect of the complaint.

Fin de l’examen
Discontinuance of Investigation
Motifs
Reasons

85(1)Le commissaire peut mettre fin à l’examen de la plainte s’il estime, selon le cas :

a)qu’il n’existe pas suffisamment d’éléments de preuve pour poursuivre l’examen;

b)que la plainte est futile, vexatoire ou entachée de mauvaise foi;

c)que l’organisation a apporté une réponse juste et équitable à la plainte;

d)que la question soulevée dans la plainte fait déjà l’objet d’un examen ou d’une investigation au titre de la présente loi;

e)qu’il a déjà dressé un rapport ou rendu une décision sur la question soulevée dans la plainte;

f)que les circonstances visées à l’un des alinéas 83(1)a) à d) existent;

g)que la plainte fait ou a fait l’objet d’un recours ou d’une procédure visés à l’alinéa 83(1)a) ou est ou a été instruite selon des procédures visées à l’alinéa 83(1)b);

h)que la question soulevée dans la plainte fait l’objet d’un accord de conformité conclu en vertu du paragraphe 86(1).

85(1)The Commissioner may discontinue the investigation of a complaint if the Commissioner is of the opinion that

(a)there is insufficient evidence to pursue the investigation;

(b)the complaint is trivial, frivolous or vexatious or is made in bad faith;

(c)the organization has provided a fair and reasonable response to the complaint;

(d)the matter is already the object of an ongoing investigation or inquiry under this Act;

(e)the matter has already been the subject of a report or decision by the Commissioner;

(f)any of the circumstances referred to in paragraphs 83(1)‍(a) to (d) apply;

(g)the matter is being or has already been addressed under a procedure referred to in paragraph 83(1)‍(a) or (b); or

(h)the matter is the object of a compliance agreement entered into under subsection 86(1).

Autre motif
Other reason

(2)Le commissaire peut mettre fin à l’examen de tout acte mentionné dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.‍01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.‍011 de cette loi.

(2)The Commissioner may discontinue an investigation in respect of an act alleged in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.

Accord de conformité
Compliance Agreements
Conclusion d’un accord de conformité
Entering into compliance agreement

86(1)Si, dans le cadre de l’examen d’une plainte, le commissaire a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission — pouvant constituer une contravention à la partie 1, il peut conclure avec l’organisation intéressée un accord de conformité, visant à faire respecter la présente loi.

86(1)If, in the course of an investigation, the Commissioner believes on reasonable grounds that an organization has committed, is about to commit or is likely to commit an act or omission that could constitute a contravention of Part 1, the Commissioner may enter into a compliance agreement with that organization, aimed at ensuring compliance with this Act.

Conditions
Terms

(2)L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la présente loi.

(2)A compliance agreement may contain any terms that the Commissioner considers necessary to ensure compliance with this Act.

Effet de l’accord de conformité
Effect of compliance agreement

(3)Le commissaire ne peut mener une investigation au titre de l’article 88 relativement à toute question faisant l’objet de l’accord.

(3)The Commissioner must not commence an inquiry under section 88 in respect of any matter covered under the agreement.

Précision
For greater certainty

(4)Il est entendu que la conclusion de l’accord n’a pas pour effet d’empêcher les poursuites pour infraction à la présente loi.

(4)For greater certainty, a compliance agreement does not preclude the prosecution of an offence under this Act.

Avis
Notification
Avis et motifs
Notification and reasons

87Le commissaire avise le plaignant et l’organisation de sa décision de mettre fin à l’examen de la plainte ou, à la conclusion de son examen, de sa décision de ne pas mener d’investigation, ainsi que des motifs qui la justifie.

87The Commissioner must notify the complainant and the organization and give reasons if an investigation has been discontinued or an investigation has concluded and the Commissioner will not be conducting an inquiry.

Investigation
Inquiry
Investigation : plainte
Inquiry — complaint

88(1)Suivant l’examen d’une plainte, le commissaire peut mener une investigation sur la plainte si elle ne fait pas l’objet d’une procédure visée à l’article 84 ou elle n’est pas résolue ou le commissaire n’y a pas mis fin.

88(1)After investigating a complaint, the Commissioner may conduct an inquiry in respect of the complaint if the matter is not

(a)the subject of dispute resolution under section 84;

(b)discontinued; or

(c)resolved.

Avis
Notice

(2)Le commissaire avise le plaignant ainsi que l’organisation visée par la plainte de la tenue de l’investigation.

(2)The Commissioner must give notice of the inquiry to the complainant and the organization.

Investigation : accord de conformité
Inquiry — compliance agreement

89(1)Si le commissaire croit, pour des motifs raisonnables, que l’accord de conformité conclu entre lui et une organisation en vertu du paragraphe 86(1) n’a pas été respecté, il peut mener une investigation relativement au défaut de conformité.

89(1)If the Commissioner believes on reasonable grounds that an organization is not complying with the terms of a compliance agreement entered into under subsection 86(1), the Commissioner may conduct an inquiry in respect of the non-compliance.

Avis
Notice

(2)Le commissaire avise l’organisation de la tenue de l’investigation.

(2)The Commissioner must give notice of the inquiry to the organization.

Règles de preuve
Nature of inquiries

90(1)Sous réserve du paragraphe (2), le commissaire n’est pas lié par les règles juridiques ou techniques applicables en matière de preuve lors de l’investigation. Dans la mesure où les circonstances, l’équité et la justice naturelle le permettent, il lui appartient d’agir rapidement et sans formalisme.

90(1)Subject to subsection (2), the Commissioner is not bound by any legal or technical rules of evidence in conducting an inquiry and must deal with the matter as informally and expeditiously as the circumstances and considerations of fairness and natural justice permit.

Exception
Restriction

(2)Le commissaire ne peut recevoir ni admettre en preuve quelque élément protégé par le droit de la preuve et rendu, de ce fait, inadmissible en justice devant un tribunal judiciaire.

(2)The Commissioner must not receive or accept as evidence anything that would be inadmissible in a court by reason of any privilege under the law of evidence.

Possibilité d’être entendu
Opportunity to be heard

(3)Dans le cadre de l’investigation, le commissaire donne au plaignant et à l’organisation la possibilité d’être entendu et, à cette fin, de se faire représenter par un conseiller juridique ou par toute autre personne.

(3)In conducting the inquiry, the Commissioner must give the organization and the complainant an opportunity to be heard and to be assisted or represented by counsel or by any person.

Huis clos
Inquiry in private

(4)Le commissaire peut tenir tout ou partie de l’investigation à huis clos.

(4)The Commissioner may hold all or any part of the inquiry in private.

Procédure
Procedure

91Le commissaire peut établir la procédure à suivre dans la conduite d’une investigation. Il la rend accessible au public.

91The Commissioner may determine the procedure to be followed in the conduct of an inquiry and must make that procedure publicly available.

Conclusion de l’investigation
Decision

92(1)Au terme de l’investigation, le commissaire rend une décision qui expose :

a)ses conclusions quant à savoir si l’organisation a contrevenu à la présente loi ou n’a pas respecté un accord de conformité;

b)toutes ordonnances rendues en vertu du paragraphe (2);

c)toute décision rendue au titre du paragraphe 93(1);

d)les motifs qui justifient les conclusions, les ordonnances ou les décisions.

92(1)The Commissioner must complete an inquiry by rendering a decision that sets out

(a)the Commissioner’s findings on whether the organization has contravened this Act or has not complied with the terms of a compliance agreement;

(b)any order made under subsection (2);

(c)any decision made under subsection 93(1); and

(d)the Commissioner’s reasons for the findings, order or decision.

Ordonnance de conformité