Projet de loi C-27
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
- FRANÇAIS
- SOMMAIRE SOMMAIRE
- TABLE ANALYTIQUE TABLE ANALYTIQUE
- Titre abrégé Titre abrégé
- PARTIE 1 Loi sur la protection de la vie privée des consommateurs PARTIE 1 Loi sur la protection de la vie privée des consommateurs
- Édiction de la loi Édiction de la loi
- Modifications corrélatives et connexes Modifications corrélatives et connexes
- Loi sur la protection des renseignements personnels et les documents électroniques Loi sur la protection des renseignements personnels et les documents électroniques
- Loi sur l’accès à l’information Loi sur l’accès à l’information
- Loi sur l’aéronautique Loi sur l’aéronautique
- Loi sur la preuve au Canada Loi sur la preuve au Canada
- Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes
- Loi sur la concurrence Loi sur la concurrence
- Loi canadienne sur les sociétés par actions Loi canadienne sur les sociétés par actions
- Loi sur les télécommunications Loi sur les télécommunications
- Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles
- Chapitre 23 des Lois du Canada (2010) Chapitre 23 des Lois du Canada (2010)
- Loi sur la modernisation des transports Loi sur la modernisation des transports
- Modifications terminologiques Modifications terminologiques
- Dispositions transitoires Dispositions transitoires
- Dispositions de coordination Dispositions de coordination
- PARTIE 2 Loi sur le Tribunal de la protection des renseignements personnels et des données PARTIE 2 Loi sur le Tribunal de la protection des renseignements personnels et des données
- Édiction de la loi Édiction de la loi
- Modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs Modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs
- PARTIE 3 Loi sur l’intelligence artificielle et les données PARTIE 3 Loi sur l’intelligence artificielle et les données
- PARTIE 4 Entrée en vigueur PARTIE 4 Entrée en vigueur
- ANNEXE ANNEXE
- NOTES EXPLICATIVES NOTES EXPLICATIVES
First Session, Forty-fourth Parliament, 70-71 Elizabeth II, 2021-2022 |
Première session, quarante-quatrième législature, 70-71 Elizabeth II, 2021-2022 |
|
HOUSE OF COMMONS OF CANADA |
CHAMBRE DES COMMUNES DU CANADA |
|
An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts
|
Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois
|
|
FIRST READING, June 16, 2022
|
PREMIÈRE LECTURE LE 16 juin 2022
|
MINISTER OF INNOVATION, SCIENCE AND INDUSTRY |
MINISTRE DE L’INNOVATION, DES SCIENCES ET DE L’INDUSTRIE |
SOMMAIRE
SUMMARY
La partie 1 édicte la Loi sur la protection de la vie privée des consommateurs afin de régir la protection des renseignements personnels des individus tout en tenant compte du besoin des organisations de recueillir, d’utiliser ou de communiquer de tels renseignements dans le cadre d’activités commerciales. En conséquence, elle abroge la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques et remplace le titre abrégé de cette loi par le titre Loi sur les documents électroniques. Elle apporte aussi des modifications corrélatives et connexes à d’autres lois.
Part 1 enacts the Consumer Privacy Protection Act to govern the protection of personal information of individuals while taking into account the need of organizations to collect, use or disclose personal information in the course of commercial activities. In consequence, it repeals Part 1 of the Personal Information Protection and Electronic Documents Act and changes the short title of that Act to the Electronic Documents Act. It also makes consequential and related amendments to other Acts.
La partie 2 édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données qui constitue un tribunal administratif pour entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée au titre de la Loi sur la protection de la vie privée des consommateurs et pour infliger des pénalités relatives à la contravention de certaines dispositions de cette dernière loi. De plus, elle apporte une modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs.
Part 2 enacts the Personal Information and Data Protection Tribunal Act, which establishes an administrative tribunal to hear appeals of certain decisions made by the Privacy Commissioner under the Consumer Privacy Protection Act and to impose penalties for the contravention of certain provisions of that Act. It also makes a related amendment to the Administrative Tribunals Support Service of Canada Act.
La partie 3 édicte la Loi sur l’intelligence artificielle et les données pour réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle et exiger que certaines personnes adoptent des mesures pour atténuer les risques de préjudices et de résultats biaisés liés aux systèmes d’intelligence artificielle à incidence élevée. Cette loi prévoit la publication de renseignements et autorise le ministre à ordonner la fourniture de documents relatifs aux systèmes d’intelligence artificielle. Elle établit également des interdictions relatives à la possession ou à l’utilisation de renseignements personnels obtenus illégalement afin de concevoir, de développer, d’utiliser ou de rendre disponible un système d’intelligence artificielle et liées au fait de rendre disponible un système d’intelligence artificielle dont l’utilisation cause un préjudice sérieux aux individus.
Part 3 enacts the Artificial Intelligence and Data Act to regulate international and interprovincial trade and commerce in artificial intelligence systems by requiring that certain persons adopt measures to mitigate risks of harm and biased output related to high-impact artificial intelligence systems. That Act provides for public reporting and authorizes the Minister to order the production of records related to artificial intelligence systems. That Act also establishes prohibitions related to the possession or use of illegally obtained personal information for the purpose of designing, developing, using or making available for use an artificial intelligence system and to the making available for use of an artificial intelligence system if its use causes serious harm to individuals.
Available on the House of Commons website at the following address:
www.ourcommons.ca
|
Disponible sur le site Web de la Chambre des communes à l’adresse suivante :
www.noscommunes.ca
|
TABLE ANALYTIQUE
TABLE OF PROVISIONS
Préambule
Preamble
Loi de 2022 sur la mise en œuvre de la Charte du numérique
Digital Charter Implementation Act, 2022
Édiction
Enactment
Loi sur la protection de la vie privée des consommateurs
Consumer Privacy Protection Act
Définitions
Definitions
Désignation du ministre
Order designating Minister
Représentants autorisés
Authorized representatives
Objet
Purpose
Champ d’application
Application
Responsabilité à l’égard des renseignements personnels
Accountability — personal information under organization’s control
Individus désignés
Designated individual
Programme de gestion de la protection des renseignements personnels
Privacy management program
Accès au programme de gestion
Access — privacy management program
Protection équivalente
Same protection
Fins acceptables
Appropriate purposes
Limite : collecte
Limiting collection
Fins nouvelles
New purpose
Consentement requis
Consent required
Consentement obtenu par subterfuge
Consent obtained by deception
Retrait du consentement
Withdrawal of consent
Activités d’affaires
Business activities
Transfert à des fournisseurs de services
Transfer to service provider
Renseignements dépersonnalisés
De-identification of personal information
Recherche, analyse et développement
Research, analysis and development
Transaction commerciale éventuelle
Prospective business transaction
Renseignement produit par l’individu
Information produced in employment, business or profession
Relation d’emploi : entreprise fédérale
Employment relationship — federal work, undertaking or business
Communication à un avocat ou un notaire
Disclosure to lawyer or notary
Déclaration d’un témoin
Witness statement
Prévention, détection et suppression de la fraude
Prevention, detection or suppression of fraud
Recouvrement de créances
Debt collection
Intérêt de l’individu
Individual’s interest
Situation d’urgence : utilisation
Emergency — use
Situation d’urgence : communication
Emergency — disclosure
Identification d’un individu
Identification of individual
Communication : proche parent ou représentant autorisé
Communication with next of kin or authorized representative
Exploitation financière
Financial abuse
Statistiques, études ou recherches
Statistics, study or research
Importance historique ou archivistique
Records of historic or archival importance
Communication après une période de temps
Disclosure after period of time
Fins journalistiques, artistiques ou littéraires
Journalistic, artistic or literary purposes
Fins socialement bénéfiques
Socially beneficial purposes
Violation d’un accord ou contravention au droit
Breach of agreement or contravention
Utilisation à des fins d’enquête
Use for investigations
Atteinte aux mesures de sécurité
Breach of security safeguards
Application du droit : demande de l’institution gouvernementale
Administering law — request of government institution
Contrôle d’application : demande de l’institution gouvernementale
Law enforcement — request of government institution
Contravention au droit : sur initiative de l’organisation
Contravention of law — initiative of organization
Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Proceeds of Crime (Money Laundering) and Terrorist Financing Act
Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale
National security, defence or international affairs — request by government institution
Sécurité nationale, défense et affaires internationales : initiative de l’organisation
National security, defence or international affairs — initiative of organization
Collecte en vue d’une communication exigée par la loi
Required by law — collection
Assignation, mandat ou ordonnance
Subpoena, warrant or order
Renseignements réglementaires
Information specified by regulations
Définitions
Definitions
Durée de conservation et retrait
Period for retention and disposal
Renseignements personnels utilisés pour prendre une décision
Personal information used for decision-making
Retrait à la demande de l’individu
Disposal at individual’s request
Exactitude des renseignements
Accuracy of information
Mesures de sécurité
Security safeguards
Déclaration au commissaire
Report to Commissioner
Avis à une organisation
Notification to organizations
Registre
Records
Fournisseur de services
Service providers
Politiques et pratiques
Policies and practices
Information et accès
Information and access
Demande par écrit
Request in writing
Renseignements nécessaires
Information to be provided
Langage clair
Plain language
Délai de réponse
Time limit
Coût
Costs for responding
Conservation des renseignements
Retention of information
Cas où la communication est interdite
When access prohibited
Modification des renseignements personnels
Amendment of personal information
Communication conformément à un cadre de mobilité des données
Disclosure under data mobility framework
Plaintes et demandes de renseignements
Complaints and requests for information
Proportionnalité des procédés techniques et administratifs
Proportionality of technical and administrative measures
Interdiction
Prohibition
Définition de entité
Definition of entity
Programme de certification
Certification program
Réponse du commissaire
Response by Commissioner
Décision publique
Approval made public
Précision
For greater certainty
Pouvoirs du commissaire
Powers of Commissioner
Contravention
Contravention
Examen des plaintes par le commissaire
Investigation of complaint by Commissioner
Exception
Exception
Fin de l’examen
Discontinuance
Mode de règlement des différends
Dispute resolution mechanisms
Conclusion d’un accord de conformité
Entering into compliance agreement
Avis et motifs
Notification and reasons
Investigation : plainte
Inquiry — complaint
Investigation : accord de conformité
Inquiry — compliance agreement
Règles de preuve
Nature of inquiries
Règles
Rules
Conclusion de l’investigation
Decision
Recommandation
Recommendation
Infliction d’une pénalité
Imposition of penalty
Recouvrement
Recovery as debt due to Her Majesty
Vérification de la conformité
Ensure compliance
Rapport des conclusions et recommandations du commissaire
Report of findings and recommendations
Pouvoirs du commissaire
Powers of Commissioner
Délégation
Delegation
Droit d’appel
Right of appeal
Appel avec autorisation
Appeal with leave
Sort de l’appel
Disposition of appeals
Ordonnances de conformité
Compliance orders
Ordonnances du Tribunal
Tribunal orders
Dépôt au greffe de la cour
Filing with Court
Dommages et intérêts : contravention
Damages — contravention of Act
Certificat délivré au titre de la Loi sur la preuve au Canada
Certificate under Canada Evidence Act
Éléments à prendre en compte
Factors to consider
Promotion de l’objet de la loi
Promoting purposes of Act
Interdiction : utilisation des renseignements
Prohibition — use for initiating complaint or audit
Manière d’exercer ses attributions
Information — powers, duties or functions
Secret
Confidentiality
Qualité pour témoigner
Not competent witness
Immunité du commissaire
Protection of Commissioner
Renseignements dépersonnalisés
De-identified information
Accords ou ententes : ministre
Agreements or arrangements — Minister
Accords ou ententes : CRTC et commissaire de la concurrence
Agreements or arrangements — CRTC and Commissioner of Competition
Consultation avec les provinces
Consultations with provinces
Communication de renseignements à des États étrangers
Disclosure of information to foreign state
Rapport annuel
Annual report
Règlements
Regulations
Cadre de mobilité des données
Data mobility frameworks
Traitement différent : catégories
Distinguishing — classes
Règlements : codes de pratique et programmes de certification
Regulations — codes of conduct and certification programs
Dénonciation
Whistleblowing
Interdiction
Prohibition
Infraction et peine
Offence and punishment
Examen par un comité parlementaire
Review by parliamentary committee
Décret
Order in council
Loi sur la protection des renseignements personnels et les documents électroniques
Personal Information Protection and Electronic Documents Act
Loi sur l’accès à l’information
Access to Information Act
Loi sur l’aéronautique
Aeronautics Act
Loi sur la preuve au Canada
Canada Evidence Act
Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes
Canadian Radio-television and Telecommunications Commission Act
Loi sur la concurrence
Competition Act
Loi canadienne sur les sociétés par actions
Canada Business Corporations Act
Loi sur les télécommunications
Telecommunications Act
Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles
Public Servants Disclosure Protection Act
Chapitre 23 des Lois du Canada (2010)
Chapter 23 of the Statutes of Canada, 2010
Loi sur la modernisation des transports
Transportation Modernization Act
Remplacement de « Loi sur la protection des renseignements personnels et les documents électroniques »
Replacement of “Personal Information Protection and Electronic Documents Act”
Définitions
Definitions
Projet de loi C-11
Bill C-11
2018, ch. 10
2018, c. 10
Édiction
Enactment
Loi sur le Tribunal de la protection des renseignements personnels et des données
Personal Information and Data Protection Tribunal Act
Définition de ministre
Definition of Minister
Désignation du ministre
Order designating Minister
Constitution
Establishment
Compétence
Jurisdiction
Membres
Members
Président et vice-président
Chairperson and Vice-Chairperson
Fonctions du président
Duties of Chairperson
Intérim — président
Acting Chairperson
Mandat
Term of office
Rémunération
Remuneration
Incompatibilité
Inconsistent interests
Siège
Principal office
Séances
Sittings
Audiences
Nature of hearings
Pouvoirs
Powers
Motifs
Reasons
Décisions publiques
Public availability — decisions
Règles de procédure
Rules
Dépens
Cost
Décision définitive
Decisions final
Édiction de la loi
Enactment of Act
Loi sur l’intelligence artificielle et les données
Artificial Intelligence and Data Act
Définitions
Definitions
Non-application
Non-application
Objet
Purposes
Définitions
Definitions
Données anonymisées
Anonymized data
Évaluation : système à incidence élevée
Assessment — high-impact system
Mesures relatives aux risques
Measures related to risks
Contrôle des mesures d’atténuation
Monitoring of mitigation measures
Tenue de documents généraux
Keeping general records
Publication de la description : système rendu disponible
Publication of description — making system available for use
Avis : préjudice important
Notification of material harm
Fourniture de documents visés au par. 10(1)
Provision of subsection 10(1) records
Fourniture de documents visés au par. 10(2)
Provision of subsection 10(2) records
Vérification
Audit
Mise en œuvre de mesures
Implementation of measures
Cessation
Cessation
Publication
Publication
Respect
Compliance
Dépôt à la Cour fédérale
Filing — Federal Court
Loi sur les textes réglementaires
Statutory Instruments Act
Maintien du caractère confidentiel
Confidential nature maintained
Obligation du ministre
Obligation of Minister
Communication de renseignements commerciaux confidentiels : assignation, mandat, etc.
Disclosure of confidential business information — subpoena, warrant, etc.
Communication de renseignements : analyste
Disclosure of information — analyst
Communication de renseignements : autres
Disclosure of information — others
Publication de renseignements : contravention
Publication of information — contravention
Publication de renseignements : préjudice
Publication of information — harm
Sanctions administratives pécuniaires
Administrative monetary penalties
Contravention : articles 6 à 12
Contravention — sections 6 to 12
Désignation
Designation
Pouvoirs généraux du ministre
General powers of Minister
Commissaire à l’intelligence artificielle et aux données
Artificial Intelligence and Data Commissioner
Analystes
Analysts
Comité consultatif
Advisory committee
Règlements du gouverneur en conseil
Regulations — Governor in Council
Règlements du ministre
Regulations — Minister
Possession ou utilisation de renseignements personnels
Possession or use of personal information
Système rendu disponible
Making system available for use
Peine
Punishment
Décret
Order in council
Décret
Order in council
1st Session, 44th Parliament, 70-71 Elizabeth II, 2021-2022 |
1re session, 44e législature, 70-71 Elizabeth II, 2021-2022 |
|
HOUSE OF COMMONS OF CANADA |
CHAMBRE DES COMMUNES DU CANADA |
|
BILL C-27 |
PROJET DE LOI C-27 |
|
An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts |
Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois |
|
Préambule
Attendu :
qu’il est nécessaire de moderniser le cadre législatif canadien afin qu’il soit adapté à l’ère numérique;
que la protection du droit à la vie privée des individus en ce qui a trait à leurs renseignements personnels est essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux au Canada;
que le Parlement reconnaît l’importance des principes de protection de la vie privée et des données qui sont exprimés dans divers instruments internationaux;
que la confiance dans l’économie axée sur le numérique et les données est cruciale pour la croissance de cette économie et pour que le Canada soit plus inclusif et prospère;
que le Canada est une nation commerçante et que le commerce repose sur l’analyse, la circulation et l’échange de renseignements personnels et de données sans frontières ni limites géographiques;
que la conception, l’élaboration et le déploiement de systèmes d’intelligence artificielle de part et d’autre des frontières provinciales et internationales devraient se faire en cohérence avec les normes nationales et internationales pour protéger les individus des préjudices potentiels;
que des organisations de toute taille évoluent dans l’économie axée sur le numérique et les données et qu’un cadre réglementaire flexible est nécessaire pour les aider à respecter les règles et favoriser l’innovation en leur sein;
que les individus s’attendent à un cadre réglementaire qui assure un traitement transparent et responsable de leurs renseignements personnels par les organisations et qui est appuyé par un contrôle d’application substantiel;
que la modernisation des normes nationales en matière de protection de la vie privée, en arrimant celles-ci aux normes internationales, assure l’existence de conditions de concurrence équitables partout au Canada et aide à maintenir la compétitivité des organisations;
qu’un cadre réglementaire moderne de protection des renseignements personnels devrait encourager la collecte, l’utilisation et la communication responsables des renseignements personnels par les organisations dans la poursuite d’objectifs d’intérêt public;
que le Parlement reconnaît que les systèmes d’intelligence artificielle et autres technologies émergentes devraient maintenir les normes et les valeurs canadiennes conformes aux principes du droit international en matière de droits de la personne;
que la présente loi vise à soutenir les efforts du gouvernement du Canada pour favoriser un environnement permettant aux Canadiens de saisir les avantages de l’économie axée sur le numérique et les données et pour établir un cadre réglementaire soutenant et protégeant les normes et les valeurs canadiennes, notamment le droit à la vie privée,
Preamble
Whereas there is a need to modernize Canada’s legislative framework so that it is suited to the digital age;
Whereas the protection of the privacy interests of individuals with respect to their personal information is essential to individual autonomy and dignity and to the full enjoyment of fundamental rights and freedoms in Canada;
Whereas Parliament recognizes the importance of the privacy and data protection principles contained in various international instruments;
Whereas trust in the digital and data-driven economy is key to ensuring its growth and fostering a more inclusive and prosperous Canada;
Whereas Canada is a trading nation and trade and commerce rely on the analysis, circulation and exchange of personal information and data across borders and geographical boundaries;
Whereas the design, development and deployment of artificial intelligence systems across provincial and international borders should be consistent with national and international standards to protect individuals from potential harm;
Whereas organizations of all sizes operate in the digital and data-driven economy and an agile regulatory framework is necessary to facilitate compliance with rules by, and promote innovation within, those organizations;
Whereas individuals expect a regulatory framework that ensures transparency and accountability with respect to how organizations handle their personal information and that is backed by meaningful enforcement;
Whereas the modernization of national standards for privacy protection to align them with international standards ensures a level playing field for organizations across Canada and assists them in maintaining their competitive position;
Whereas a modern regulatory framework governing the protection of personal information should promote the responsible collection, use and disclosure of such information by organizations for purposes that are in the public interest;
Whereas Parliament recognizes that artificial intelligence systems and other emerging technologies should uphold Canadian norms and values in line with the principles of international human rights law;
And whereas this Act aims to support the Government of Canada’s efforts to foster an environment in which Canadians can seize the benefits of the digital and data-driven economy and to establish a regulatory framework that supports and protects Canadian norms and values, including the right to privacy;
Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :
Now, therefore, Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:
Titre abrégé
Short Title
Titre abrégé
Short title
1 Loi de 2022 sur la mise en œuvre de la Charte du numérique.
1 This Act may be cited as the Digital Charter Implementation Act, 2022.
PARTIE 1 Loi sur la protection de la vie privée des consommateurs
PART 1 Consumer Privacy Protection Act
Édiction de la loi
Enactment of Act
Édiction
Enactment
2 Est édictée la Loi sur la protection de la vie privée des consommateurs, dont le texte suit et dont l’annexe figure à l’annexe de la présente loi :
2 The Consumer Privacy Protection Act, whose text is as follows and whose schedule is set out in the schedule to this Act, is enacted:
Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
1 Loi sur la protection de la vie privée des consommateurs.
1 This Act may be cited as the Consumer Privacy Protection Act.
Définitions et interprétation
Interpretation
2 (1) Les définitions qui suivent s’appliquent à la présente loi.
activité commerciale Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial, y compris la vente, le troc ou la location de listes de donateurs, d’adhésion ou de collecte de fonds. (commercial activity)
anonymiser Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit. (anonymize)
atteinte aux mesures de sécurité Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 57 ou du fait que ces mesures n’ont pas été mises en place. (breach of security safeguards)
commissaire Le Commissaire à la protection de la vie privée nommé en application de l’article 53 de la Loi sur la protection des renseignements personnels. (Commissioner)
dépersonnaliser Modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement. (de-identify)
document Éléments d’information, quel qu’en soit la forme ou le support. (record)
entreprises fédérales Les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement. Sont compris parmi les entreprises fédérales :
a) les installations, ouvrages, entreprises ou secteurs d’activité qui se rapportent à la navigation et aux transports par eau, notamment l’exploitation de navires et le transport par navire partout au Canada;
b) les installations ou ouvrages, notamment les chemins de fer, canaux ou liaisons télégraphiques, reliant une province à une autre, ou débordant les limites d’une province, et les entreprises correspondantes;
c) les lignes de transport par bateaux à vapeur ou autres navires, reliant une province à une autre, ou débordant les limites d’une province;
d) les passages par eaux entre deux provinces ou entre une province et un pays étranger;
e) les aéroports, aéronefs ou lignes de transport aérien;
f) les stations de radiodiffusion;
g) les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;
h) les ouvrages qui, bien qu’entièrement situés dans une province, sont, avant ou après leur réalisation, déclarés par le Parlement être à l’avantage général du Canada ou à l’avantage de plusieurs provinces;
i) les installations, ouvrages, entreprises ou secteurs d’activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales;
j) les installations, ouvrages, entreprises ou secteurs d’activité auxquels le droit, au sens de l’alinéa a) de la définition de droit à l’article 2 de la Loi sur les océans, s’applique en vertu de l’article 20 de cette loi et des règlements pris en vertu de l’alinéa 26(1)k) de la même loi. (federal work, undertaking or business)
fournisseur de services Toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins. (service provider)
ministre Le membre du Conseil privé de la Reine pour le Canada désigné en vertu de l’article 3 ou, à défaut de désignation, le ministre de l’Industrie. (Minister)
organisation S’entend notamment des associations, sociétés de personnes, personnes et organisations syndicales. (organization)
renseignement personnel Tout renseignement concernant un individu identifiable. (personal information)
retrait S’agissant de renseignements personnels, leur suppression définitive et irréversible ou le fait de les anonymiser. (dispose)
support de substitution Tout support permettant à un individu ayant une déficience sensorielle de lire ou d’écouter des renseignements personnels. (alternative format)
système décisionnel automatisé Technologie utilisant des systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond, des réseaux neuronaux ou d’autres techniques afin d’appuyer ou de remplacer le jugement de décideurs humains. (automated decision system)
transaction commerciale S’entend notamment des transactions suivantes :
a) l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;
b) la fusion ou le regroupement d’organisations;
c) le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;
d) le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;
e) la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;
f) tout autre arrangement réglementaire entre des organisations pour la poursuite d’activités d’affaires. (business transaction)
Tribunal Tribunal de la protection des renseignements personnels et des données constitué en vertu de l’article 4 de la Loi sur le Tribunal de la protection des renseignements personnels et des données. (Tribunal)
2 (1) The following definitions apply in this Act.
alternative format, with respect to personal information, means a format that allows an individual with a sensory disability to read or listen to the personal information. (support de substitution)
anonymize means to irreversibly and permanently modify personal information, in accordance with generally accepted best practices, to ensure that no individual can be identified from the information, whether directly or indirectly, by any means. (anonymiser)
automated decision system means any technology that assists or replaces the judgment of human decision-makers through the use of a rules-based system, regression analysis, predictive analytics, machine learning, deep learning, a neural network or other technique. (système décisionnel automatisé)
breach of security safeguards means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in section 57 or from a failure to establish those safeguards. (atteinte aux mesures de sécurité)
business transaction includes
(a) the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;
(b) the merger or amalgamation of two or more organizations;
(c) the making of a loan or provision of other financing to an organization or a part of an organization;
(d) the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;
(e) the lease or licensing of any of an organization’s assets; and
(f) any other prescribed arrangement between two or more organizations to conduct a business activity. (transaction commerciale)
commercial activity means any particular transaction, act or conduct or any regular course of conduct that is of a commercial character, including the selling, bartering or leasing of donor, membership or other fundraising lists. (activité commerciale)
Commissioner means the Privacy Commissioner appointed under section 53 of the Privacy Act. (commissaire)
de-identify means to modify personal information so that an individual cannot be directly identified from it, though a risk of the individual being identified remains. (dépersonnaliser)
dispose means to permanently and irreversibly delete personal information or to anonymize it. (retrait)
federal work, undertaking or business means any work, undertaking or business that is within the legislative authority of Parliament. It includes
(a) a work, undertaking or business that is operated or carried on for or in connection with navigation and shipping, whether inland or maritime, including the operation of ships and transportation by ship anywhere in Canada;
(b) a railway, canal, telegraph or other work or undertaking that connects a province with another province, or that extends beyond the limits of a province;
(c) a line of ships that connects a province with another province, or that extends beyond the limits of a province;
(d) a ferry between a province and another province or between a province and a country other than Canada;
(e) aerodromes, aircraft or a line of air transportation;
(f) a radio broadcasting station;
(g) a bank or an authorized foreign bank as defined in section 2 of the Bank Act;
(h) a work that, although wholly situated within a province, is before or after its execution declared by Parliament to be for the general advantage of Canada or for the advantage of two or more provinces;
(i) a work, undertaking or business outside the exclusive legislative authority of the legislatures of the provinces; and
(j) a work, undertaking or business to which federal laws, within the meaning of section 2 of the Oceans Act, apply under section 20 of that Act and any regulations made under paragraph 26(1)(k) of that Act. (entreprises fédérales)
Minister means the member of the Queen’s Privy Council for Canada designated under section 3 or, if no member is designated, the Minister of Industry. (ministre)
organization includes an association, a partnership, a person or a trade union. (organisation)
personal information means information about an identifiable individual. (renseignement personnel)
prescribed means prescribed by regulation. (Version anglaise seulement)
record means any documentary material, regardless of medium or form. (document)
service provider means an organization, including a parent corporation, subsidiary, affiliate, contractor or subcontractor, that provides services for or on behalf of another organization to assist the organization in fulfilling its purposes. (fournisseur de services)
Tribunal means the Personal Information and Data Protection Tribunal established under section 4 of the Personal Information and Data Protection Tribunal Act. (Tribunal)
(2) Pour l’application de la présente loi, les renseignements personnels d’un mineur sont considérés comme étant de nature sensible.
(2) For the purposes of this Act, the personal information of minors is considered to be sensitive information.
(3) Pour l’application de la présente loi, à l’exception des articles 20 et 21, des paragraphes 22(1) et 39(1), des articles 55 et 56, du paragraphe 63(1) et des articles 71, 72, 74, 75 et 116, les renseignements personnels qui ont été dépersonnalisés sont considérés comme étant des renseignements personnels.
(3) For the purposes of this Act, other than sections 20 and 21, subsections 22(1) and 39(1), sections 55 and 56, subsection 63(1) and sections 71, 72, 74, 75 and 116, personal information that has been de-identified is considered to be personal information.
3 Le gouverneur en conseil peut, par décret, désigner tout membre du Conseil privé de la Reine pour le Canada à titre de ministre chargé de l’application de la présente loi.
3 The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Act.
4 Les droits et recours prévus sous le régime la présente loi peuvent être exercés :
a) au nom du mineur qui n’a ni la capacité ni la volonté de les exercer personnellement, par le parent ou le tuteur;
b) au nom de l’individu, autre qu’un mineur, frappé d’une incapacité juridique, par la personne autorisée par la loi à administrer les affaires ou les biens de celui-ci;
c) au nom de l’individu décédé, par la personne autorisée par la loi à administrer la succession de celui-ci, mais aux seules fins d’administrer la succession.
4 The rights and recourses provided under this Act may be exercised
(a) on behalf of a minor by a parent, guardian or tutor, unless the minor wishes to personally exercise those rights and recourses and is capable of doing so;
(b) on behalf of an individual, other than a minor, under a legal incapacity by a person authorized by law to administer the affairs or property of that individual; and
(c) on behalf of a deceased individual by a person authorized by law to administer the estate or succession of that individual, but only for the purpose of that administration.
Objet et champ d’application
Purpose and Application
5 La présente loi a pour objet de fixer, dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels, des règles régissant la protection des renseignements personnels d’une manière qui tient compte, à la fois, du droit à la vie privée des individus quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
5 The purpose of this Act is to establish — in an era in which data is constantly flowing across borders and geographical boundaries and significant economic activity relies on the analysis, circulation and exchange of personal information — rules to govern the protection of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.
6 (1) La présente loi s’applique à toute organisation à l’égard des renseignements personnels :
a) soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales;
b) soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.
6 (1) This Act applies to every organization in respect of personal information that
(a) the organization collects, uses or discloses in the course of commercial activities; or
(b) is about an employee of, or an applicant for employment with, the organization and that the organization collects, uses or discloses in connection with the operation of a federal work, undertaking or business.
(2) Il est entendu que la présente loi s’applique à l’égard des renseignements personnels qui sont, selon le cas :
a) recueillis, utilisés ou communiqués à l’échelle interprovinciale ou internationale par une organisation;
b) recueillis, utilisés ou communiqués à l’échelle intraprovinciale, par une organisation, dans la mesure où elle n’est pas exclue de l’application de la présente loi par un décret pris en vertu de l’alinéa 122(2)b).
(2) For greater certainty, this Act applies in respect of personal information
(a) that is collected, used or disclosed interprovincially or internationally by an organization; or
(b) that is collected, used or disclosed by an organization within a province, to the extent that the organization is not exempt from the application of this Act under an order made under paragraph 122(2)(b).
(3) La présente loi s’applique également à toute organisation figurant à la colonne 1 de l’annexe à l’égard des renseignements personnels figurant à la colonne 2.
(3) This Act also applies to an organization set out in column 1 of the schedule in respect of personal information set out in column 2.
(4) Elle ne s’applique pas :
a) aux institutions fédérales auxquelles s’applique la Loi sur la protection des renseignements personnels;
b) aux individus à l’égard des renseignements personnels qu’ils recueillent, utilisent ou communiquent uniquement à des fins personnelles ou domestiques;
c) aux organisations à l’égard des renseignements personnels qu’elles recueillent, utilisent ou communiquent uniquement à des fins journalistiques, artistiques ou littéraires;
d) aux organisations à l’égard des renseignements personnels de tout individu qu’elles recueillent, utilisent ou communiquent uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession;
e) aux organisations soustraites à l’application de la présente loi par décret pris en vertu de l’alinéa 122(2)b) à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels à l’intérieur de la province en cause.
(4) This Act does not apply to
(a) any government institution to which the Privacy Act applies;
(b) any individual in respect of personal information that the individual collects, uses or discloses solely for personal or domestic purposes;
(c) any organization in respect of personal information that the organization collects, uses or discloses solely for journalistic, artistic or literary purposes;
(d) any organization in respect of an individual’s personal information that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession; or
(e) any organization that is, under an order made under paragraph 122(2)(b), exempt from the application of this Act in respect of the collection, use or disclosure of personal information that occurs within a province in respect of which the order was made.
(5) Il est entendu que la présente loi ne s’applique pas à l’égard des renseignements personnels qui ont été anonymisés.
(5) For greater certainty, this Act does not apply in respect of personal information that has been anonymized.
(6) Les dispositions de la présente loi s’appliquent malgré toute disposition — édictée après le 31 décembre 2000 — d’une autre loi fédérale, sauf dérogation expresse de la disposition de l’autre loi.
(6) Every provision of this Act applies despite any provision, enacted after December 31, 2000, of any other Act of Parliament, unless the other Act expressly declares that that provision operates despite the provision of this Act.
PARTIE 1 Obligations des organisations
PART 1 Obligations of Organizations
7 (1) Toute organisation est responsable des renseignements personnels qui relèvent d’elle.
7 (1) An organization is accountable for personal information that is under its control.
(2) Les renseignements personnels relèvent de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle.
(2) Personal information is under the control of the organization that decides to collect it and that determines the purposes for its collection, use or disclosure, regardless of whether the information is collected, used or disclosed by the organization itself or by a service provider on behalf of the organization.
8 (1) L’organisation désigne un ou plusieurs individus chargés des questions relatives aux obligations qui lui incombent sous le régime de la présente loi. Les coordonnées d’affaires des individus désignés sont fournies à toute personne par l’organisation sur demande.
8 (1) An organization must designate one or more individuals to be responsible for matters related to its obligations under this Act. It must provide the designated individual’s business contact information to any person who requests it.
(2) La désignation d’un individu en application du paragraphe (1) n’exempte pas l’organisation des obligations qui lui incombent sous le régime de la présente loi.
(2) The designation of an individual under subsection (1) does not relieve the organization of its obligations under this Act.
9 (1) L’organisation met en œuvre et tient à jour un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elle a mises en place pour se conformer aux obligations qui lui incombent sous le régime de la présente loi, notamment des politiques, des pratiques et des procédures relatives :
a) à la protection des renseignements personnels;
b) à la réception et au traitement des demandes de renseignements et des plaintes;
c) à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures;
d) à l’élaboration de contenu expliquant ses politiques et ses procédures.
9 (1) Every organization must implement and maintain a privacy management program that includes the policies, practices and procedures the organization has put in place to fulfill its obligations under this Act, including policies, practices and procedures respecting
(a) the protection of personal information;
(b) how requests for information and complaints are received and dealt with;
(c) the training and information provided to the organization’s staff respecting its policies, practices and procedures; and
(d) the development of materials to explain the organization’s policies and procedures.
(2) Lorsqu’elle élabore son programme de gestion de protection des renseignements personnels, l’organisation tient compte du volume et de la nature sensible des renseignements personnels qui relèvent d’elle.
(2) In developing its privacy management program, the organization must take into account the volume and sensitivity of the personal information under its control.
10 (1) Sur demande du commissaire, l’organisation lui donne accès aux politiques, pratiques et procédures comprises dans son programme de gestion de la protection des renseignements personnels.
10 (1) An organization must, on request of the Commissioner, provide the Commissioner with access to the policies, practices and procedures that are included in its privacy management program.
(2) Après examen de ces politiques, pratiques et procédures, le commissaire peut fournir des conseils ou recommander des mesures correctives à l’organisation relativement à son programme de gestion de la protection des renseignements personnels.
(2) The Commissioner may, after reviewing the policies, practices and procedures, provide guidance on, or recommend that corrective measures be taken by the organization in relation to, its privacy management program.
11 (1) L’organisation qui transfère des renseignements personnels à un fournisseur de services veille, contractuellement ou autrement, à ce que celui-ci offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la présente loi.
11 (1) If an organization transfers personal information to a service provider, the organization must ensure, by contract or otherwise, that the service provider provides a level of protection of the personal information equivalent to that which the organization is required to provide under this Act.
(2) Les obligations prévues à la présente partie, à l’exception de celles prévues aux articles 57 et 61, ne s’appliquent pas au fournisseur de services relativement aux renseignements personnels qui lui sont transférés. Il est toutefois assujetti à l’ensemble de ces obligations s’il les recueille, les utilise ou les communique à toutes autres fins que celles pour lesquelles ils lui ont été transférés.
(2) The obligations under this Part, other than those set out in sections 57 and 61, do not apply to a service provider in respect of personal information that is transferred to it. However, the service provider is subject to all of the obligations under this Part if it collects, uses or discloses that information for any purpose other than the purposes for which the information was transferred.
12 (1) Que le consentement soit requis ou non aux termes de la présente loi, l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances.
12 (1) An organization may collect, use or disclose personal information only in a manner and for purposes that a reasonable person would consider appropriate in the circumstances, whether or not consent is required under this Act.
(2) Pour établir le caractère acceptable des fins et de la manière, il est tenu compte des éléments suivants :
a) la mesure dans laquelle les renseignements personnels sont de nature sensible;
b) le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation;
c) le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation;
d) l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables;
e) la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu.
(2) The following factors must be taken into account in determining whether the manner and purposes referred to in subsection (1) are appropriate:
(a) the sensitivity of the personal information;
(b) whether the purposes represent legitimate business needs of the organization;
(c) the effectiveness of the collection, use or disclosure in meeting the organization’s legitimate business needs;
(d) whether there are less intrusive means of achieving those purposes at a comparable cost and with comparable benefits; and
(e) whether the individual’s loss of privacy is proportionate to the benefits in light of the measures, technical or otherwise, implemented by the organization to mitigate the impacts of the loss of privacy on the individual.
(3) L’organisation établit et consigne les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués avant la collecte ou au plus tard au moment de celle-ci.
(3) An organization must determine at or before the time of the collection of any personal information each of the purposes for which the information is to be collected, used or disclosed and record those purposes.
(4) Si elle établit que les renseignements personnels qu’elle a recueillis seront utilisés ou communiqués à une fin nouvelle, l’organisation consigne la fin avant d’utiliser ou de communiquer les renseignements personnels à cette fin.
(4) If the organization determines that the personal information it has collected is to be used or disclosed for a new purpose, the organization must record that new purpose before using or disclosing that information for the new purpose.
13 L’organisation ne peut recueillir que les renseignements personnels qui sont nécessaires aux fins qu’elle a établies et consignées en application du paragraphe 12(3).
13 The organization may collect only the personal information that is necessary for the purposes determined and recorded under subsection 12(3).
14 (1) L’organisation ne peut utiliser ou communiquer des renseignements personnels pour des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), sauf si elle obtient le consentement valide de l’individu concerné avant de le faire.
14 (1) An organization must not use or disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3), unless the organization obtains the individual’s valid consent before any use or disclosure for that other purpose.
(2) Toutefois, l’organisation peut :
a) utiliser des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux articles 18, 20 et 21, aux paragraphes 22(1) et (3) et aux articles 23, 24, 26, 30, 41 et 51;
b) communiquer des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux paragraphes 22(1) et (3), aux articles 23 à 28, 31 à 37 et 39, au paragraphe 40(3) et aux articles 42 et 43 à 51.
(2) Despite subsection (1), an organization may
(a) use personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in sections 18, 20 and 21, subsections 22(1) and (3) and sections 23, 24, 26, 30, 41 and 51; or
(b) disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in subsections 22(1) and (3), sections 23 to 28, 31 to 37 and 39, subsection 40(3) and sections 42 and 43 to 51.
15 (1) Sauf disposition contraire de la présente loi, l’organisation qui recueille, utilise ou communique des renseignements personnels doit d’abord obtenir le consentement valide de l’individu concerné.
15 (1) Unless this Act provides otherwise, an organization must obtain an individual’s valid consent for the collection, use or disclosure of the individual’s personal information.
(2) Le consentement valide doit être obtenu au plus tard au moment de recueillir les renseignements personnels ou, s’agissant de renseignements qui seront utilisés ou communiqués à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), avant de les utiliser ou de les communiquer à ces autres fins.
(2) The individual’s consent must be obtained at or before the time of the collection of the personal information or, if the information is to be used or disclosed for a purpose other than a purpose determined and recorded under subsection 12(3), before any use or disclosure of the information for that other purpose.
(3) Le consentement n’est valide que si l’organisation fournit d’abord à l’individu concerné les renseignements suivants :
a) les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels, établies par l’organisation et consignées en application des paragraphes 12(3) ou (4);
b) la manière dont les renseignements personnels seront recueillis, utilisés ou communiqués;
c) les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;
d) le type précis de renseignements personnels que l’organisation recueillera, utilisera ou communiquera;
e) le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués.
(3) The individual’s consent is valid only if, at or before the time that the organization seeks the individual’s consent, it provides the individual with the following information:
(a) the purposes for the collection, use or disclosure of the personal information determined by the organization and recorded under subsection 12(3) or (4);
(b) the manner in which the personal information is to be collected, used or disclosed;
(c) any reasonably foreseeable consequences of the collection, use or disclosure of the personal information;
(d) the specific type of personal information that is to be collected, used or disclosed; and
(e) the names of any third parties or types of third parties to which the organization may disclose the personal information.
(4) L’organisation fournit les renseignements mentionnés au paragraphe (3) dans un langage clair et raisonnablement compréhensible pour un individu visé par les activités de l’organisation.
(4) The organization must provide the information referred to in subsection (3) in plain language that an individual to whom the organization’s activities are directed would reasonably be expected to understand.
(5) Le consentement doit être obtenu expressément, sauf si, sous réserve du paragraphe (6), il est approprié de présumer le consentement implicite de l’individu compte tenu de la nature sensible des renseignements personnels à recueillir, à utiliser ou à communiquer et des attentes raisonnables de cet individu.
(5) Consent must be expressly obtained unless, subject to subsection (6), it is appropriate to rely on an individual’s implied consent, taking into account the reasonable expectations of the individual and the sensitivity of the personal information that is to be collected, used or disclosed.
(6) Il n’est pas approprié pour l’organisation de présumer le consentement implicite d’un individu lorsqu’elle recueille ou utilise ses renseignements personnels en vue d’une activité mentionnée aux paragraphes 18(2) ou (3).
(6) It is not appropriate to rely on an individual’s implied consent if their personal information is collected or used for an activity described in subsection 18(2) or (3).
(7) L’organisation ne peut, pour le motif qu’elle fournit un bien ou un service, exiger d’un individu qu’il consente à la collecte, à l’utilisation ou à la communication de renseignements personnels qui ne sont pas nécessaires à la fourniture du bien ou à la prestation du service.
(7) The organization must not, as a condition of the provision of a product or service, require an individual to consent to the collection, use or disclosure of their personal information beyond what is necessary to provide the product or service.
16 Il est interdit à l’organisation d’utiliser des pratiques trompeuses ou mensongères ou de fournir desinformations fausses ou trompeuses pour obtenir, ou tenter d’obtenir, un consentement. Tout consentement ainsi obtenu n’est pas valide.
16 An organization must not obtain or attempt to obtain an individual’s consent by providing false or misleading information or using deceptive or misleadingpractices. Any consent obtained under those circumstances is invalid.
17 (1) Sous réserve de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable, l’individu peut à tout moment retirer son consentement, en tout ou en partie. Le cas échéant, il en avise l’organisation suffisamment à l’avance.
17 (1) On giving reasonable notice to an organization, an individual may, at any time, subject to this Act, to federal or provincial law or to the reasonable terms of a contract, withdraw their consent in whole or in part.
(2) Sur réception de l’avis, l’organisation informe l’individu concerné des conséquences du retrait de son consentement et cesse ensuite, dès que possible, de recueillir, d’utiliser ou de communiquer les renseignements personnels à l’égard desquels le consentement a été retiré.
(2) On receiving the notice from the individual, the organization must inform the individual of the consequences of the withdrawal of their consent and, as soon as feasible after that, cease the collection, use or disclosure of the individual’s personal information in respect of which the consent was withdrawn.
18 (1) L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité d’affaires mentionnée au paragraphe (2) et, à la fois :
a) une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité;
b) les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.
18 (1) An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for the purpose of a business activity described in subsection (2) and
(a) a reasonable person would expect the collection or use for such an activity; and
(b) the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.
(2) Sous réserve des règlements, sont des activités d’affaires pour l’application du paragraphe (1) :
a) les activités nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation;
b) les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation;
c) les activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit;
d) toute autre activité réglementaire.
(2) Subject to the regulations, the following activities are business activities for the purpose of subsection (1):
(a) an activity that is necessary to provide a product or service that the individual has requested from the organization;
(b) an activity that is necessary for the organization’s information, system or network security;
(c) an activity that is necessary for the safety of a product or service that the organization provides; and
(d) any other prescribed activity.
(3) L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu et si, à la fois :
a) une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité;
b) les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.
(3) An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for the purpose of an activity in which the organization has a legitimate interest that outweighs any potential adverse effect on the individual resulting from that collection or use and
(a) a reasonable person would expect the collection or use for such an activity; and
(b) the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.
(4) Avant de se prévaloir du paragraphe (3) pour recueillir ou d’utiliser des renseignements personnels, l’organisation est tenue :
a) de déceler tout effet négatif potentiel que la collecte ou l’utilisation est susceptible d’avoir pour l’individu;
b) de trouver et de prendre des moyens raisonnables pour réduire la probabilité que ces effets se produisent ou pour les atténuer ou les éliminer;
c) de se conformer à toute autre exigence réglementaire.
(4) Prior to collecting or using personal information under subsection (3), the organization must
(a) identify any potential adverse effect on the individual that is likely to result from the collection or use;
(b) identify and take reasonable measures to reduce the likelihood that the effects will occur or to mitigate or eliminate them; and
(c) comply with any prescribed requirements.
(5) L’organisation consigne son évaluation de la manière dont elle remplit les conditions visées au paragraphe (4). Sur demande du commissaire, elle lui en remet une copie.
(5) The organization must record its assessment of how it meets the conditions set out in subsection (4) and must, on request, provide a copy of the assessment to the Commissioner.
19 L’organisation peut transférer à des fournisseurs de services les renseignements personnels d’un individu à son insu ou sans son consentement.
19 An organization may transfer an individual’s personal information to a service provider without their knowledge or consent.
20 L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, afin de les dépersonnaliser.
20 An organization may use an individual’s personal information without their knowledge or consent to de-identify the information.
21 L’organisation peut utiliser les renseignements personnels d’un individu à son insu ou sans son consentement à des fins de recherche, d’analyse et de développement internes, s’ils sont dépersonnalisés avant leur utilisation.
21 An organization may use an individual’s personal information without their knowledge or consent for the organization’s internal research, analysis and development purposes, if the information is de-identified before it is used.
22 (1) Les organisations qui seront parties à une éventuelle transaction commerciale peuvent utiliser et communiquer les renseignements personnels d’un individu à son insu ou sans son consentement, si, à la fois :
a) les renseignements personnels sont dépersonnalisés avant l’utilisation ou la communication, selon le cas, et le demeurent jusqu’à ce que la transaction soit effectuée;
b) les organisations ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :
(i) à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,
(ii) à les protéger au moyen de mesures de sécurité proportionnelles à la mesure dans laquelle ils sont de nature sensible,
(iii) si la transaction n’aura pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à procéder à leur retrait, dans un délai raisonnable;
c) les organisations se conforment à l’accord;
d) les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.
22 (1) Organizations that are parties to a prospective business transaction may use and disclose an individual’s personal information without their knowledge or consent if
(a) the information is de-identified before it is used or disclosed and remains so until the transaction is completed;
(b) the organizations have entered into an agreement that requires the organization that receives the information
(i) to use and disclose that information solely for purposes related to the transaction,
(ii) to protect the information by security safeguards proportionate to the sensitivity of the information, and
(iii) if the transaction does not proceed, to return the information to the organization that disclosed it, or dispose of it, within a reasonable time;
(c) the organizations comply with the terms of that agreement; and
(d) the information is necessary
(i) to determine whether to proceed with the transaction, and
(ii) if the determination is made to proceed with the transaction, to complete it.
(2) L’organisation n’est pas tenue de respecter l’exigence prévue à l’alinéa (1)a) si cela nuit aux objectifs de l’éventuelle transaction commerciale et que l’organisation a tenu compte du risque de préjudice pour l’individu que pourrait entraîner l’utilisation ou la communication.
(2) The requirement referred to in paragraph (1)(a) does not apply if it would undermine the objectives for carrying out the transaction and the organization has taken into account the risk of harm to the individual that could result from using or disclosing the information.
(3) Si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels mentionnés au paragraphe (1), à l’insu d’un individu ou sans son consentement si, à la fois :
a) elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :
(i) à n’utiliser et ne communiquer les renseignements personnels qui relèvent d’elle qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,
(ii) à les protéger au moyen de mesures de sécurité proportionnelles à la mesure dans laquelle ils sont de nature sensible,
(iii) à donner effet à tout retrait de consentement fait en conformité avec le paragraphe 17(1);
b) elles se conforment à l’accord;
c) les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;
d) dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’individu du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).
(3) If the business transaction is completed, the organizations that are parties to the transaction may use and disclose the personal information referred to in subsection (1) without the individual’s knowledge or consent if
(a) the organizations have entered into an agreement that requires each of them
(i) to use and disclose the information under its control solely for the purposes for which the information was collected or permitted to be used or disclosed before the transaction was completed,
(ii) to protect that information by security safeguards proportionate to the sensitivity of the information, and
(iii) to give effect to any withdrawal of consent made under subsection 17(1);
(b) the organizations comply with the terms of that agreement;
(c) the information is necessary for carrying on the business or activity that was the object of the transaction; and
(d) one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their information has been disclosed under subsection (1).
(4) Les paragraphes (1) et (3) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.
(4) Subsections (1) and (3) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.
23 L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit d’un renseignement qui est produit par l’individu dans le cadre de son emploi, de son entreprise ou de sa profession et dont la collecte, l’utilisation ou la communication est compatible avec les fins auxquelles il a été produit.
23 An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if it was produced by the individual in the course of their employment, business or profession and the collection, use or disclosure is consistent with the purposes for which the information was produced.
24 Dans le cadre d’une entreprise fédérale, l’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu sans son consentement, si à la fois :
a) la collecte, l’utilisation ou la communication est nécessaire pour établir ou gérer la relation d’emploi entre l’individu et l’organisation, ou pour y mettre fin;
b) l’organisation a informé l’individu que ses renseignements personnels seraient ou pourraient être recueillis, utilisés ou communiqués à ces fins.
24 An organization that operates a federal work, undertaking or business may collect, use or disclose an individual’s personal information without their consent if
(a) the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the organization and the individual in connection with the operation of a federal work, undertaking or business; and
(b) the organization has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.
25 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’avocat — ou, au Québec, à l’avocat ou au notaire — qui la représente.
25 An organization may disclose an individual’s personal information without their knowledge or consent to a lawyer or, in Quebec, a lawyer or notary, who is representing the organization.
26 L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils sont contenus dans la déclaration d’un témoin et que la collecte, l’utilisation ou la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement.
26 An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the information is contained in a witness statement and the collection, use or disclosure is necessary to assess, process or settle an insurance claim.
27 (1) L’organisation peut, si la communication est raisonnable, communiquer à une autre organisation les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.
27 (1) An organization may disclose an individual’s personal information to another organization without the individual’s knowledge or consent if the disclosure is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the individual’s knowledge or consent would compromise the ability to prevent, detect or suppress the fraud.
(2) L’organisation peut recueillir ou utiliser les renseignements personnels qui lui sont communiqués au titre du paragraphe (1) à l’insu ou sans le consentement de l’individu.
(2) An organization may collect or use an individual’s personal information without their knowledge or consent if the information was disclosed to it under subsection (1).
28 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue du recouvrement d’une créance qu’elle a contre lui.
28 An organization may disclose an individual’s personal information without their knowledge or consent for the purpose of collecting a debt owed by the individual to the organization.
29 (1) L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte des renseignements est manifestement dans l’intérêt de l’individu et le consentement ne peut être obtenu auprès de celui-ci en temps opportun.
29 (1) An organization may collect an individual’s personal information without their knowledge or consent if the collection is clearly in the interests of the individual and consent cannot be obtained in a timely way.
(2) L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).
(2) An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).
30 L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, pour répondre à une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu.
30 An organization may use an individual’s personal information without their knowledge or consent for the purpose of acting in respect of an emergency that threatens the life, health or security of any individual.
31 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à toute personne qui en a besoin en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu. Dans le cas où l’individu dont les renseignements ont été communiqués est vivant, l’organisation l’en informe par écrit et sans délai.
31 An organization may disclose an individual’s personal information without their knowledge or consent to a person who needs the information because of an emergency that threatens the life, health or security of any individual. If the individual whom the information is about is alive, the organization must inform that individual in writing without delay of the disclosure.
32 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est nécessaire aux fins d’identification de l’individu qui est blessé, malade ou décédé et qu’elle est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé. Dans le cas où l’individu est vivant, l’organisation l’en informe par écrit et sans délai.
32 An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is necessary to identify the individual who is injured, ill or deceased and is made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative. If the individual is alive, the organization must inform them in writing without delay of the disclosure.
33 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est faite afin d’entrer en contact avec un proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé.
33 An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual.
34 L’organisation peut communiquer, de sa propre initiative, les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé, si les conditions suivantes sont remplies :
a) l’organisation a des motifs raisonnables de croire que l’individu a été, est ou pourrait être victime d’exploitation financière;
b) la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête sur celle-ci;
c) il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.
34 An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution, a part of a government institution or the individual’s next of kin or authorized representative if
(a) the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse;
(b) the disclosure is made solely for purposes related to preventing or investigating the abuse; and
(c) it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse.
35 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :
a) la communication est faite à des fins de statistique ou d’étude ou de recherche, et ces fins ne peuvent être réalisées sans que les renseignements ne soient communiqués;
b) le consentement est pratiquement impossible à obtenir;
c) l’organisation informe le commissaire de la communication préalablement à celle-ci.
35 An organization may disclose an individual’s personal information without their knowledge or consent if
(a) the disclosure is made for statistical purposes or for study or research purposes and those purposes cannot be achieved without disclosing the information;
(b) it is impracticable to obtain consent; and
(c) the organization informs the Commissioner of the disclosure before the information is disclosed.
36 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution dont les attributions comprennent la conservation de documents ayant une importance historique ou archivistique en vue d’une telle conservation.
36 An organization may disclose an individual’s personal information without their knowledge or consent to an institution whose functions include the conservation of records of historic or archival importance, if the disclosure is made for the purpose of such conservation.
37 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, cent ans après la constitution du document les contenant ou vingt ans après le décès de l’individu, selon celle de ces périodes qui se termine la première.
37 An organization may disclose an individual’s personal information without their knowledge or consent after the earlier of
(a) 100 years after the record containing the information was created, and
(b) 20 years after the death of the individual.
38 L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires.
38 An organization may collect an individual’s personal information without their knowledge or consent if the collection is solely for journalistic, artistic or literary purposes.
39 (1) L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :
a) les renseignements personnels sont dépersonnalisés avant la communication;
b) la communication est faite :
(i) à une institution gouvernementale au Canada ou à une subdivision d’une telle institution,
(ii) à un établissement de soins de santé, à un établissement d’enseignement postsecondaire ou à une bibliothèque publique situés au Canada,
(iii) à une organisation mandatée, en vertu d’une loi fédérale ou provinciale ou d’un contrat avec une institution gouvernementale au Canada — ou avec une subdivision d’une telle institution —, pour réaliser une fin socialement bénéfique,
(iv) à toute autre entité réglementaire;
c) la communication est faite pour une fin socialement bénéfique.
39 (1) An organization may disclose an individual’s personal information without their knowledge or consent if
(a) the personal information is de-identified before the disclosure is made;
(b) the disclosure is made to
(i) a government institution or part of a government institution in Canada,
(ii) a health care institution, post-secondary educational institution or public library in Canada,
(iii) any organization that is mandated, under a federal or provincial law or by contract with a government institution or part of a government institution in Canada, to carry out a socially beneficial purpose, or
(iv) any other prescribed entity; and
(c) the disclosure is made for a socially beneficial purpose.
(2) Pour l’application du présent article, fin socialement bénéfique s’entend de toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire.
(2) For the purpose of this section, socially beneficial purpose means a purpose related to health, the provision or improvement of public amenities or infrastructure, the protection of the environment or any other prescribed purpose.
40 (1) L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’individu compromette l’exactitude des renseignements ou l’accès à ceux-ci, et si la collecte est raisonnable et faite à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial.
40 (1) An organization may collect an individual’s personal information without their knowledge or consent if it is reasonable to expect that the collection with their knowledge or consent would compromise the availability or the accuracy of the information and the collection is reasonable for purposes related to investigating a breach of an agreement or a contravention of federal or provincial law.
(2) L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).
(2) An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).
(3) L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette l’enquête.
(3) An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of federal or provincial law that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation.
41 L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, si, dans le cadre de ses activités, elle découvre l’existence de renseignements dont elle a des motifs raisonnables de croire qu’ils pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être et si l’utilisation est faite en vue d’enquêter sur cette contravention.
41 An organization may use an individual’s personal information without their knowledge or consent if, in the course of its activities, the organization becomes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed and the information is used for the purpose of investigating that contravention.
42 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement si :
a) d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe 59(1);
b) d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’individu qui pourrait résulter de l’atteinte ou atténuer ce préjudice.
42 An organization may disclose an individual’s personal information without their knowledge or consent if
(a) the disclosure is made to the other organization, government institution or part of a government institution that was notified of a breach under subsection 59(1); and
(b) the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.
43 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée pour l’application du droit fédéral ou provincial.
43 An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of administering federal or provincial law.
44 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée aux fins du contrôle d’application du droit fédéral, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.
44 An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of enforcing federal or provincial law or law of a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering intelligence for the purpose of enforcing any such law.
45 L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution si l’organisation a des motifs raisonnables de croire que les renseignements concernent une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être.
45 An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization has reasonable grounds to believe that the information relates to a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed.
46 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article.
46 An organization may disclose an individual’s personal information without their knowledge or consent to the government institution referred to in section 7 of the Proceeds of Crime (Money Laundering) and Terrorist Financing Act as required by that section.
47 (1) L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait qu’elle soupçonne qu’ils concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.
47 (1) An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that it suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.
(2) L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).
(2) An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).
(3) L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).
(3) An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).
48 (1) L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou une subdivision d’une telle institution si elle soupçonne que les renseignements concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.
48 (1) An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.
(2) L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).
(2) An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).
(3) L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).
(3) An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).
49 (1) L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite en vue d’une communication exigée par la loi.
49 (1) An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure that is required by law.
(2) L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).
(2) An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (1).
(3) L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par la loi.
(3) An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required by law.
50 L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou par des règles de procédure se rapportant à la production de documents.
50 An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required to comply with a subpoena or warrant issued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of procedure relating to the production of records.
51 L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit de renseignements personnels précisés par les règlements, auxquels le public a accès.
51 An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the personal information is publicly available and is specified by the regulations.
52 (1) Les définitions qui suivent s’appliquent au présent article.
adresse électronique Toute adresse utilisée relativement à l’un des comptes suivants :
a) un compte courriel;
b) un compte de messagerie instantanée;
c) tout autre compte similaire. (electronic address)
ordinateur S’entend au sens du paragraphe 342.1(2) du Code criminel. (computer system)
programme d’ordinateur S’entend au sens du paragraphe 342.1(2) du Code criminel. (computer program)
utiliser S’agissant d’un ordinateur ou d’un réseau informatique, le programmer, lui faire exécuter un programme, communiquer avec lui, y mettre en mémoire, ou en extraire, des données ou utiliser ses ressources de toute autre façon, notamment ses données et ses programmes. (access)
52 (1) The following definitions apply in this section.
access means to program, execute programs on, communicate with, store data in, retrieve data from or otherwise make use of any resources, including data or programs of a computer system or a computer network. (utiliser)
computer program has the same meaning as in subsection 342.1(2) of the Criminal Code. (programme d’ordinateur)
computer system has the same meaning as in subsection 342.1(2) of the Criminal Code. (ordinateur)
electronic address means an address used in connection with
(a) an electronic mail account;
(b) an instant messaging account; or
(c) any similar account. (adresse électronique)
(2) L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1) ou des articles 30, 38, 41 ou 51 si elle recueille l’adresse électronique d’un individu, à son insu ou sans son consentement, à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir, ou si elle utilise une adresse électronique ainsi recueillie.
(2) An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1) and sections 30, 38, 41 and 51 to
(a) collect an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, electronic addresses; or
(b) use an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program described in paragraph (a).
(3) L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1), des articles 30 ou 38, du paragraphe 40(1) ou des articles 41 ou 51 si elle recueille, par tout moyen de télécommunication, les renseignements personnels d’un individu, à son insu ou sans son consentement en utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale, ou si elle utilise des renseignements personnels ainsi recueillis.
(3) An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1), sections 30 and 38, subsection 40(1) and sections 41 and 51 to
(a) collect an individual’s personal information without their knowledge or consent, through any means of telecommunication, if the information is collected by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or
(b) use an individual’s personal information without their knowledge or consent, if the information is collected in a manner described in paragraph (a).
(4) Malgré le paragraphe 15(5), l’organisation ne peut conclure que l’individu a implicitement consenti à la collecte ou à l’utilisation mentionnée aux paragraphes (2) ou (3).
(4) Despite subsection 15(5), an organization is not to rely on an individual’s implied consent in respect of any collection of personal information described in paragraph (2)(a) or (3)(a) or any use of personal information described in paragraph (2)(b) or (3)(b).
53 (1) L’organisation ne conserve des renseignements personnels que le temps nécessaire :
a) pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués;
b) pour respecter les exigences de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable.
L’organisation procède ensuite, dès que possible, à leur retrait.
53 (1) An organization must not retain personal information for a period longer than necessary to
(a) fulfill the purposes for which the information was collected, used or disclosed; or
(b) comply with the requirements of this Act, of federal or provincial law or of the reasonable terms of a contract.
The organization must dispose of the information as soon as feasible after that period.
(2) Pour l’application de l’alinéa (1)a), lorsqu’elle établit la durée de la période de conservation, l’organisation tient compte de la mesure dans laquelle les renseignements personnels sont de nature sensible.
(2) For the purposes of paragraph (1)(a), when determining the retention period, the organization must take into account the sensitivity of the information.
54 L’organisation qui utilise des renseignements personnels pour prendre une décision concernant un individu conserve ces renseignements suffisamment longtemps pour permettre à l’individu de présenter une demande au titre de l’article 63.
54 An organization that uses personal information to make a decision about an individual must retain the information for a sufficient period of time to permit the individual to make a request for access under section 63.
55 (1) L’organisation qui reçoit d’un individu une demande écrite de retrait des renseignements personnels qui le concernent et qui relèvent d’elle, procède dès que possible à leur retrait si, selon le cas :
a) les renseignements ont été recueillis, utilisés ou communiqués en contravention de la présente loi;
b) l’individu a retiré son consentement, en tout ou en partie, à la collecte, à l’utilisation ou à la communication des renseignements;
c) les renseignements ne sont plus nécessaires à la fourniture continue du bien ou à la prestation continue du service demandé par l’individu.
55 (1) If an organization receives a written request from an individual to dispose of their personal information that is under the organization’s control, the organization must, as soon as feasible, dispose of the information, if
(a) the information was collected, used or disclosed in contravention of this Act;
(b) the individual has withdrawn their consent, in whole or in part, to the collection, use or disclosure of the information; or
(c) the information is no longer necessary for the continued provision of a product or service requested by the individual.
(2) L’organisation peut refuser de procéder au retrait dans les cas visés aux alinéas (1)b) ou c) qui remplissent l’une ou l’autre des conditions suivantes :
a) le retrait entraînerait celui des renseignements personnels d’un autre individu et ces renseignements ne peuvent être retranchés;
b) d’autres exigences de la présente loi ou du droit fédéral ou provincial ou une restriction contractuelle raisonnable l’empêchent de procéder au retrait;
c) les renseignements sont nécessaires à l’établissement d’une défense juridique ou à l’exercice d’autres recours juridiques par l’organisation;
d) ils ne concernent pas un mineur et leur retrait aurait un effet négatif excessif sur l’intégrité ou l’exactitude des renseignements nécessaires à la fourniture continue d’un produit ou à la prestation continue d’un service à l’individu concerné;
e) la demande est vexatoire ou entachée de mauvaise foi;
f) le retrait des renseignements — dans la mesure où ils ne concernent pas un mineur — est déjà prévu, conformément aux politiques de conservation des renseignements personnels de l’organisation, et celle-ci informe l’individu de la période de conservation restante qui leur est applicable.
(2) An organization may refuse a request to dispose of personal information in the circumstances described in paragraph (1)(b) or (c) if
(a) disposing of the information would result in the disposal of personal information about another individual and the information is not severable;
(b) there are other requirements of this Act, of federal or provincial law or of the reasonable terms of a contract that prevent it from disposing of the information;
(c) the information is necessary for the establishment of a legal defence or in the exercise of other legal remedies by the organization;
(d) the information is not in relation to a minor and the disposal of the information would have an undue adverse impact on the accuracy or integrity of information that is necessary to the ongoing provision of a product or service to the individual in question;
(e) the request is vexatious or made in bad faith; or
(f) the information is not in relation to a minor and it is scheduled to be disposed of in accordance with the organization’s information retention policy, and the organization informs the individual of the remaining period of time for which the information will be retained.
(3) L’organisation qui refuse de procéder au retrait des renseignements personnels d’un individu lui notifie par écrit son refus motivé et l’informe des recours prévus à l’article 73 et au paragraphe 82(1).
(3) An organization that refuses to dispose of an individual’s personal information must inform them in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).
(4) L’organisation qui procède au retrait des renseignements personnels d’un individu informe, dès que possible, tout fournisseur de services à qui elle a transféré les renseignements et veille à ce que celui-ci procède à leur retrait.
(4) If an organization disposes of personal information at an individual’s request, it must, as soon as feasible, inform any service provider to which it has transferred the information of the request and ensure that the service provider has disposed of the information.
56 (1) L’organisation prend toutes les mesures raisonnables pour que les renseignements personnels qui relèvent d’elle soient aussi à jour, exacts et complets que l’exige la réalisation des fins auxquelles ils ont été recueillis, utilisés ou communiqués.
56 (1) An organization must take reasonable steps to ensure that personal information under its control is as accurate, up-to-date and complete as is necessary to fulfill the purposes for which the information is collected, used or disclosed.
(2) L’organisation détermine la mesure dans laquelle les renseignements personnels doivent être à jour, exacts et complets en tenant compte des intérêts de l’individu concerné et notamment :
a) de la possibilité que les renseignements servent à prendre une décision concernant l’individu;
b) du fait que les renseignements servent sur une base régulière;
c) du fait que les renseignements sont communiqués à des tiers.
(2) In determining the extent to which personal information must be accurate, complete and up-to-date, the organization must take into account the individual’s interests, including
(a) whether the information may be used to make a decision about the individual;
(b) whether the information is used on an ongoing basis; and
(c) whether the information is disclosed to third parties.
(3) Sauf si cela est nécessaire à la réalisation des fins auxquelles ils sont recueillis, utilisés ou communiqués, l’organisation ne met pas systématiquement à jour les renseignements personnels.
(3) An organization is not to routinely update personal information unless it is necessary to fulfill the purposes for which the information is collected, used or disclosed.
57 (1) L’organisation protège les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques. Le degré de protection des renseignements personnels est proportionnel à la mesure dans laquelle les renseignements sont de nature sensible.
57 (1) An organization must protect personal information through physical, organizational and technological security safeguards. The level of protection provided by those safeguards must be proportionate to the sensitivity of the information.
(2) Les mesures de sécurité établies par l’organisation tiennent également compte de la quantité, de la répartition, du format et de la méthode de stockage des renseignements.
(2) In addition to the sensitivity of the information, the organization must, in establishing its security safeguards, take into account the quantity, distribution, format and method of storage of the information.
(3) Les mesures de sécurité protègent les renseignements personnels contre, notamment, la perte ou le vol ainsi que l’accès, la communication, la copie, l’utilisation ou la modification non autorisés et elles comprennent notamment des mesures raisonnables d’authentification de l’identité de l’individu auquel ces renseignements se rapportent.
(3) The security safeguards must protect personal information against, among other things, loss, theft and unauthorized access, disclosure, copying, use and modification and must include reasonable measures to authenticate the identity of the individual to whom the personal information relates.
58 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elle s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
58 (1) An organization must report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.
(2) La déclaration contient les renseignements réglementaires et est faite, selon les modalités réglementaires, dès que possible après que l’organisation a conclu qu’il y a eu atteinte.
(2) The report must contain the prescribed information and must be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.
(3) À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’individu de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant qui relèvent d’elle s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit de l’individu.
(3) Unless otherwise prohibited by law, an organization must notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.
(4) L’avis contient suffisamment d’information pour permettre à l’individu de comprendre l’importance, pour lui, de l’atteinte et de prendre, si possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer ce préjudice. Il contient aussi tout autre renseignement réglementaire.
(4) The notification must contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It must also contain any other prescribed information.
(5) L’avis est manifeste et donné à l’individu directement, selon les modalités réglementaires. Dans les circonstances réglementaires, il est donné indirectement, selon les modalités réglementaires.
(5) The notification must be conspicuous and must be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it must be given indirectly in the prescribed form and manner.
(6) L’avis est donné dès que possible après que l’organisation a conclu qu’il y a eu atteinte.
(6) The notification must be given as soon as feasible after the organization determines that the breach has occurred.
(7) Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
(7) For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation orrelationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.
(8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’individu sont notamment la mesure dans laquelle les renseignements personnels en cause sont de nature sensible, la probabilité que les renseignements aient été ou seront mal utilisés ou soient en train de l’être et tout autre élément réglementaire.
(8) The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include
(a) the sensitivity of the personal information involved in the breach;
(b) the probability that the personal information has been, is being or will be misused; and
(c) any other prescribed factor.
59 (1) L’organisation qui, en application du paragraphe 58(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser également toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à une ou plusieurs conditions réglementaires.
59 (1) An organization that notifies an individual of a breach of security safeguards under subsection 58(3) must notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.
(2) L’organisation donne l’avis dès que possible après avoir conclu qu’il y a eu atteinte.
(2) The notification must be given as soon as feasible after the organization determines that the breach has occurred.
60 (1) L’organisation tient et conserve, conformément aux exigences réglementaires, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels qui relèvent d’elle.
60 (1) An organization must, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.
(2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.
(2) An organization must, on request, provide the Commissioner with access to, or a copy of, the record.
61 Le fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels avise dès que possible l’organisation de laquelle ils relèvent.
61 If a service provider determines that any breach of security safeguards has occurred that involves personal information, it must as soon as feasible notify the organization that controls the personal information.
62 (1) L’organisation rend facilement accessibles, dans un langage clair, des renseignements expliquant les politiques et les pratiques qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.
62 (1) An organization must make readily available, in plain language, information that explains the organization’s policies and practices put in place to fulfill its obligations under this Act.
(2) À cet égard, l’organisation rend accessibles les renseignements suivants :
a) la description du type de renseignements personnels qui relèvent d’elle;
b) une explication générale de l’usage qui est fait des renseignements personnels et de la façon dont l’organisation applique les exceptions à l’obligation d’obtenir le consentement d’un individu prévues à la présente loi, notamment une description des activités mentionnées au paragraphe 18(3) dans lesquelles elle a un intérêt légitime;
c) une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés;
d) le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;
e) les périodes de conservation établies pour les renseignements personnels de nature sensible;
f) la manière de présenter, au titre de l’article 55, une demande de retrait de renseignements personnels ou, au titre de l’article 63, une demande d’accès aux renseignements personnels;
g) les coordonnées d’affaires de l’individu à qui les demandes de renseignements et les plaintes peuvent être acheminées.
(2) In fulfilling its obligation under subsection (1), an organization must make the following information available:
(a) a description of the type of personal information under the organization’s control;
(b) a general account of how the organization uses the personal information and of how it applies the exceptions to the requirement to obtain an individual’s consent under this Act, including a description of any activities referred to in subsection 18(3) in which it has a legitimate interest;
(c) a general account of the organization’s use of any automated decision system to make predictions, recommendations or decisions about individuals that could have a significant impact on them;
(d) whether or not the organization carries out any international or interprovincial transfer or disclosure of personal information that may have reasonably foreseeable privacy implications;
(e) the retention periods applicable to sensitive personal information;
(f) how an individual may make a request for disposal under section 55 or access under section 63; and
(g) the business contact information of the individual to whom complaints or requests for information may be made.
63 (1) Sur demande de l’individu, l’organisation lui indique si elle détient des renseignements personnels qui le concernent, quel est l’usage qu’elle en fait et si elle les a communiqués. Elle les met à sa disposition.
63 (1) On request by an individual, an organization must inform them of whether it has any personal information about them, how it uses the information and whether it has disclosed the information. It must also give the individual access to the information.
(2) Si l’organisation a communiqué les renseignements, elle fournit à l’individu le nom des tiers ou les catégories de tiers auxquels ils ont été communiqués, et ce, même lorsqu’elle les a communiqués sans son consentement.
(2) If the organization has disclosed the information, the organization must also provide to the individual the names of the third parties or types of third parties to which the disclosure was made, including in cases where the disclosure was made without the consent of the individual.
(3) Si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant l’individu et que la prédiction, la recommandation ou la décision pourrait avoir une incidence importante pour lui, elle lui en fournit, à sa demande, une explication.
(3) If the organization has used an automated decision system to make a prediction, recommendation or decision about the individual that could have a significant impact on them, the organization must, on request by the individual, provide them with an explanation of the prediction, recommendation or decision.
(4) L’explication indique le type de renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision, la provenance de ces renseignements ainsi que les motifs ou les principaux facteurs ayant mené à la prédiction, à la recommandation ou à la décision.
(4) The explanation must indicate the type of personal information that was used to make the prediction, recommendation or decision, the source of the information and the reasons or principal factors that led to the prediction, recommendation or decision.
64 (1) La demande mentionnée à l’article 63 est présentée par écrit.
64 (1) A request under section 63 must be made in writing.
(2) Sur requête de l’individu, l’organisation lui fournit l’aide dont il a besoin pour préparer sa demande.
(2) An organization must assist any individual who informs the organization that they need assistance in preparing a request to the organization.
65 L’organisation peut exiger de l’individu qu’il lui fournisse suffisamment de renseignements pour satisfaire à ses obligations prévues à l’article 63.
65 An organization may require the individual to provide it with sufficient information to allow the organization to fulfill its obligations under section 63.
66 (1) L’organisation fournit l’information mentionnée à l’article 63 dans un langage clair.
66 (1) The information referred to in section 63 must be provided to the individual in plain language.
(2) Pour l’application de l’article 63, l’organisation met à la disposition de l’individu ayant une déficience sensorielle qui en fait la demande les renseignements personnels le concernant sur support de substitution dans l’un ou l’autre des cas suivants :
a) une version des renseignements visés existe déjà sur un tel support;
b) leur transfert sur un tel support est raisonnable et nécessaire pour que l’individu puisse exercer les droits qui lui sont conférés sous le régime de la présente loi.
(2) For the purpose of section 63, an organization must give access to personal information in an alternative format to an individual with a sensory disability who requests that it be transmitted in that format if
(a) a version of the information already exists in that format; or
(b) its conversion into that format is reasonable and necessary in order for the individual to be able to exercise rights under this Act.
(3) Dans le cas de renseignements médicaux de nature sensible, l’organisation peut mettre ces renseignements à la disposition du demandeur par l’intermédiaire d’un médecin.
(3) An organization may choose to give an individual access to sensitive medical information through a medical practitioner.
67 (1) L’organisation saisie de la demande mentionnée à l’article 63 doit y donner suite avec la diligence voulue et, au plus tard, dans les trente jours suivant sa réception.
67 (1) An organization must respond to a request made under section 63 with due diligence and in any case no later than 30 days after the day on which the request was received.
(2) Elle peut toutefois proroger le délai :
a) d’une période maximale de trente jours lorsque :
(i) ou bien l’observation du délai entraverait déraisonnablement l’activité de l’organisation,
(ii) ou bien toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai;
b) de la période nécessaire au transfert des renseignements personnels visés sur support de substitution.
Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la réception de la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.
(2) An organization may extend the time limit
(a) for a maximum of 30 days if
(i) meeting the time limit would unreasonably interfere with the activities of the organization, or
(ii) the time required to undertake any consultations necessary to respond to the request would make the time limit impracticable to meet; or
(b) for the period that is necessary in order to be able to convert the personal information into an alternative format.
In either case, the organization must, no later than 30 days after the day on which the request was received, send a notice of extension to the individual, advising them of the new time limit, the reasons for extending the time limit and their right to make a complaint to the Commissioner in respect of the extension.
(3) L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours prévus à l’article 73 et au paragraphe 82(1).
(3) An organization that responds within the time limit and refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).
(4) Faute de répondre dans le délai prévu, l’organisation est réputée avoir refusé d’acquiescer à la demande.
(4) If the organization fails to respond within the time limit, the organization is deemed to have refused the request.
68 L’organisation peut exiger des droits pour répondre à la demande mentionnée à l’article 63 si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci, celui-ci l’avise qu’il ne retire pas sa demande et les droits exigés sont minimes.
68 An organization must not respond to the individual’s request made under section 63 at a cost unless
(a) the organization has informed the individual of the approximate cost;
(b) the cost to the individual is minimal; and
(c) the individual has advised the organization that the request is not being withdrawn.
69 L’organisation qui détient des renseignements personnels visés par une demande mentionnée à l’article 63 les conserve le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente loi.
69 An organization that has personal information that is the subject of a request made under section 63 must retain the information for as long as is necessary to allow the individual to exhaust any recourse that they may have under this Act.
70 (1) Malgré l’article 63, l’organisation ne peut mettre à la disposition du demandeur des renseignements personnels qui révéleraient vraisemblablement des renseignements personnels sur un autre individu. Toutefois, si ces derniers renseignements peuvent être retranchés, l’organisation est tenue de les retrancher puis de mettre à la disposition du demandeur les renseignements le concernant.
70 (1) Despite section 63, an organization must not give an individual access to personal information under that section if doing so would likely reveal personal information about another individual. However, if the information about the other individual is severable from the information about the requester, the organization must sever the information about the other individual before giving the requester access.
(2) Le paragraphe (1) ne s’applique pas si l’autre individu consent à ce que ses renseignements personnels soient mis à la disposition du demandeur ou si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.
(2) Subsection (1) does not apply if the other individual consents to the access or the requester needs the information because an individual’s life, health or security is threatened.
(3) L’organisation est tenue de se conformer au paragraphe (4) si le demandeur lui demande :
a) de l’aviser, selon le cas :
(i) de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50,
(ii) de l’existence de renseignements détenus par l’organisation relatifs soit à toute communication visée au sous-alinéa (i), soit à une assignation, à un mandat ou à une ordonnance visé à l’article 50, soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de l’article 44 ou du paragraphe 47(1);
b) de mettre à sa disposition les renseignements visés au sous-alinéa a)(ii).
(3) An organization must comply with subsection (4) if an individual requests that the organization
(a) inform the individual about
(i) any disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50, or
(ii) the existence of any information that the organization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in section 50 or to a request made by a government institution or a part of a government institution under section 44 or subsection 47(1); or
(b) give the individual access to the information referred to in subparagraph (a)(ii).
(4) Le cas échéant, l’organisation :
a) notifie par écrit et sans délai la demande à l’institution gouvernementale concernée ou à la subdivision d’une telle institution;
b) ne peut donner suite à la demande avant la date de réception de l’avis prévu au paragraphe (5) ou, s’il est antérieur, le trentième jour suivant celle à laquelle l’institution ou la subdivision reçoit la notification.
(4) An organization to which subsection (3) applies
(a) must, in writing and without delay, notify the institution or part concerned of the request made by the individual; and
(b) must not respond to the request before the earlier of
(i) the day on which it is notified under subsection (5), and
(ii) 30 days after the day on which the institution or part is notified.
(5) Dans les trente jours suivant la date à laquelle la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire :
a) à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
b) à la détection, à la prévention ou à la dissuasion à l’égard du recyclage des produits de la criminalité ou du financement des activités terroristes;
c) au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.
(5) Within 30 days after the day on which it is notified under subsection (4), the institution or part must notify the organization of whether the institution or part objects to the organization complying with the request. The institution or part may object only if the institution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to
(a) national security, the defence of Canada or the conduct of international affairs;
(b) the detection, prevention or deterrence of money laundering or the financing of terrorist activities; or
(c) the enforcement of federal or provincial law or law of a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law.
(6) Malgré l’article 63, si elle est informée que l’institution ou la subdivision s’oppose à ce qu’elle acquiesce à la demande, l’organisation :
a) refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (3)a) ou se rapporte à des renseignements visés au sous-alinéa (3)a)(ii);
b) avise par écrit et sans délai le commissaire du refus;
c) ne met pas à la disposition du demandeur les renseignements qu’elle détient et qui se rapportent à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50 ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de cet article 44 ou de ce paragraphe 47(1);
d) ne fournit pas au demandeur le nom de l’institution gouvernementale ou de la subdivision d’une telle institution — ou la catégorie d’institution gouvernementale ou de subdivision d’une telle institution — à laquelle les renseignements ont été communiqués;
e) ne communique pas au demandeur le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision d’une telle institution en application de l’alinéa (4)a), que celle-ci s’oppose à ce que l’organisation acquiesce à la demande et que le commissaire a été avisé en application de l’alinéa b).
(6) Despite section 63, if an organization is notified under subsection (5) that the institution or part objects to the organization complying with the request, the organization
(a) must refuse the request to the extent that it relates to paragraph (3)(a) or to information referred to in subparagraph (3)(a)(ii);
(b) must notify the Commissioner, in writing and without delay, of the refusal;
(c) must not give the individual access to any information that the organization has relating to a disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50 or to a request made by a government institution or part of a government institution under section 44 or subsection 47(1);
(d) must not provide to the individual the name of the government institution or part to which the disclosure was made or its type; and
(e) must not disclose to the individual the fact that the organization notified an institution or part under paragraph (4)(a), that the institution or part objects or that the Commissioner was notified under paragraph (b).
(7) Malgré l’article 63, l’organisation n’est pas tenue de mettre à la disposition du demandeur des renseignements personnels dans les cas suivants :
a) les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige;
b) cela révélerait des renseignements commerciaux confidentiels;
c) cela risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu;
d) les renseignements ont été recueillis au titre du paragraphe 40(1);
e) les renseignements ont été produits uniquement à l’occasion d’un règlement officiel des différends;
f) les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.
Toutefois, dans les cas visés aux alinéas b) ou c), s’il est possible de retrancher les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu, l’organisation est tenue de mettre à la disposition du demandeur les renseignements personnels en retranchant ces renseignements.
(7) Despite section 63, an organization is not required to give access to personal information if
(a) the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege;
(b) to do so would reveal confidential commercial information;
(c) to do so could reasonably be expected to threaten the life or security of another individual;
(d) the information was collected under subsection 40(1);
(e) the information was generated in the course of a formal dispute resolution process; or
(f) the information was created for the purpose of making a disclosure under the Public Servants Disclosure Protection Act or in the course of an investigation into a disclosure under that Act.
However, in the circumstances described in paragraph (b) or (c), if giving access to the information would reveal confidential commercial information or could reasonably be expected to threaten the life or security of another individual, as the case may be, and that information is severable from any other information for which access is requested, the organization must give the individual access after severing.
(8) Le paragraphe (7) ne s’applique pas si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.
(8) Subsection (7) does not apply if the individual needs the information because an individual’s life, health or security is threatened.
(9) Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (7)d), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.
(9) If an organization decides not to give access to personal information in the circumstances set out in paragraph (7)(d), the organization must, in writing, notify the Commissioner, and must provide any information that the Commissioner may specify.
71 (1) Si, après avoir consulté les renseignements personnels le concernant, l’individu démontre à l’organisation qu’ils sont désuets, inexacts ou incomplets, celle-ci apporte les modifications requises.
71 (1) If an individual has been given access to their personal information and demonstrates that the information is not accurate, up-to-date or complete, the organization must amend the information as required.
(2) L’organisation transmet, s’il y a lieu, les renseignements modifiés à tout tiers qui y a accès.
(2) The organization must, if it is appropriate to do so, transmit the amended information to any third party that has access to the information.
(3) Si l’organisation et l’individu ne peuvent s’entendre sur les modifications à apporter aux renseignements, l’organisation consigne le désaccord et, s’il y a lieu, en informe les tiers qui ont accès aux renseignements.
(3) If the organization and the individual do not agree on the amendments that are to be made to the information, the organization must record the disagreement and, if it is appropriate to do so, inform third parties that have access to the information of the fact that there is a disagreement.
72 Sous réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont assujetties à un cadre de mobilité des données.
72 Subject to the regulations, on the request of an individual, an organization must as soon as feasible disclose the personal information that it has collected from the individual to an organization designated by the individual, if both organizations are subject to a data mobility fra