Passer au contenu

Projet de loi C-27

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Passer à la navigation dans le document Passer au contenu du document

First Session, Forty-fourth Parliament,

70-71 Elizabeth II, 2021-2022

Première session, quarante-quatrième législature,

70-71 Elizabeth II, 2021-2022

HOUSE OF COMMONS OF CANADA

CHAMBRE DES COMMUNES DU CANADA

BILL C-27
An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts

PROJET DE LOI C-27
Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois

FIRST READING, June 16, 2022
PREMIÈRE LECTURE LE 16 juin 2022

MINISTER OF INNOVATION, SCIENCE AND INDUSTRY

MINISTRE DE L’INNOVATION, DES SCIENCES ET DE L’INDUSTRIE

91102


SOMMAIRE

SUMMARY

La partie 1 édicte la Loi sur la protection de la vie privée des consommateurs afin de régir la protection des renseignements personnels des individus tout en tenant compte du besoin des organisations de recueillir, d’utiliser ou de communiquer de tels renseignements dans le cadre d’activités commerciales. En conséquence, elle abroge la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques et remplace le titre abrégé de cette loi par le titre Loi sur les documents électroniques. Elle apporte aussi des modifications corrélatives et connexes à d’autres lois.

Part 1 enacts the Consumer Privacy Protection Act to govern the protection of personal information of individuals while taking into account the need of organizations to collect, use or disclose personal information in the course of commercial activities. In consequence, it repeals Part 1 of the Personal Information Protection and Electronic Documents Act and changes the short title of that Act to the Electronic Documents Act. It also makes consequential and related amendments to other Acts.

La partie 2 édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données qui constitue un tribunal administratif pour entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée au titre de la Loi sur la protection de la vie privée des consommateurs et pour infliger des pénalités relatives à la contravention de certaines dispositions de cette dernière loi. De plus, elle apporte une modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs.

Part 2 enacts the Personal Information and Data Protection Tribunal Act, which establishes an administrative tribunal to hear appeals of certain decisions made by the Privacy Commissioner under the Consumer Privacy Protection Act and to impose penalties for the contravention of certain provisions of that Act. It also makes a related amendment to the Administrative Tribunals Support Service of Canada Act.

La partie 3 édicte la Loi sur l’intelligence artificielle et les données pour réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle et exiger que certaines personnes adoptent des mesures pour atténuer les risques de préjudices et de résultats biaisés liés aux systèmes d’intelligence artificielle à incidence élevée. Cette loi prévoit la publication de renseignements et autorise le ministre à ordonner la fourniture de documents relatifs aux systèmes d’intelligence artificielle. Elle établit également des interdictions relatives à la possession ou à l’utilisation de renseignements personnels obtenus illégalement afin de concevoir, de développer, d’utiliser ou de rendre disponible un système d’intelligence artificielle et liées au fait de rendre disponible un système d’intelligence artificielle dont l’utilisation cause un préjudice sérieux aux individus.

Part 3 enacts the Artificial Intelligence and Data Act to regulate international and interprovincial trade and commerce in artificial intelligence systems by requiring that certain persons adopt measures to mitigate risks of harm and biased output related to high-impact artificial intelligence systems. That Act provides for public reporting and authorizes the Minister to order the production of records related to artificial intelligence systems. That Act also establishes prohibitions related to the possession or use of illegally obtained personal information for the purpose of designing, developing, using or making available for use an artificial intelligence system and to the making available for use of an artificial intelligence system if its use causes serious harm to individuals.

Available on the House of Commons website at the following address:
www.ourcommons.ca
Disponible sur le site Web de la Chambre des communes à l’adresse suivante :
www.noscommunes.ca


TABLE ANALYTIQUE

TABLE OF PROVISIONS

Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois
An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts

Préambule

Preamble

Titre abrégé
Short Title
1

Loi de 2022 sur la mise en œuvre de la Charte du numérique

1

Digital Charter Implementation Act, 2022

PARTIE 1
PART 1
Loi sur la protection de la vie privée des consommateurs
Consumer Privacy Protection Act
Édiction de la loi
Enactment of Act
2

Édiction

2

Enactment

Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
1

Loi sur la protection de la vie privée des consommateurs

1

Consumer Privacy Protection Act

Définitions et interprétation
Interpretation
2

Définitions

2

Definitions

3

Désignation du ministre

3

Order designating Minister

4

Représentants autorisés

4

Authorized representatives

Objet et champ d’application
Purpose and Application
5

Objet

5

Purpose

6

Champ d’application

6

Application

PARTIE 1
PART 1
Obligations des organisations
Obligations of Organizations
Responsabilité des organisations
Accountability of Organizations
7

Responsabilité à l’égard des renseignements personnels

7

Accountability — personal information under organization’s control

8

Individus désignés

8

Designated individual

9

Programme de gestion de la protection des renseignements personnels

9

Privacy management program

10

Accès au programme de gestion

10

Access — privacy management program

11

Protection équivalente

11

Same protection

Fins acceptables
Appropriate Purposes
12

Fins acceptables

12

Appropriate purposes

Limite : collecte, utilisation et communication
Limiting Collection, Use and Disclosure
13

Limite : collecte

13

Limiting collection

14

Fins nouvelles

14

New purpose

Consentement
Consent
15

Consentement requis

15

Consent required

16

Consentement obtenu par subterfuge

16

Consent obtained by deception

17

Retrait du consentement

17

Withdrawal of consent

Consentement : exceptions
Exceptions to Requirement for Consent
Activités d’affaires
Business Operations
18

Activités d’affaires

18

Business activities

19

Transfert à des fournisseurs de services

19

Transfer to service provider

20

Renseignements dépersonnalisés

20

De-identification of personal information

21

Recherche, analyse et développement

21

Research, analysis and development

22

Transaction commerciale éventuelle

22

Prospective business transaction

23

Renseignement produit par l’individu

23

Information produced in employment, business or profession

24

Relation d’emploi : entreprise fédérale

24

Employment relationship — federal work, undertaking or business

25

Communication à un avocat ou un notaire

25

Disclosure to lawyer or notary

26

Déclaration d’un témoin

26

Witness statement

27

Prévention, détection et suppression de la fraude

27

Prevention, detection or suppression of fraud

28

Recouvrement de créances

28

Debt collection

Intérêt public
Public Interest
29

Intérêt de l’individu

29

Individual’s interest

30

Situation d’urgence : utilisation

30

Emergency — use

31

Situation d’urgence : communication

31

Emergency — disclosure

32

Identification d’un individu

32

Identification of individual

33

Communication : proche parent ou représentant autorisé

33

Communication with next of kin or authorized representative

34

Exploitation financière

34

Financial abuse

35

Statistiques, études ou recherches

35

Statistics, study or research

36

Importance historique ou archivistique

36

Records of historic or archival importance

37

Communication après une période de temps

37

Disclosure after period of time

38

Fins journalistiques, artistiques ou littéraires

38

Journalistic, artistic or literary purposes

39

Fins socialement bénéfiques

39

Socially beneficial purposes

Enquêtes
Investigations
40

Violation d’un accord ou contravention au droit

40

Breach of agreement or contravention

41

Utilisation à des fins d’enquête

41

Use for investigations

42

Atteinte aux mesures de sécurité

42

Breach of security safeguards

Communication à une institution gouvernementale
Disclosures to Government Institutions
43

Application du droit : demande de l’institution gouvernementale

43

Administering law — request of government institution

44

Contrôle d’application : demande de l’institution gouvernementale

44

Law enforcement — request of government institution

45

Contravention au droit : sur initiative de l’organisation

45

Contravention of law — initiative of organization

46

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes

46

Proceeds of Crime (Money Laundering) and Terrorist Financing Act

47

Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale

47

National security, defence or international affairs — request by government institution

48

Sécurité nationale, défense et affaires internationales : initiative de l’organisation

48

National security, defence or international affairs — initiative of organization

Exigence de la loi
Required by Law
49

Collecte en vue d’une communication exigée par la loi

49

Required by law — collection

50

Assignation, mandat ou ordonnance

50

Subpoena, warrant or order

Renseignements publics
Publicly Available Information
51

Renseignements réglementaires

51

Information specified by regulations

Non-application de certaines exceptions : adresse électronique et programme d’ordinateur
Non-application of Certain Exceptions — Electronic Addresses and Computer Systems
52

Définitions

52

Definitions

Conservation et retrait des renseignements personnels
Retention and Disposal of Personal Information
53

Durée de conservation et retrait

53

Period for retention and disposal

54

Renseignements personnels utilisés pour prendre une décision

54

Personal information used for decision-making

55

Retrait à la demande de l’individu

55

Disposal at individual’s request

Exactitude des renseignements personnels
Accuracy of Personal Information
56

Exactitude des renseignements

56

Accuracy of information

Mesures de sécurité
Security Safeguards
57

Mesures de sécurité

57

Security safeguards

58

Déclaration au commissaire

58

Report to Commissioner

59

Avis à une organisation

59

Notification to organizations

60

Registre

60

Records

61

Fournisseur de services

61

Service providers

Ouverture et transparence
Openness and Transparency
62

Politiques et pratiques

62

Policies and practices

Accès et rectification
Access to and Amendment of Personal Information
63

Information et accès

63

Information and access

64

Demande par écrit

64

Request in writing

65

Renseignements nécessaires

65

Information to be provided

66

Langage clair

66

Plain language

67

Délai de réponse

67

Time limit

68

Coût

68

Costs for responding

69

Conservation des renseignements

69

Retention of information

70

Cas où la communication est interdite

70

When access prohibited

71

Modification des renseignements personnels

71

Amendment of personal information

Mobilité des renseignements personnels
Mobility of Personal Information
72

Communication conformément à un cadre de mobilité des données

72

Disclosure under data mobility framework

Contestation de la conformité
Challenging Compliance
73

Plaintes et demandes de renseignements

73

Complaints and requests for information

Renseignements dépersonnalisés
De-identification of Personal Information
74

Proportionnalité des procédés techniques et administratifs

74

Proportionality of technical and administrative measures

75

Interdiction 

75

Prohibition

PARTIE 2
PART 2
Attributions du commissaire et dispositions générales
Commissioner’s Powers, Duties and Functions and General Provisions
Codes de pratique et programmes de certification
Codes of Practice and Certification Programs
76

Définition de entité

76

Definition of entity

77

Programme de certification

77

Certification program

78

Réponse du commissaire

78

Response by Commissioner

79

Décision publique

79

Approval made public

80

Précision

80

For greater certainty

81

Pouvoirs du commissaire

81

Powers of Commissioner

Recours
Recourses
Dépôt des plaintes
Filing of Complaints
82

Contravention

82

Contravention

Examen des plaintes et règlement des différends
Investigation of Complaints and Dispute Resolution
83

Examen des plaintes par le commissaire

83

Investigation of complaint by Commissioner

84

Exception

84

Exception

85

Fin de l’examen

85

Discontinuance

86

Mode de règlement des différends

86

Dispute resolution mechanisms

Accord de conformité
Compliance Agreements
87

Conclusion d’un accord de conformité

87

Entering into compliance agreement

Avis
Notification
88

Avis et motifs

88

Notification and reasons

Investigation
Inquiry
89

Investigation : plainte

89

Inquiry — complaint

90

Investigation : accord de conformité

90

Inquiry — compliance agreement

91

Règles de preuve

91

Nature of inquiries

92

Règles

92

Rules

93

Conclusion de l’investigation

93

Decision

Sanctions administratives pécuniaires
Administrative Monetary Penalties
94

Recommandation

94

Recommendation

95

Infliction d’une pénalité

95

Imposition of penalty

96

Recouvrement

96

Recovery as debt due to Her Majesty

Vérification
Audits
97

Vérification de la conformité

97

Ensure compliance

98

Rapport des conclusions et recommandations du commissaire

98

Report of findings and recommendations

Pouvoirs du commissaire : examens, investigations et vérifications
Commissioner’s Powers — Investigations, Inquiries and Audits
99

Pouvoirs du commissaire

99

Powers of Commissioner

100

Délégation

100

Delegation

Appels
Appeals
101

Droit d’appel

101

Right of appeal

102

Appel avec autorisation

102

Appeal with leave

103

Sort de l’appel

103

Disposition of appeals

Exécution des ordonnances
Enforcement of Orders
104

Ordonnances de conformité

104

Compliance orders

105

Ordonnances du Tribunal

105

Tribunal orders

106

Dépôt au greffe de la cour

106

Filing with Court

Droit privé d’action
Private Right of Action
107

Dommages et intérêts : contravention

107

Damages — contravention of Act

Certificat délivré au titre de la Loi sur la preuve au Canada
Certificate Under Canada Evidence Act
108

Certificat délivré au titre de la Loi sur la preuve au Canada

108

Certificate under Canada Evidence Act

Attributions du commissaire
Powers, Duties and Functions of Commissioner
109

Éléments à prendre en compte

109

Factors to consider

110

Promotion de l’objet de la loi

110

Promoting purposes of Act

111

Interdiction : utilisation des renseignements

111

Prohibition — use for initiating complaint or audit

112

Manière d’exercer ses attributions

112

Information — powers, duties or functions

113

Secret

113

Confidentiality

114

Qualité pour témoigner

114

Not competent witness

115

Immunité du commissaire

115

Protection of Commissioner

116

Renseignements dépersonnalisés

116

De-identified information

117

Accords ou ententes : ministre

117

Agreements or arrangements — Minister

118

Accords ou ententes : CRTC et commissaire de la concurrence

118

Agreements or arrangements — CRTC and Commissioner of Competition

119

Consultation avec les provinces

119

Consultations with provinces

120

Communication de renseignements à des États étrangers

120

Disclosure of information to foreign state

121

Rapport annuel

121

Annual report

Dispositions générales
General
122

Règlements

122

Regulations

123

Cadre de mobilité des données

123

Data mobility frameworks

124

Traitement différent : catégories

124

Distinguishing — classes

125

Règlements : codes de pratique et programmes de certification

125

Regulations — codes of conduct and certification programs

126

Dénonciation

126

Whistleblowing

127

Interdiction

127

Prohibition

128

Infraction et peine

128

Offence and punishment

129

Examen par un comité parlementaire

129

Review by parliamentary committee

PARTIE 3
PART 3
Entrée en vigueur
Coming into Force
130

Décret

130

Order in council

Modifications corrélatives et connexes
Consequential and Related Amendments
3

Loi sur la protection des renseignements personnels et les documents électroniques

3

Personal Information Protection and Electronic Documents Act

9

Loi sur l’accès à l’information

9

Access to Information Act

10

Loi sur l’aéronautique

10

Aeronautics Act

11

Loi sur la preuve au Canada

11

Canada Evidence Act

13

Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes

13

Canadian Radio-television and Telecommunications Commission Act

14

Loi sur la concurrence

14

Competition Act

15

Loi canadienne sur les sociétés par actions

15

Canada Business Corporations Act

16

Loi sur les télécommunications

16

Telecommunications Act

17

Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles

17

Public Servants Disclosure Protection Act

20

Chapitre 23 des Lois du Canada (2010)

20

Chapter 23 of the Statutes of Canada, 2010

32

Loi sur la modernisation des transports

32

Transportation Modernization Act

Modifications terminologiques
Terminology
33

Remplacement de « Loi sur la protection des renseignements personnels et les documents électroniques »

33

Replacement of “Personal Information Protection and Electronic Documents Act

Dispositions transitoires
Transitional Provisions
34

Définitions

34

Definitions

Dispositions de coordination
Coordinating Amendments
35

Projet de loi C-11

35

Bill C-11

36

2018, ch. 10

36

2018, c. 10

PARTIE 2
PART 2
Loi sur le Tribunal de la protection des renseignements personnels et des données
Personal Information and Data Protection Tribunal Act
Édiction de la loi
Enactment of Act
37

Édiction

37

Enactment

Loi portant constitution du Tribunal de la protection des renseignements personnels et des données
An Act to establish the Personal Information and Data Protection Tribunal
1

Loi sur le Tribunal de la protection des renseignements personnels et des données

1

Personal Information and Data Protection Tribunal Act

2

Définition de ministre

2

Definition of Minister

3

Désignation du ministre

3

Order designating Minister

4

Constitution

4

Establishment

5

Compétence

5

Jurisdiction

6

Membres

6

Members

7

Président et vice-président

7

Chairperson and Vice-Chairperson

8

Fonctions du président

8

Duties of Chairperson

9

Intérim — président

9

Acting Chairperson

10

Mandat

10

Term of office

11

Rémunération

11

Remuneration

12

Incompatibilité

12

Inconsistent interests

13

Siège

13

Principal office

14

Séances

14

Sittings

15

Audiences

15

Nature of hearings

16

Pouvoirs

16

Powers

17

Motifs

17

Reasons

18

Décisions publiques

18

Public availability — decisions

19

Règles de procédure

19

Rules

20

Dépens

20

Cost

21

Décision définitive

21

Decisions final

Modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs
Related Amendment to the Administrative Tribunals Support Service of Canada Act
38
38
PARTIE 3
PART 3
Loi sur l’intelligence artificielle et les données
Artificial Intelligence and Data Act
39

Édiction de la loi

39

Enactment of Act

Loi concernant les systèmes d’intelligence artificielle et les données utilisées dans ces systèmes
An Act respecting artificial intelligence systems and data used in artificial intelligence systems
Titre abrégé
Short Title
1

Loi sur l’intelligence artificielle et les données

1

Artificial Intelligence and Data Act

Définitions et champ d’application
Definitions and Application
2

Définitions

2

Definitions

3

Non-application

3

Non-application

Objet de la loi
Purposes of Act
4

Objet

4

Purposes

PARTIE 1
PART 1
Réglementation des systèmes d’intelligence artificielle dans le secteur privé
Regulation of Artificial Intelligence Systems in the Private Sector
Définitions et interprétation
Interpretation
5

Définitions

5

Definitions

Exigences
Requirements
6

Données anonymisées

6

Anonymized data

7

Évaluation : système à incidence élevée

7

Assessment — high-impact system

8

Mesures relatives aux risques

8

Measures related to risks

9

Contrôle des mesures d’atténuation

9

Monitoring of mitigation measures

10

Tenue de documents généraux

10

Keeping general records

11

Publication de la description : système rendu disponible

11

Publication of description — making system available for use

12

Avis : préjudice important

12

Notification of material harm

Ordonnances du ministre
Ministerial Orders
13

Fourniture de documents visés au par. 10(1)

13

Provision of subsection 10(1) records

14

Fourniture de documents visés au par. 10(2)

14

Provision of subsection 10(2) records

15

Vérification

15

Audit

16

Mise en œuvre de mesures

16

Implementation of measures

17

Cessation

17

Cessation

18

Publication

18

Publication

19

Respect

19

Compliance

20

Dépôt à la Cour fédérale

20

Filing — Federal Court

21

Loi sur les textes réglementaires

21

Statutory Instruments Act

Renseignements
Information
22

Maintien du caractère confidentiel

22

Confidential nature maintained

23

Obligation du ministre

23

Obligation of Minister

24

Communication de renseignements commerciaux confidentiels : assignation, mandat, etc.

24

Disclosure of confidential business information — subpoena, warrant, etc.

25

Communication de renseignements : analyste

25

Disclosure of information — analyst

26

Communication de renseignements : autres

26

Disclosure of information — others

27

Publication de renseignements : contravention

27

Publication of information — contravention

28

Publication de renseignements : préjudice

28

Publication of information — harm

Sanctions administratives pécuniaires
Administrative Monetary Penalties
29

Sanctions administratives pécuniaires

29

Administrative monetary penalties

Infractions
Offences
30

Contravention : articles 6 à 12

30

Contravention — sections 6 to 12

Administration
Administration
31

Désignation

31

Designation

32

Pouvoirs généraux du ministre

32

General powers of Minister

33

Commissaire à l’intelligence artificielle et aux données

33

Artificial Intelligence and Data Commissioner

34

Analystes

34

Analysts

35

Comité consultatif

35

Advisory committee

36

Règlements du gouverneur en conseil

36

Regulations — Governor in Council

37

Règlements du ministre

37

Regulations — Minister

PARTIE 2
PART 2
Infractions générales liées aux systèmes d’intelligence artificielle
General Offences Related to Artificial Intelligence Systems
38

Possession ou utilisation de renseignements personnels

38

Possession or use of personal information

39

Système rendu disponible

39

Making system available for use

40

Peine

40

Punishment

PARTIE 3
PART 3
Entrée en vigueur
Coming into Force
41

Décret

41

Order in council

PARTIE 4
PART 4
Entrée en vigueur
Coming into Force
40

Décret

40

Order in council

ANNEXE 
SCHEDULE 


1st Session, 44th Parliament,

70-71 Elizabeth II, 2021-2022

1re session, 44e législature,

70-71 Elizabeth II, 2021-2022

HOUSE OF COMMONS OF CANADA

CHAMBRE DES COMMUNES DU CANADA

BILL C-27

PROJET DE LOI C-27

An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts

Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois

Préambule

Attendu :

qu’il est nécessaire de moderniser le cadre législatif canadien afin qu’il soit adapté à l’ère numérique;

que la protection du droit à la vie privée des individus en ce qui a trait à leurs renseignements personnels est essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux au Canada;

que le Parlement reconnaît l’importance des principes de protection de la vie privée et des données qui sont exprimés dans divers instruments internationaux;

que la confiance dans l’économie axée sur le numérique et les données est cruciale pour la croissance de cette économie et pour que le Canada soit plus inclusif et prospère;

que le Canada est une nation commerçante et que le commerce repose sur l’analyse, la circulation et l’échange de renseignements personnels et de données sans frontières ni limites géographiques;

que la conception, l’élaboration et le déploiement de systèmes d’intelligence artificielle de part et d’autre des frontières provinciales et internationales devraient se faire en cohérence avec les normes nationales et internationales pour protéger les individus des préjudices potentiels;

que des organisations de toute taille évoluent dans l’économie axée sur le numérique et les données et qu’un cadre réglementaire flexible est nécessaire pour les aider à respecter les règles et favoriser l’innovation en leur sein;

que les individus s’attendent à un cadre réglementaire qui assure un traitement transparent et responsable de leurs renseignements personnels par les organisations et qui est appuyé par un contrôle d’application substantiel;

que la modernisation des normes nationales en matière de protection de la vie privée, en arrimant celles-ci aux normes internationales, assure l’existence de conditions de concurrence équitables partout au Canada et aide à maintenir la compétitivité des organisations;

qu’un cadre réglementaire moderne de protection des renseignements personnels devrait encourager la collecte, l’utilisation et la communication responsables des renseignements personnels par les organisations dans la poursuite d’objectifs d’intérêt public;

que le Parlement reconnaît que les systèmes d’intelligence artificielle et autres technologies émergentes devraient maintenir les normes et les valeurs canadiennes conformes aux principes du droit international en matière de droits de la personne;

que la présente loi vise à soutenir les efforts du gouvernement du Canada pour favoriser un environnement permettant aux Canadiens de saisir les avantages de l’économie axée sur le numérique et les données et pour établir un cadre réglementaire soutenant et protégeant les normes et les valeurs canadiennes, notamment le droit à la vie privée,

Preamble

Whereas there is a need to modernize Canada’s legislative framework so that it is suited to the digital age;

Whereas the protection of the privacy interests of individuals with respect to their personal information is essential to individual autonomy and dignity and to the full enjoyment of fundamental rights and freedoms in Canada;

Whereas Parliament recognizes the importance of the privacy and data protection principles contained in various international instruments;

Whereas trust in the digital and data-driven economy is key to ensuring its growth and fostering a more inclusive and prosperous Canada;

Whereas Canada is a trading nation and trade and commerce rely on the analysis, circulation and exchange of personal information and data across borders and geographical boundaries;

Whereas the design, development and deployment of artificial intelligence systems across provincial and international borders should be consistent with national and international standards to protect individuals from potential harm;

Whereas organizations of all sizes operate in the digital and data-driven economy and an agile regulatory framework is necessary to facilitate compliance with rules by, and promote innovation within, those organizations;

Whereas individuals expect a regulatory framework that ensures transparency and accountability with respect to how organizations handle their personal information and that is backed by meaningful enforcement;

Whereas the modernization of national standards for privacy protection to align them with international standards ensures a level playing field for organizations across Canada and assists them in maintaining their competitive position;

Whereas a modern regulatory framework governing the protection of personal information should promote the responsible collection, use and disclosure of such information by organizations for purposes that are in the public interest;

Whereas Parliament recognizes that artificial intelligence systems and other emerging technologies should uphold Canadian norms and values in line with the principles of international human rights law;

And whereas this Act aims to support the Government of Canada’s efforts to foster an environment in which Canadians can seize the benefits of the digital and data-driven economy and to establish a regulatory framework that supports and protects Canadian norms and values, including the right to privacy;

Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte :

Now, therefore, Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:

Titre abrégé

Short Title

Titre abrégé

Short title

1Loi de 2022 sur la mise en œuvre de la Charte du numérique.

1This Act may be cited as the Digital Charter Implementation Act, 2022.

PARTIE 1
Loi sur la protection de la vie privée des consommateurs

PART 1
Consumer Privacy Protection Act

Édiction de la loi

Enactment of Act

Édiction

Enactment

2Est édictée la Loi sur la protection de la vie privée des consommateurs, dont le texte suit et dont l’annexe figure à l’annexe de la présente loi :

2The Consumer Privacy Protection Act, whose text is as follows and whose schedule is set out in the schedule to this Act, is enacted:

Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales
An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities
Titre abrégé
Short Title
Titre abrégé
Short title

1Loi sur la protection de la vie privée des consommateurs.

1This Act may be cited as the Consumer Privacy Protection Act.

Définitions et interprétation
Interpretation
Définitions
Definitions

2(1)Les définitions qui suivent s’appliquent à la présente loi.

activité commerciale Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial, y compris la vente, le troc ou la location de listes de donateurs, d’adhésion ou de collecte de fonds. (commercial activity)

anonymiser Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit. (anonymize)

atteinte aux mesures de sécurité Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 57 ou du fait que ces mesures n’ont pas été mises en place. (breach of security safeguards)

commissaire Le Commissaire à la protection de la vie privée nommé en application de l’article 53 de la Loi sur la protection des renseignements personnels. (Commissioner)

dépersonnaliser Modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement. (de-identify)

document Éléments d’information, quel qu’en soit la forme ou le support. (record)

entreprises fédérales Les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement. Sont compris parmi les entreprises fédérales :

a)les installations, ouvrages, entreprises ou secteurs d’activité qui se rapportent à la navigation et aux transports par eau, notamment l’exploitation de navires et le transport par navire partout au Canada;

b)les installations ou ouvrages, notamment les chemins de fer, canaux ou liaisons télégraphiques, reliant une province à une autre, ou débordant les limites d’une province, et les entreprises correspondantes;

c)les lignes de transport par bateaux à vapeur ou autres navires, reliant une province à une autre, ou débordant les limites d’une province;

d)les passages par eaux entre deux provinces ou entre une province et un pays étranger;

e)les aéroports, aéronefs ou lignes de transport aérien;

f)les stations de radiodiffusion;

g)les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques;

h)les ouvrages qui, bien qu’entièrement situés dans une province, sont, avant ou après leur réalisation, déclarés par le Parlement être à l’avantage général du Canada ou à l’avantage de plusieurs provinces;

i)les installations, ouvrages, entreprises ou secteurs d’activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales;

j)les installations, ouvrages, entreprises ou secteurs d’activité auxquels le droit, au sens de l’alinéa a) de la définition de droit à l’article 2 de la Loi sur les océans, s’applique en vertu de l’article 20 de cette loi et des règlements pris en vertu de l’alinéa 26(1)k) de la même loi. (federal work, undertaking or business)

fournisseur de services Toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins. (service provider)

ministre Le membre du Conseil privé de la Reine pour le Canada désigné en vertu de l’article 3 ou, à défaut de désignation, le ministre de l’Industrie. (Minister)

organisation S’entend notamment des associations, sociétés de personnes, personnes et organisations syndicales. (organization)

renseignement personnel Tout renseignement concernant un individu identifiable. (personal information)

retrait S’agissant de renseignements personnels, leur suppression définitive et irréversible ou le fait de les anonymiser. (dispose)

support de substitution Tout support permettant à un individu ayant une déficience sensorielle de lire ou d’écouter des renseignements personnels. (alternative format)

système décisionnel automatisé Technologie utilisant des systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond, des réseaux neuronaux ou d’autres techniques afin d’appuyer ou de remplacer le jugement de décideurs humains. (automated decision system)

transaction commerciale S’entend notamment des transactions suivantes :

a)l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif;

b)la fusion ou le regroupement d’organisations;

c)le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement;

d)le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation;

e)la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard;

f)tout autre arrangement réglementaire entre des organisations pour la poursuite d’activités d’affaires. (business transaction)

Tribunal Tribunal de la protection des renseignements personnels et des données constitué en vertu de l’article 4 de la Loi sur le Tribunal de la protection des renseignements personnels et des données. (Tribunal)

2(1)The following definitions apply in this Act.

alternative format, with respect to personal information, means a format that allows an individual with a sensory disability to read or listen to the personal information. (support de substitution)

anonymize means to irreversibly and permanently modify personal information, in accordance with generally accepted best practices, to ensure that no individual can be identified from the information, whether directly or indirectly, by any means. (anonymiser)

automated decision system means any technology that assists or replaces the judgment of human decision-makers through the use of a rules-based system, regression analysis, predictive analytics, machine learning, deep learning, a neural network or other technique. (système décisionnel automatisé)

breach of security safeguards means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in section 57 or from a failure to establish those safeguards. (atteinte aux mesures de sécurité)

business transaction includes

(a)the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;

(b)the merger or amalgamation of two or more organizations;

(c)the making of a loan or provision of other financing to an organization or a part of an organization;

(d)the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;

(e)the lease or licensing of any of an organization’s assets; and

(f)any other prescribed arrangement between two or more organizations to conduct a business activity. (transaction commerciale)

commercial activity means any particular transaction, act or conduct or any regular course of conduct that is of a commercial character, including the selling, bartering or leasing of donor, membership or other fundraising lists. (activité commerciale)

Commissioner means the Privacy Commissioner appointed under section 53 of the Privacy Act. (commissaire)

de-identify means to modify personal information so that an individual cannot be directly identified from it, though a risk of the individual being identified remains. (dépersonnaliser)

dispose means to permanently and irreversibly delete personal information or to anonymize it. (retrait)

federal work, undertaking or business means any work, undertaking or business that is within the legislative authority of Parliament. It includes

(a)a work, undertaking or business that is operated or carried on for or in connection with navigation and shipping, whether inland or maritime, including the operation of ships and transportation by ship anywhere in Canada;

(b)a railway, canal, telegraph or other work or undertaking that connects a province with another province, or that extends beyond the limits of a province;

(c)a line of ships that connects a province with another province, or that extends beyond the limits of a province;

(d)a ferry between a province and another province or between a province and a country other than Canada;

(e)aerodromes, aircraft or a line of air transportation;

(f)a radio broadcasting station;

(g)a bank or an authorized foreign bank as defined in section 2 of the Bank Act;

(h)a work that, although wholly situated within a province, is before or after its execution declared by Parliament to be for the general advantage of Canada or for the advantage of two or more provinces;

(i)a work, undertaking or business outside the exclusive legislative authority of the legislatures of the provinces; and

(j)a work, undertaking or business to which federal laws, within the meaning of section 2 of the Oceans Act, apply under section 20 of that Act and any regulations made under paragraph 26(1)‍(k) of that Act. (entreprises fédérales)

Minister means the member of the Queen’s Privy Council for Canada designated under section 3 or, if no member is designated, the Minister of Industry. (ministre)

organization includes an association, a partnership, a person or a trade union. (organisation)

personal information means information about an identifiable individual. (renseignement personnel)

prescribed means prescribed by regulation. (Version anglaise seulement)

record means any documentary material, regardless of medium or form. (document)

service provider means an organization, including a parent corporation, subsidiary, affiliate, contractor or subcontractor, that provides services for or on behalf of another organization to assist the organization in fulfilling its purposes. (fournisseur de services)

Tribunal means the Personal Information and Data Protection Tribunal established under section 4 of the Personal Information and Data Protection Tribunal Act. (Tribunal)

Interprétation : mineur
Interpretation — minors

(2)Pour l’application de la présente loi, les renseignements personnels d’un mineur sont considérés comme étant de nature sensible.

(2)For the purposes of this Act, the personal information of minors is considered to be sensitive information.

Interprétation : renseignements personnels dépersonnalisés
Interpretation — de-identified information

(3)Pour l’application de la présente loi, à l’exception des articles 20 et 21, des paragraphes 22(1) et 39(1), des articles 55 et 56, du paragraphe 63(1) et des articles 71, 72, 74, 75 et 116, les renseignements personnels qui ont été dépersonnalisés sont considérés comme étant des renseignements personnels.

(3)For the purposes of this Act, other than sections 20 and 21, subsections 22(1) and 39(1), sections 55 and 56, subsection 63(1) and sections 71, 72, 74, 75 and 116, personal information that has been de-identified is considered to be personal information.

Désignation du ministre
Order designating Minister

3Le gouverneur en conseil peut, par décret, désigner tout membre du Conseil privé de la Reine pour le Canada à titre de ministre chargé de l’application de la présente loi.

3The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Act.

Représentants autorisés
Authorized representatives

4Les droits et recours prévus sous le régime la présente loi peuvent être exercés :

a)au nom du mineur qui n’a ni la capacité ni la volonté de les exercer personnellement, par le parent ou le tuteur;

b)au nom de l’individu, autre qu’un mineur, frappé d’une incapacité juridique, par la personne autorisée par la loi à administrer les affaires ou les biens de celui-ci;

c)au nom de l’individu décédé, par la personne autorisée par la loi à administrer la succession de celui-ci, mais aux seules fins d’administrer la succession.

4The rights and recourses provided under this Act may be exercised

(a)on behalf of a minor by a parent, guardian or tutor, unless the minor wishes to personally exercise those rights and recourses and is capable of doing so;

(b)on behalf of an individual, other than a minor, under a legal incapacity by a person authorized by law to administer the affairs or property of that individual; and

(c)on behalf of a deceased individual by a person authorized by law to administer the estate or succession of that individual, but only for the purpose of that administration.

Objet et champ d’application
Purpose and Application
Objet
Purpose

5La présente loi a pour objet de fixer, dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels, des règles régissant la protection des renseignements personnels d’une manière qui tient compte, à la fois, du droit à la vie privée des individus quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

5The purpose of this Act is to establish — in an era in which data is constantly flowing across borders and geographical boundaries and significant economic activity relies on the analysis, circulation and exchange of personal information — rules to govern the protection of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.

Champ d’application
Application

6(1)La présente loi s’applique à toute organisation à l’égard des renseignements personnels :

a)soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales;

b)soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale.

6(1)This Act applies to every organization in respect of personal information that

(a)the organization collects, uses or discloses in the course of commercial activities; or

(b)is about an employee of, or an applicant for employment with, the organization and that the organization collects, uses or discloses in connection with the operation of a federal work, undertaking or business.

Précision
For greater certainty

(2)Il est entendu que la présente loi s’applique à l’égard des renseignements personnels qui sont, selon le cas :

a)recueillis, utilisés ou communiqués à l’échelle interprovinciale ou internationale par une organisation;

b)recueillis, utilisés ou communiqués à l’échelle intraprovinciale, par une organisation, dans la mesure où elle n’est pas exclue de l’application de la présente loi par un décret pris en vertu de l’alinéa 122(2)b).

(2)For greater certainty, this Act applies in respect of personal information

(a)that is collected, used or disclosed interprovincially or internationally by an organization; or

(b)that is collected, used or disclosed by an organization within a province, to the extent that the organization is not exempt from the application of this Act under an order made under paragraph 122(2)‍(b).

Application
Application

(3)La présente loi s’applique également à toute organisation figurant à la colonne 1 de l’annexe à l’égard des renseignements personnels figurant à la colonne 2.

(3)This Act also applies to an organization set out in column 1 of the schedule in respect of personal information set out in column 2.

Limite
Limit

(4)Elle ne s’applique pas :

a)aux institutions fédérales auxquelles s’applique la Loi sur la protection des renseignements personnels;

b)aux individus à l’égard des renseignements personnels qu’ils recueillent, utilisent ou communiquent uniquement à des fins personnelles ou domestiques;

c)aux organisations à l’égard des renseignements personnels qu’elles recueillent, utilisent ou communiquent uniquement à des fins journalistiques, artistiques ou littéraires;

d)aux organisations à l’égard des renseignements personnels de tout individu qu’elles recueillent, utilisent ou communiquent uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession;

e)aux organisations soustraites à l’application de la présente loi par décret pris en vertu de l’alinéa 122(2)b) à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels à l’intérieur de la province en cause.

(4)This Act does not apply to

(a)any government institution to which the Privacy Act applies;

(b)any individual in respect of personal information that the individual collects, uses or discloses solely for personal or domestic purposes;

(c)any organization in respect of personal information that the organization collects, uses or discloses solely for journalistic, artistic or literary purposes;

(d)any organization in respect of an individual’s personal information that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession; or

(e)any organization that is, under an order made under paragraph 122(2)‍(b), exempt from the application of this Act in respect of the collection, use or disclosure of personal information that occurs within a province in respect of which the order was made.

Précision
For greater certainty

(5)Il est entendu que la présente loi ne s’applique pas à l’égard des renseignements personnels qui ont été anonymisés.

(5)For greater certainty, this Act does not apply in respect of personal information that has been anonymized.

Autre loi
Other Acts

(6)Les dispositions de la présente loi s’appliquent malgré toute disposition — édictée après le 31 décembre 2000 — d’une autre loi fédérale, sauf dérogation expresse de la disposition de l’autre loi.

(6)Every provision of this Act applies despite any provision, enacted after December 31, 2000, of any other Act of Parliament, unless the other Act expressly declares that that provision operates despite the provision of this Act.

PARTIE 1
Obligations des organisations
PART 1
Obligations of Organizations
Responsabilité des organisations
Accountability of Organizations
Responsabilité à l’égard des renseignements personnels
Accountability — personal information under organization’s control

7(1)Toute organisation est responsable des renseignements personnels qui relèvent d’elle.

7(1)An organization is accountable for personal information that is under its control.

Renseignements personnels qui relèvent de l’organisation
Personal information under control of organization

(2)Les renseignements personnels relèvent de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle.

(2)Personal information is under the control of the organization that decides to collect it and that determines the purposes for its collection, use or disclosure, regardless of whether the information is collected, used or disclosed by the organization itself or by a service provider on behalf of the organization.

Individus désignés
Designated individual

8(1)L’organisation désigne un ou plusieurs individus chargés des questions relatives aux obligations qui lui incombent sous le régime de la présente loi. Les coordonnées d’affaires des individus désignés sont fournies à toute personne par l’organisation sur demande.

8(1)An organization must designate one or more individuals to be responsible for matters related to its obligations under this Act. It must provide the designated individual’s business contact information to any person who requests it.

Effet de la désignation
Effect of designation of individual

(2)La désignation d’un individu en application du paragraphe (1) n’exempte pas l’organisation des obligations qui lui incombent sous le régime de la présente loi.

(2)The designation of an individual under subsection (1) does not relieve the organization of its obligations under this Act.

Programme de gestion de la protection des renseignements personnels
Privacy management program

9(1)L’organisation met en œuvre et tient à jour un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elle a mises en place pour se conformer aux obligations qui lui incombent sous le régime de la présente loi, notamment des politiques, des pratiques et des procédures relatives :

a)à la protection des renseignements personnels;

b)à la réception et au traitement des demandes de renseignements et des plaintes;

c)à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures;

d)à l’élaboration de contenu expliquant ses politiques et ses procédures.

9(1)Every organization must implement and maintain a privacy management program that includes the policies, practices and procedures the organization has put in place to fulfill its obligations under this Act, including policies, practices and procedures respecting

(a)the protection of personal information;

(b)how requests for information and complaints are received and dealt with;

(c)the training and information provided to the organization’s staff respecting its policies, practices and procedures; and

(d)the development of materials to explain the organization’s policies and procedures.

Volume et nature des renseignements personnels
Volume and sensitivity

(2)Lorsqu’elle élabore son programme de gestion de protection des renseignements personnels, l’organisation tient compte du volume et de la nature sensible des renseignements personnels qui relèvent d’elle.

(2)In developing its privacy management program, the organization must take into account the volume and sensitivity of the personal information under its control.

Accès au programme de gestion
Access — privacy management program

10(1)Sur demande du commissaire, l’organisation lui donne accès aux politiques, pratiques et procédures comprises dans son programme de gestion de la protection des renseignements personnels.

10(1)An organization must, on request of the Commissioner, provide the Commissioner with access to the policies, practices and procedures that are included in its privacy management program.

Conseil et mesures correctives
Guidance and corrective measures

(2)Après examen de ces politiques, pratiques et procédures, le commissaire peut fournir des conseils ou recommander des mesures correctives à l’organisation relativement à son programme de gestion de la protection des renseignements personnels.

(2)The Commissioner may, after reviewing the policies, practices and procedures, provide guidance on, or recommend that corrective measures be taken by the organization in relation to, its privacy management program.

Protection équivalente
Same protection

11(1)L’organisation qui transfère des renseignements personnels à un fournisseur de services veille, contractuellement ou autrement, à ce que celui-ci offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la présente loi.

11(1)If an organization transfers personal information to a service provider, the organization must ensure, by contract or otherwise, that the service provider provides a level of protection of the personal information equivalent to that which the organization is required to provide under this Act.

Obligations du fournisseur de services
Service provider obligations

(2)Les obligations prévues à la présente partie, à l’exception de celles prévues aux articles 57 et 61, ne s’appliquent pas au fournisseur de services relativement aux renseignements personnels qui lui sont transférés. Il est toutefois assujetti à l’ensemble de ces obligations s’il les recueille, les utilise ou les communique à toutes autres fins que celles pour lesquelles ils lui ont été transférés.

(2)The obligations under this Part, other than those set out in sections 57 and 61, do not apply to a service provider in respect of personal information that is transferred to it. However, the service provider is subject to all of the obligations under this Part if it collects, uses or discloses that information for any purpose other than the purposes for which the information was transferred.

Fins acceptables
Appropriate Purposes
Fins acceptables
Appropriate purposes

12(1)Que le consentement soit requis ou non aux termes de la présente loi, l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances.

12(1)An organization may collect, use or disclose personal information only in a manner and for purposes that a reasonable person would consider appropriate in the circumstances, whether or not consent is required under this Act.

Éléments à prendre en compte
Factors to consider

(2)Pour établir le caractère acceptable des fins et de la manière, il est tenu compte des éléments suivants :

a)la mesure dans laquelle les renseignements personnels sont de nature sensible;

b)le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation;

c)le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation;

d)l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables;

e)la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu.

(2)The following factors must be taken into account in determining whether the manner and purposes referred to in subsection (1) are appropriate:

(a)the sensitivity of the personal information;

(b)whether the purposes represent legitimate business needs of the organization;

(c)the effectiveness of the collection, use or disclosure in meeting the organization’s legitimate business needs;

(d)whether there are less intrusive means of achieving those purposes at a comparable cost and with comparable benefits; and

(e)whether the individual’s loss of privacy is proportionate to the benefits in light of the measures, technical or otherwise, implemented by the organization to mitigate the impacts of the loss of privacy on the individual.

Établissement des fins
Purposes

(3)L’organisation établit et consigne les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués avant la collecte ou au plus tard au moment de celle-ci.

(3)An organization must determine at or before the time of the collection of any personal information each of the purposes for which the information is to be collected, used or disclosed and record those purposes.

Fin nouvelle
New purpose

(4)Si elle établit que les renseignements personnels qu’elle a recueillis seront utilisés ou communiqués à une fin nouvelle, l’organisation consigne la fin avant d’utiliser ou de communiquer les renseignements personnels à cette fin.

(4)If the organization determines that the personal information it has collected is to be used or disclosed for a new purpose, the organization must record that new purpose before using or disclosing that information for the new purpose.

Limite : collecte, utilisation et communication
Limiting Collection, Use and Disclosure
Limite : collecte
Limiting collection

13L’organisation ne peut recueillir que les renseignements personnels qui sont nécessaires aux fins qu’elle a établies et consignées en application du paragraphe 12(3).

13The organization may collect only the personal information that is necessary for the purposes determined and recorded under subsection 12(3).

Fins nouvelles
New purpose

14(1)L’organisation ne peut utiliser ou communiquer des renseignements personnels pour des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), sauf si elle obtient le consentement valide de l’individu concerné avant de le faire.

14(1)An organization must not use or disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3), unless the organization obtains the individual’s valid consent before any use or disclosure for that other purpose.

Utilisation ou communication : autres fins
Use or disclosure — other purposes

(2)Toutefois, l’organisation peut :

a)utiliser des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux articles 18, 20 et 21, aux paragraphes 22(1) et (3) et aux articles 23, 24, 26, 30, 41 et 51;

b)communiquer des renseignements personnels à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3) dans les cas visés aux paragraphes 22(1) et (3), aux articles 23 à 28, 31 à 37 et 39, au paragraphe 40(3) et aux articles 42 et 43 à 51.

(2)Despite subsection (1), an organization may

(a)use personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in sections 18, 20 and 21, subsections 22(1) and (3) and sections 23, 24, 26, 30, 41 and 51; or

(b)disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in subsections 22(1) and (3), sections 23 to 28, 31 to 37 and 39, subsection 40(3) and sections 42 and 43 to 51.

Consentement
Consent
Consentement requis
Consent required

15(1)Sauf disposition contraire de la présente loi, l’organisation qui recueille, utilise ou communique des renseignements personnels doit d’abord obtenir le consentement valide de l’individu concerné.

15(1)Unless this Act provides otherwise, an organization must obtain an individual’s valid consent for the collection, use or disclosure of the individual’s personal information.

Moment du consentement
Timing of consent

(2)Le consentement valide doit être obtenu au plus tard au moment de recueillir les renseignements personnels ou, s’agissant de renseignements qui seront utilisés ou communiqués à des fins autres que celles qu’elle a établies et consignées en application du paragraphe 12(3), avant de les utiliser ou de les communiquer à ces autres fins.

(2)The individual’s consent must be obtained at or before the time of the collection of the personal information or, if the information is to be used or disclosed for a purpose other than a purpose determined and recorded under subsection 12(3), before any use or disclosure of the information for that other purpose.

Renseignements pour un consentement valide
Information for consent to be valid

(3)Le consentement n’est valide que si l’organisation fournit d’abord à l’individu concerné les renseignements suivants :

a)les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels, établies par l’organisation et consignées en application des paragraphes 12(3) ou (4);

b)la manière dont les renseignements personnels seront recueillis, utilisés ou communiqués;

c)les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;

d)le type précis de renseignements personnels que l’organisation recueillera, utilisera ou communiquera;

e)le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués.

(3)The individual’s consent is valid only if, at or before the time that the organization seeks the individual’s consent, it provides the individual with the following information:

(a)the purposes for the collection, use or disclosure of the personal information determined by the organization and recorded under subsection 12(3) or (4);

(b)the manner in which the personal information is to be collected, used or disclosed;

(c)any reasonably foreseeable consequences of the collection, use or disclosure of the personal information;

(d)the specific type of personal information that is to be collected, used or disclosed; and

(e)the names of any third parties or types of third parties to which the organization may disclose the personal information.

Langage clair
Plain language

(4)L’organisation fournit les renseignements mentionnés au paragraphe (3) dans un langage clair et raisonnablement compréhensible pour un individu visé par les activités de l’organisation.

(4)The organization must provide the information referred to in subsection (3) in plain language that an individual to whom the organization’s activities are directed would reasonably be expected to understand.

Forme du consentement
Form of consent

(5)Le consentement doit être obtenu expressément, sauf si, sous réserve du paragraphe (6), il est approprié de présumer le consentement implicite de l’individu compte tenu de la nature sensible des renseignements personnels à recueillir, à utiliser ou à communiquer et des attentes raisonnables de cet individu.

(5)Consent must be expressly obtained unless, subject to subsection (6), it is appropriate to rely on an individual’s implied consent, taking into account the reasonable expectations of the individual and the sensitivity of the personal information that is to be collected, used or disclosed.

Activités d’affaires
Business activities

(6)Il n’est pas approprié pour l’organisation de présumer le consentement implicite d’un individu lorsqu’elle recueille ou utilise ses renseignements personnels en vue d’une activité mentionnée aux paragraphes 18(2) ou (3).

(6)It is not appropriate to rely on an individual’s implied consent if their personal information is collected or used for an activity described in subsection 18(2) or (3).

Consentement : bien ou service
Consent — provision of product or service

(7)L’organisation ne peut, pour le motif qu’elle fournit un bien ou un service, exiger d’un individu qu’il consente à la collecte, à l’utilisation ou à la communication de renseignements personnels qui ne sont pas nécessaires à la fourniture du bien ou à la prestation du service.

(7)The organization must not, as a condition of the provision of a product or service, require an individual to consent to the collection, use or disclosure of their personal information beyond what is necessary to provide the product or service.

Consentement obtenu par subterfuge
Consent obtained by deception

16Il est interdit à l’organisation d’utiliser des pratiques trompeuses ou mensongères ou de fournir desinformations fausses ou trompeuses pour obtenir, ou tenter d’obtenir, un consentement. Tout consentement ainsi obtenu n’est pas valide. 

16An organization must not obtain or attempt to obtain an individual’s consent by providing false or misleading information or using deceptive or misleadingpractices. Any consent obtained under those circumstances is invalid. 

Retrait du consentement
Withdrawal of consent

17(1)Sous réserve de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable, l’individu peut à tout moment retirer son consentement, en tout ou en partie. Le cas échéant, il en avise l’organisation suffisamment à l’avance.

17(1)On giving reasonable notice to an organization, an individual may, at any time, subject to this Act, to federal or provincial law or to the reasonable terms of a contract, withdraw their consent in whole or in part.

Cessation de la collecte, de l’utilisation ou de la communication
Collection, use or disclosure to cease

(2)Sur réception de l’avis, l’organisation informe l’individu concerné des conséquences du retrait de son consentement et cesse ensuite, dès que possible, de recueillir, d’utiliser ou de communiquer les renseignements personnels à l’égard desquels le consentement a été retiré.

(2)On receiving the notice from the individual, the organization must inform the individual of the consequences of the withdrawal of their consent and, as soon as feasible after that, cease the collection, use or disclosure of the individual’s personal information in respect of which the consent was withdrawn.

Consentement : exceptions
Exceptions to Requirement for Consent
Activités d’affaires
Business Operations
Activités d’affaires
Business activities

18(1)L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité d’affaires mentionnée au paragraphe (2) et, à la fois :

a)une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité;

b)les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.

18(1)An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for the purpose of a business activity described in subsection (2) and

(a)a reasonable person would expect the collection or use for such an activity; and

(b)the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.

Activités visées
List of activities

(2)Sous réserve des règlements, sont des activités d’affaires pour l’application du paragraphe (1) :

a)les activités nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation;

b)les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation;

c)les activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit;

d)toute autre activité réglementaire.

(2)Subject to the regulations, the following activities are business activities for the purpose of subsection (1):

(a)an activity that is necessary to provide a product or service that the individual has requested from the organization;

(b)an activity that is necessary for the organization’s information, system or network security;

(c)an activity that is necessary for the safety of a product or service that the organization provides; and

(d)any other prescribed activity.

Intérêt légitime
Legitimate interest

(3)L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu et si, à la fois :

a)une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité;

b)les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.

(3)An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for the purpose of an activity in which the organization has a legitimate interest that outweighs any potential adverse effect on the individual resulting from that collection or use and

(a)a reasonable person would expect the collection or use for such an activity; and

(b)the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.

Conditions préalables
Conditions precedent

(4)Avant de se prévaloir du paragraphe (3) pour recueillir ou d’utiliser des renseignements personnels, l’organisation est tenue :

a)de déceler tout effet négatif potentiel que la collecte ou l’utilisation est susceptible d’avoir pour l’individu;

b)de trouver et de prendre des moyens raisonnables pour réduire la probabilité que ces effets se produisent ou pour les atténuer ou les éliminer;

c)de se conformer à toute autre exigence réglementaire.

(4)Prior to collecting or using personal information under subsection (3), the organization must

(a)identify any potential adverse effect on the individual that is likely to result from the collection or use;

(b)identify and take reasonable measures to reduce the likelihood that the effects will occur or to mitigate or eliminate them; and

(c)comply with any prescribed requirements.

Consignation d’évaluation
Record of assessment

(5)L’organisation consigne son évaluation de la manière dont elle remplit les conditions visées au paragraphe (4). Sur demande du commissaire, elle lui en remet une copie.

(5)The organization must record its assessment of how it meets the conditions set out in subsection (4) and must, on request, provide a copy of the assessment to the Commissioner.

Transfert à des fournisseurs de services
Transfer to service provider

19L’organisation peut transférer à des fournisseurs de services les renseignements personnels d’un individu à son insu ou sans son consentement.

19An organization may transfer an individual’s personal information to a service provider without their knowledge or consent.

Renseignements dépersonnalisés
De-identification of personal information

20L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, afin de les dépersonnaliser.

20An organization may use an individual’s personal information without their knowledge or consent to de-identify the information.

Recherche, analyse et développement
Research, analysis and development

21L’organisation peut utiliser les renseignements personnels d’un individu à son insu ou sans son consentement à des fins de recherche, d’analyse et de développement internes, s’ils sont dépersonnalisés avant leur utilisation.

21An organization may use an individual’s personal information without their knowledge or consent for the organization’s internal research, analysis and development purposes, if the information is de-identified before it is used.

Transaction commerciale éventuelle
Prospective business transaction

22(1)Les organisations qui seront parties à une éventuelle transaction commerciale peuvent utiliser et communiquer les renseignements personnels d’un individu à son insu ou sans son consentement, si, à la fois :

a)les renseignements personnels sont dépersonnalisés avant l’utilisation ou la communication, selon le cas, et le demeurent jusqu’à ce que la transaction soit effectuée;

b)les organisations ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée :

(i)à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction,

(ii)à les protéger au moyen de mesures de sécurité proportionnelles à la mesure dans laquelle ils sont de nature sensible,

(iii)si la transaction n’aura pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à procéder à leur retrait, dans un délai raisonnable;

c)les organisations se conforment à l’accord;

d)les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.

22(1)Organizations that are parties to a prospective business transaction may use and disclose an individual’s personal information without their knowledge or consent if

(a)the information is de-identified before it is used or disclosed and remains so until the transaction is completed;

(b)the organizations have entered into an agreement that requires the organization that receives the information

(i)to use and disclose that information solely for purposes related to the transaction,

(ii)to protect the information by security safeguards proportionate to the sensitivity of the information, and

(iii)if the transaction does not proceed, to return the information to the organization that disclosed it, or dispose of it, within a reasonable time;

(c)the organizations comply with the terms of that agreement; and

(d)the information is necessary

(i)to determine whether to proceed with the transaction, and

(ii)if the determination is made to proceed with the transaction, to complete it.

Exception : alinéa (1)a)
Exception — paragraph (1)‍(a)

(2)L’organisation n’est pas tenue de respecter l’exigence prévue à l’alinéa (1)a) si cela nuit aux objectifs de l’éventuelle transaction commerciale et que l’organisation a tenu compte du risque de préjudice pour l’individu que pourrait entraîner l’utilisation ou la communication.

(2)The requirement referred to in paragraph (1)‍(a) does not apply if it would undermine the objectives for carrying out the transaction and the organization has taken into account the risk of harm to the individual that could result from using or disclosing the information.

Transaction commerciale effectuée
Completed business transaction

(3)Si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels mentionnés au paragraphe (1), à l’insu d’un individu ou sans son consentement si, à la fois :

a)elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée :

(i)à n’utiliser et ne communiquer les renseignements personnels qui relèvent d’elle qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée,

(ii)à les protéger au moyen de mesures de sécurité proportionnelles à la mesure dans laquelle ils sont de nature sensible,

(iii)à donner effet à tout retrait de consentement fait en conformité avec le paragraphe 17(1);

b)elles se conforment à l’accord;

c)les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction;

d)dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’individu du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1).

(3)If the business transaction is completed, the organizations that are parties to the transaction may use and disclose the personal information referred to in subsection (1) without the individual’s knowledge or consent if

(a)the organizations have entered into an agreement that requires each of them

(i)to use and disclose the information under its control solely for the purposes for which the information was collected or permitted to be used or disclosed before the transaction was completed,

(ii)to protect that information by security safeguards proportionate to the sensitivity of the information, and

(iii)to give effect to any withdrawal of consent made under subsection 17(1);

(b)the organizations comply with the terms of that agreement;

(c)the information is necessary for carrying on the business or activity that was the object of the transaction; and

(d)one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their information has been disclosed under subsection (1).

Exception
Exception

(4)Les paragraphes (1) et (3) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location.

(4)Subsections (1) and (3) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.

Renseignement produit par l’individu
Information produced in employment, business or profession

23L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit d’un renseignement qui est produit par l’individu dans le cadre de son emploi, de son entreprise ou de sa profession et dont la collecte, l’utilisation ou la communication est compatible avec les fins auxquelles il a été produit.

23An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if it was produced by the individual in the course of their employment, business or profession and the collection, use or disclosure is consistent with the purposes for which the information was produced.

Relation d’emploi : entreprise fédérale
Employment relationship — federal work, undertaking or business

24Dans le cadre d’une entreprise fédérale, l’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu sans son consentement, si à la fois :

a)la collecte, l’utilisation ou la communication est nécessaire pour établir ou gérer la relation d’emploi entre l’individu et l’organisation, ou pour y mettre fin;

b)l’organisation a informé l’individu que ses renseignements personnels seraient ou pourraient être recueillis, utilisés ou communiqués à ces fins.

24An organization that operates a federal work, undertaking or business may collect, use or disclose an individual’s personal information without their consent if

(a)the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the organization and the individual in connection with the operation of a federal work, undertaking or business; and

(b)the organization has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.

Communication à un avocat ou un notaire
Disclosure to lawyer or notary

25L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’avocat — ou, au Québec, à l’avocat ou au notaire — qui la représente.

25An organization may disclose an individual’s personal information without their knowledge or consent to a lawyer or, in Quebec, a lawyer or notary, who is representing the organization.

Déclaration d’un témoin
Witness statement

26L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils sont contenus dans la déclaration d’un témoin et que la collecte, l’utilisation ou la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement.

26An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the information is contained in a witness statement and the collection, use or disclosure is necessary to assess, process or settle an insurance claim.

Prévention, détection et suppression de la fraude
Prevention, detection or suppression of fraud

27(1)L’organisation peut, si la communication est raisonnable, communiquer à une autre organisation les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

27(1)An organization may disclose an individual’s personal information to another organization without the individual’s knowledge or consent if the disclosure is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the individual’s knowledge or consent would compromise the ability to prevent, detect or suppress the fraud.

Collecte
Collection

(2)L’organisation peut recueillir ou utiliser les renseignements personnels qui lui sont communiqués au titre du paragraphe (1) à l’insu ou sans le consentement de l’individu.

(2)An organization may collect or use an individual’s personal information without their knowledge or consent if the information was disclosed to it under subsection (1).

Recouvrement de créances
Debt collection

28L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue du recouvrement d’une créance qu’elle a contre lui.

28An organization may disclose an individual’s personal information without their knowledge or consent for the purpose of collecting a debt owed by the individual to the organization.

Intérêt public
Public Interest
Intérêt de l’individu
Individual’s interest

29(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte des renseignements est manifestement dans l’intérêt de l’individu et le consentement ne peut être obtenu auprès de celui-ci en temps opportun.

29(1)An organization may collect an individual’s personal information without their knowledge or consent if the collection is clearly in the interests of the individual and consent cannot be obtained in a timely way.

Utilisation
Use

(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).

(2)An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).

Situation d’urgence : utilisation
Emergency — use

30L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, pour répondre à une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu.

30An organization may use an individual’s personal information without their knowledge or consent for the purpose of acting in respect of an emergency that threatens the life, health or security of any individual.

Situation d’urgence : communication
Emergency — disclosure

31L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à toute personne qui en a besoin en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu. Dans le cas où l’individu dont les renseignements ont été communiqués est vivant, l’organisation l’en informe par écrit et sans délai.

31An organization may disclose an individual’s personal information without their knowledge or consent to a person who needs the information because of an emergency that threatens the life, health or security of any individual. If the individual whom the information is about is alive, the organization must inform that individual in writing without delay of the disclosure.

Identification d’un individu
Identification of individual

32L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est nécessaire aux fins d’identification de l’individu qui est blessé, malade ou décédé et qu’elle est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé. Dans le cas où l’individu est vivant, l’organisation l’en informe par écrit et sans délai.

32An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is necessary to identify the individual who is injured, ill or deceased and is made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative. If the individual is alive, the organization must inform them in writing without delay of the disclosure.

Communication : proche parent ou représentant autorisé
Communication with next of kin or authorized representative

33L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est faite afin d’entrer en contact avec un proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé.

33An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual.

Exploitation financière
Financial abuse

34L’organisation peut communiquer, de sa propre initiative, les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’individu ou à son représentant autorisé, si les conditions suivantes sont remplies :

a)l’organisation a des motifs raisonnables de croire que l’individu a été, est ou pourrait être victime d’exploitation financière;

b)la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête sur celle-ci;

c)il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.

34An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution, a part of a government institution or the individual’s next of kin or authorized representative if

(a)the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse;

(b)the disclosure is made solely for purposes related to preventing or investigating the abuse; and

(c)it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse.

Statistiques, études ou recherches
Statistics, study or research

35L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :

a)la communication est faite à des fins de statistique ou d’étude ou de recherche, et ces fins ne peuvent être réalisées sans que les renseignements ne soient communiqués;

b)le consentement est pratiquement impossible à obtenir;

c)l’organisation informe le commissaire de la communication préalablement à celle-ci.

35An organization may disclose an individual’s personal information without their knowledge or consent if

(a)the disclosure is made for statistical purposes or for study or research purposes and those purposes cannot be achieved without disclosing the information;

(b)it is impracticable to obtain consent; and

(c)the organization informs the Commissioner of the disclosure before the information is disclosed.

Importance historique ou archivistique
Records of historic or archival importance

36L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution dont les attributions comprennent la conservation de documents ayant une importance historique ou archivistique en vue d’une telle conservation.

36An organization may disclose an individual’s personal information without their knowledge or consent to an institution whose functions include the conservation of records of historic or archival importance, if the disclosure is made for the purpose of such conservation.

Communication après une période de temps
Disclosure after period of time

37L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, cent ans après la constitution du document les contenant ou vingt ans après le décès de l’individu, selon celle de ces périodes qui se termine la première.

37An organization may disclose an individual’s personal information without their knowledge or consent after the earlier of

(a)100 years after the record containing the information was created, and

(b)20 years after the death of the individual.

Fins journalistiques, artistiques ou littéraires
Journalistic, artistic or literary purposes

38L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires.

38An organization may collect an individual’s personal information without their knowledge or consent if the collection is solely for journalistic, artistic or literary purposes.

Fins socialement bénéfiques
Socially beneficial purposes

39(1)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :

a)les renseignements personnels sont dépersonnalisés avant la communication;

b)la communication est faite :

(i)à une institution gouvernementale au Canada ou à une subdivision d’une telle institution,

(ii)à un établissement de soins de santé, à un établissement d’enseignement postsecondaire ou à une bibliothèque publique situés au Canada,

(iii)à une organisation mandatée, en vertu d’une loi fédérale ou provinciale ou d’un contrat avec une institution gouvernementale au Canada — ou avec une subdivision d’une telle institution —, pour réaliser une fin socialement bénéfique,

(iv)à toute autre entité réglementaire;

c)la communication est faite pour une fin socialement bénéfique.

39(1)An organization may disclose an individual’s personal information without their knowledge or consent if

(a)the personal information is de-identified before the disclosure is made;

(b)the disclosure is made to

(i)a government institution or part of a government institution in Canada,

(ii)a health care institution, post-secondary educational institution or public library in Canada,

(iii)any organization that is mandated, under a federal or provincial law or by contract with a government institution or part of a government institution in Canada, to carry out a socially beneficial purpose, or

(iv)any other prescribed entity; and

(c)the disclosure is made for a socially beneficial purpose.

Définition de fin socialement bénéfique
Definition of socially beneficial purpose

(2)Pour l’application du présent article, fin socialement bénéfique s’entend de toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire.

(2)For the purpose of this section, socially beneficial purpose means a purpose related to health, the provision or improvement of public amenities or infrastructure, the protection of the environment or any other prescribed purpose.

Enquêtes
Investigations
Violation d’un accord ou contravention au droit
Breach of agreement or contravention

40(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’individu compromette l’exactitude des renseignements ou l’accès à ceux-ci, et si la collecte est raisonnable et faite à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial.

40(1)An organization may collect an individual’s personal information without their knowledge or consent if it is reasonable to expect that the collection with their knowledge or consent would compromise the availability or the accuracy of the information and the collection is reasonable for purposes related to investigating a breach of an agreement or a contravention of federal or provincial law.

Utilisation
Use

(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).

(2)An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).

Communication
Disclosure

(3)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette l’enquête.

(3)An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of federal or provincial law that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation.

Utilisation à des fins d’enquête
Use for investigations

41L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, si, dans le cadre de ses activités, elle découvre l’existence de renseignements dont elle a des motifs raisonnables de croire qu’ils pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être et si l’utilisation est faite en vue d’enquêter sur cette contravention.

41An organization may use an individual’s personal information without their knowledge or consent if, in the course of its activities, the organization becomes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed and the information is used for the purpose of investigating that contravention.

Atteinte aux mesures de sécurité
Breach of security safeguards

42L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement si :

a)d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe 59(1);

b)d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’individu qui pourrait résulter de l’atteinte ou atténuer ce préjudice.

42An organization may disclose an individual’s personal information without their knowledge or consent if

(a)the disclosure is made to the other organization, government institution or part of a government institution that was notified of a breach under subsection 59(1); and

(b)the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.

Communication à une institution gouvernementale
Disclosures to Government Institutions
Application du droit : demande de l’institution gouvernementale
Administering law — request of government institution

43L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée pour l’application du droit fédéral ou provincial.

43An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of administering federal or provincial law.

Contrôle d’application : demande de l’institution gouvernementale
Law enforcement — request of government institution

44L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée aux fins du contrôle d’application du droit fédéral, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.

44An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of enforcing federal or provincial law or law of a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering intelligence for the purpose of enforcing any such law.

Contravention au droit : sur initiative de l’organisation
Contravention of law — initiative of organization

45L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou à une subdivision d’une telle institution si l’organisation a des motifs raisonnables de croire que les renseignements concernent une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être.

45An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization has reasonable grounds to believe that the information relates to a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed.

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Proceeds of Crime (Money Laundering) and Terrorist Financing Act

46L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article.

46An organization may disclose an individual’s personal information without their knowledge or consent to the government institution referred to in section 7 of the Proceeds of Crime (Money Laundering) and Terrorist Financing Act as required by that section.

Sécurité nationale, défense et affaires internationales : demande de l’institution gouvernementale
National security, defence or international affairs — request by government institution

47(1)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait qu’elle soupçonne qu’ils concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.

47(1)An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that it suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.

Collecte
Collection

(2)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).

(2)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).

Utilisation
Use

(3)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).

(3)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).

Sécurité nationale, défense et affaires internationales : initiative de l’organisation
National security, defence or international affairs — initiative of organization

48(1)L’organisation peut, de sa propre initiative, communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, à une institution gouvernementale ou une subdivision d’une telle institution si elle soupçonne que les renseignements concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales.

48(1)An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.

Collecte
Collection

(2)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, en vue de la communication visée au paragraphe (1).

(2)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).

Utilisation
Use

(3)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (2).

(3)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).

Exigence de la loi
Required by Law
Collecte en vue d’une communication exigée par la loi
Required by law — collection

49(1)L’organisation peut recueillir les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la collecte est faite en vue d’une communication exigée par la loi.

49(1)An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure that is required by law.

Utilisation
Use

(2)L’organisation peut utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, s’ils ont été recueillis au titre du paragraphe (1).

(2)An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (1).

Communication
Disclosure

(3)L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par la loi.

(3)An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required by law.

Assignation, mandat ou ordonnance
Subpoena, warrant or order

50L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou par des règles de procédure se rapportant à la production de documents.

50An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required to comply with a subpoena or warrant issued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of procedure relating to the production of records.

Renseignements publics
Publicly Available Information
Renseignements réglementaires
Information specified by regulations

51L’organisation peut recueillir, utiliser ou communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit de renseignements personnels précisés par les règlements, auxquels le public a accès.

51An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the personal information is publicly available and is specified by the regulations.

Non-application de certaines exceptions : adresse électronique et programme d’ordinateur
Non-application of Certain Exceptions — Electronic Addresses and Computer Systems
Définitions
Definitions

52(1)Les définitions qui suivent s’appliquent au présent article.

adresse électronique Toute adresse utilisée relativement à l’un des comptes suivants :

a)un compte courriel;

b)un compte de messagerie instantanée;

c)tout autre compte similaire. (electronic address)

ordinateur S’entend au sens du paragraphe 342.‍1(2) du Code criminel. (computer system)

programme d’ordinateur S’entend au sens du paragraphe 342.‍1(2) du Code criminel. (computer program)

utiliser S’agissant d’un ordinateur ou d’un réseau informatique, le programmer, lui faire exécuter un programme, communiquer avec lui, y mettre en mémoire, ou en extraire, des données ou utiliser ses ressources de toute autre façon, notamment ses données et ses programmes. (access)

52(1)The following definitions apply in this section.

access means to program, execute programs on, communicate with, store data in, retrieve data from or otherwise make use of any resources, including data or programs of a computer system or a computer network. (utiliser)

computer program has the same meaning as in subsection 342.‍1(2) of the Criminal Code. (programme d’ordinateur)

computer system has the same meaning as in subsection 342.‍1(2) of the Criminal Code. (ordinateur)

electronic address means an address used in connection with

(a)an electronic mail account;

(b)an instant messaging account; or

(c)any similar account. (adresse électronique)

Collecte et utilisation d’adresses électroniques
Collection and use of electronic addresses

(2)L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1) ou des articles 30, 38, 41 ou 51 si elle recueille l’adresse électronique d’un individu, à son insu ou sans son consentement, à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir, ou si elle utilise une adresse électronique ainsi recueillie.

(2)An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1) and sections 30, 38, 41 and 51 to

(a)collect an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, electronic addresses; or

(b)use an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program described in paragraph (a).

Collecte et utilisation de renseignements personnels
Accessing computer system to collect personal information, etc.

(3)L’organisation ne peut se prévaloir des articles 18, 23 ou 26, du paragraphe 29(1), des articles 30 ou 38, du paragraphe 40(1) ou des articles 41 ou 51 si elle recueille, par tout moyen de télécommunication, les renseignements personnels d’un individu, à son insu ou sans son consentement en utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale, ou si elle utilise des renseignements personnels ainsi recueillis.

(3)An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1), sections 30 and 38, subsection 40(1) and sections 41 and 51 to

(a)collect an individual’s personal information without their knowledge or consent, through any means of telecommunication, if the information is collected by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or

(b)use an individual’s personal information without their knowledge or consent, if the information is collected in a manner described in paragraph (a).

Consentement implicite
Express consent

(4)Malgré le paragraphe 15(5), l’organisation ne peut conclure que l’individu a implicitement consenti à la collecte ou à l’utilisation mentionnée aux paragraphes (2) ou (3).

(4)Despite subsection 15(5), an organization is not to rely on an individual’s implied consent in respect of any collection of personal information described in paragraph (2)‍(a) or (3)‍(a) or any use of personal information described in paragraph (2)‍(b) or (3)‍(b).

Conservation et retrait des renseignements personnels
Retention and Disposal of Personal Information
Durée de conservation et retrait
Period for retention and disposal

53(1)L’organisation ne conserve des renseignements personnels que le temps nécessaire :

a)pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués;

b)pour respecter les exigences de la présente loi, du droit fédéral ou provincial ou de toute restriction contractuelle raisonnable.

L’organisation procède ensuite, dès que possible, à leur retrait.

53(1)An organization must not retain personal information for a period longer than necessary to

(a)fulfill the purposes for which the information was collected, used or disclosed; or

(b)comply with the requirements of this Act, of federal or provincial law or of the reasonable terms of a contract.

The organization must dispose of the information as soon as feasible after that period.

Renseignements personnels de nature sensible
Sensitivity of personal information

(2)Pour l’application de l’alinéa (1)a), lorsqu’elle établit la durée de la période de conservation, l’organisation tient compte de la mesure dans laquelle les renseignements personnels sont de nature sensible.

(2)For the purposes of paragraph (1)‍(a), when determining the retention period, the organization must take into account the sensitivity of the information.

Renseignements personnels utilisés pour prendre une décision
Personal information used for decision-making

54L’organisation qui utilise des renseignements personnels pour prendre une décision concernant un individu conserve ces renseignements suffisamment longtemps pour permettre à l’individu de présenter une demande au titre de l’article 63.

54An organization that uses personal information to make a decision about an individual must retain the information for a sufficient period of time to permit the individual to make a request for access under section 63.

Retrait à la demande de l’individu
Disposal at individual’s request

55(1)L’organisation qui reçoit d’un individu une demande écrite de retrait des renseignements personnels qui le concernent et qui relèvent d’elle, procède dès que possible à leur retrait si, selon le cas :

a)les renseignements ont été recueillis, utilisés ou communiqués en contravention de la présente loi;

b)l’individu a retiré son consentement, en tout ou en partie, à la collecte, à l’utilisation ou à la communication des renseignements;

c)les renseignements ne sont plus nécessaires à la fourniture continue du bien ou à la prestation continue du service demandé par l’individu.

55(1)If an organization receives a written request from an individual to dispose of their personal information that is under the organization’s control, the organization must, as soon as feasible, dispose of the information, if

(a)the information was collected, used or disclosed in contravention of this Act;

(b)the individual has withdrawn their consent, in whole or in part, to the collection, use or disclosure of the information; or

(c)the information is no longer necessary for the continued provision of a product or service requested by the individual.

Exception
Exception

(2)L’organisation peut refuser de procéder au retrait dans les cas visés aux alinéas (1)b) ou c) qui remplissent l’une ou l’autre des conditions suivantes :

a)le retrait entraînerait celui des renseignements personnels d’un autre individu et ces renseignements ne peuvent être retranchés;

b)d’autres exigences de la présente loi ou du droit fédéral ou provincial ou une restriction contractuelle raisonnable l’empêchent de procéder au retrait;

c)les renseignements sont nécessaires à l’établissement d’une défense juridique ou à l’exercice d’autres recours juridiques par l’organisation;

d)ils ne concernent pas un mineur et leur retrait aurait un effet négatif excessif sur l’intégrité ou l’exactitude des renseignements nécessaires à la fourniture continue d’un produit ou à la prestation continue d’un service à l’individu concerné;

e)la demande est vexatoire ou entachée de mauvaise foi;

f)le retrait des renseignements — dans la mesure où ils ne concernent pas un mineur — est déjà prévu, conformément aux politiques de conservation des renseignements personnels de l’organisation, et celle-ci informe l’individu de la période de conservation restante qui leur est applicable.

(2)An organization may refuse a request to dispose of personal information in the circumstances described in paragraph (1)‍(b) or (c) if

(a)disposing of the information would result in the disposal of personal information about another individual and the information is not severable;

(b)there are other requirements of this Act, of federal or provincial law or of the reasonable terms of a contract that prevent it from disposing of the information;

(c)the information is necessary for the establishment of a legal defence or in the exercise of other legal remedies by the organization;

(d)the information is not in relation to a minor and the disposal of the information would have an undue adverse impact on the accuracy or integrity of information that is necessary to the ongoing provision of a product or service to the individual in question;

(e)the request is vexatious or made in bad faith; or

(f)the information is not in relation to a minor and it is scheduled to be disposed of in accordance with the organization’s information retention policy, and the organization informs the individual of the remaining period of time for which the information will be retained.

Refus motivé
Reasons for refusal

(3)L’organisation qui refuse de procéder au retrait des renseignements personnels d’un individu lui notifie par écrit son refus motivé et l’informe des recours prévus à l’article 73 et au paragraphe 82(1).

(3)An organization that refuses to dispose of an individual’s personal information must inform them in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).

Retrait des renseignements personnels transférés
Disposal of transferred personal information

(4)L’organisation qui procède au retrait des renseignements personnels d’un individu informe, dès que possible, tout fournisseur de services à qui elle a transféré les renseignements et veille à ce que celui-ci procède à leur retrait.

(4)If an organization disposes of personal information at an individual’s request, it must, as soon as feasible, inform any service provider to which it has transferred the information of the request and ensure that the service provider has disposed of the information.

Exactitude des renseignements personnels
Accuracy of Personal Information
Exactitude des renseignements
Accuracy of information

56(1)L’organisation prend toutes les mesures raisonnables pour que les renseignements personnels qui relèvent d’elle soient aussi à jour, exacts et complets que l’exige la réalisation des fins auxquelles ils ont été recueillis, utilisés ou communiqués.

56(1)An organization must take reasonable steps to ensure that personal information under its control is as accurate, up-to-date and complete as is necessary to fulfill the purposes for which the information is collected, used or disclosed.

Critères
Extent of accuracy

(2)L’organisation détermine la mesure dans laquelle les renseignements personnels doivent être à jour, exacts et complets en tenant compte des intérêts de l’individu concerné et notamment :

a)de la possibilité que les renseignements servent à prendre une décision concernant l’individu;

b)du fait que les renseignements servent sur une base régulière;

c)du fait que les renseignements sont communiqués à des tiers.

(2)In determining the extent to which personal information must be accurate, complete and up-to-date, the organization must take into account the individual’s interests, including

(a)whether the information may be used to make a decision about the individual;

(b)whether the information is used on an ongoing basis; and

(c)whether the information is disclosed to third parties.

Mise à jour systématique
Routine updating

(3)Sauf si cela est nécessaire à la réalisation des fins auxquelles ils sont recueillis, utilisés ou communiqués, l’organisation ne met pas systématiquement à jour les renseignements personnels.

(3)An organization is not to routinely update personal information unless it is necessary to fulfill the purposes for which the information is collected, used or disclosed.

Mesures de sécurité
Security Safeguards
Mesures de sécurité
Security safeguards

57(1)L’organisation protège les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques. Le degré de protection des renseignements personnels est proportionnel à la mesure dans laquelle les renseignements sont de nature sensible.

57(1)An organization must protect personal information through physical, organizational and technological security safeguards. The level of protection provided by those safeguards must be proportionate to the sensitivity of the information.

Éléments à prendre en compte
Factors to consider

(2)Les mesures de sécurité établies par l’organisation tiennent également compte de la quantité, de la répartition, du format et de la méthode de stockage des renseignements.

(2)In addition to the sensitivity of the information, the organization must, in establishing its security safeguards, take into account the quantity, distribution, format and method of storage of the information.

Portée des mesures de sécurité
Scope of security safeguards

(3)Les mesures de sécurité protègent les renseignements personnels contre, notamment, la perte ou le vol ainsi que l’accès, la communication, la copie, l’utilisation ou la modification non autorisés et elles comprennent notamment des mesures raisonnables d’authentification de l’identité de l’individu auquel ces renseignements se rapportent.

(3)The security safeguards must protect personal information against, among other things, loss, theft and unauthorized access, disclosure, copying, use and modification and must include reasonable measures to authenticate the identity of the individual to whom the personal information relates.

Déclaration au commissaire
Report to Commissioner

58(1)L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elle s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.

58(1)An organization must report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.

Modalités de la déclaration
Report requirements

(2)La déclaration contient les renseignements réglementaires et est faite, selon les modalités réglementaires, dès que possible après que l’organisation a conclu qu’il y a eu atteinte.

(2)The report must contain the prescribed information and must be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.

Avis à l’individu
Notification to individual

(3)À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’individu de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant qui relèvent d’elle s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit de l’individu.

(3)Unless otherwise prohibited by law, an organization must notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.

Contenu de l’avis
Contents of notification

(4)L’avis contient suffisamment d’information pour permettre à l’individu de comprendre l’importance, pour lui, de l’atteinte et de prendre, si possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer ce préjudice. Il contient aussi tout autre renseignement réglementaire.

(4)The notification must contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It must also contain any other prescribed information.

Modalités de l’avis
Form and manner

(5)L’avis est manifeste et donné à l’individu directement, selon les modalités réglementaires. Dans les circonstances réglementaires, il est donné indirectement, selon les modalités réglementaires.

(5)The notification must be conspicuous and must be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it must be given indirectly in the prescribed form and manner.

Délai de l’avis
Time to give notification

(6)L’avis est donné dès que possible après que l’organisation a conclu qu’il y a eu atteinte.

(6)The notification must be given as soon as feasible after the organization determines that the breach has occurred.

Définition de préjudice grave
Definition of significant harm

(7)Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

(7)For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation orrelationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property. 

Risque réel de préjudice grave : éléments
Real risk of significant harm — factors

(8)Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’individu sont notamment la mesure dans laquelle les renseignements personnels en cause sont de nature sensible, la probabilité que les renseignements aient été ou seront mal utilisés ou soient en train de l’être et tout autre élément réglementaire.

(8)The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include

(a)the sensitivity of the personal information involved in the breach;

(b)the probability that the personal information has been, is being or will be misused; and

(c)any other prescribed factor.

Avis à une organisation
Notification to organizations

59(1)L’organisation qui, en application du paragraphe 58(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser également toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à une ou plusieurs conditions réglementaires.

59(1)An organization that notifies an individual of a breach of security safeguards under subsection 58(3) must notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.

Délai
Time to give notification

(2)L’organisation donne l’avis dès que possible après avoir conclu qu’il y a eu atteinte.

(2)The notification must be given as soon as feasible after the organization determines that the breach has occurred.

Registre
Records

60(1)L’organisation tient et conserve, conformément aux exigences réglementaires, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels qui relèvent d’elle.

60(1)An organization must, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.

Accès au registre : commissaire
Provision to Commissioner

(2)Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.

(2)An organization must, on request, provide the Commissioner with access to, or a copy of, the record.

Fournisseur de services
Service providers

61Le fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels avise dès que possible l’organisation de laquelle ils relèvent.

61If a service provider determines that any breach of security safeguards has occurred that involves personal information, it must as soon as feasible notify the organization that controls the personal information.

Ouverture et transparence
Openness and Transparency
Politiques et pratiques
Policies and practices

62(1)L’organisation rend facilement accessibles, dans un langage clair, des renseignements expliquant les politiques et les pratiques qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.

62(1)An organization must make readily available, in plain language, information that explains the organization’s policies and practices put in place to fulfill its obligations under this Act.

Autres renseignements
Additional information

(2)À cet égard, l’organisation rend accessibles les renseignements suivants :

a)la description du type de renseignements personnels qui relèvent d’elle;

b)une explication générale de l’usage qui est fait des renseignements personnels et de la façon dont l’organisation applique les exceptions à l’obligation d’obtenir le consentement d’un individu prévues à la présente loi, notamment une description des activités mentionnées au paragraphe 18(3) dans lesquelles elle a un intérêt légitime;

c)une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés;

d)le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;

e)les périodes de conservation établies pour les renseignements personnels de nature sensible;

f)la manière de présenter, au titre de l’article 55, une demande de retrait de renseignements personnels ou, au titre de l’article 63, une demande d’accès aux renseignements personnels;

g)les coordonnées d’affaires de l’individu à qui les demandes de renseignements et les plaintes peuvent être acheminées.

(2)In fulfilling its obligation under subsection (1), an organization must make the following information available:

(a)a description of the type of personal information under the organization’s control;

(b)a general account of how the organization uses the personal information and of how it applies the exceptions to the requirement to obtain an individual’s consent under this Act, including a description of any activities referred to in subsection 18(3) in which it has a legitimate interest;

(c)a general account of the organization’s use of any automated decision system to make predictions, recommendations or decisions about individuals that could have a significant impact on them;

(d)whether or not the organization carries out any international or interprovincial transfer or disclosure of personal information that may have reasonably foreseeable privacy implications;

(e)the retention periods applicable to sensitive personal information;

(f)how an individual may make a request for disposal under section 55 or access under section 63; and

(g)the business contact information of the individual to whom complaints or requests for information may be made.

Accès et rectification
Access to and Amendment of Personal Information
Information et accès
Information and access

63(1)Sur demande de l’individu, l’organisation lui indique si elle détient des renseignements personnels qui le concernent, quel est l’usage qu’elle en fait et si elle les a communiqués. Elle les met à sa disposition.

63(1)On request by an individual, an organization must inform them of whether it has any personal information about them, how it uses the information and whether it has disclosed the information. It must also give the individual access to the information.

Nom des tiers ou catégories de tiers
Names or types of third parties

(2)Si l’organisation a communiqué les renseignements, elle fournit à l’individu le nom des tiers ou les catégories de tiers auxquels ils ont été communiqués, et ce, même lorsqu’elle les a communiqués sans son consentement.

(2)If the organization has disclosed the information, the organization must also provide to the individual the names of the third parties or types of third parties to which the disclosure was made, including in cases where the disclosure was made without the consent of the individual.

Système décisionnel automatisé
Automated decision system

(3)Si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant l’individu et que la prédiction, la recommandation ou la décision pourrait avoir une incidence importante pour lui, elle lui en fournit, à sa demande, une explication.

(3)If the organization has used an automated decision system to make a prediction, recommendation or decision about the individual that could have a significant impact on them, the organization must, on request by the individual, provide them with an explanation of the prediction, recommendation or decision.

Explication
Explanation

(4)L’explication indique le type de renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision, la provenance de ces renseignements ainsi que les motifs ou les principaux facteurs ayant mené à la prédiction, à la recommandation ou à la décision.

(4)The explanation must indicate the type of personal information that was used to make the prediction, recommendation or decision, the source of the information and the reasons or principal factors that led to the prediction, recommendation or decision.

Demande par écrit
Request in writing

64(1)La demande mentionnée à l’article 63 est présentée par écrit.

64(1)A request under section 63 must be made in writing.

Aide à fournir
Assistance

(2)Sur requête de l’individu, l’organisation lui fournit l’aide dont il a besoin pour préparer sa demande.

(2)An organization must assist any individual who informs the organization that they need assistance in preparing a request to the organization.

Renseignements nécessaires
Information to be provided

65L’organisation peut exiger de l’individu qu’il lui fournisse suffisamment de renseignements pour satisfaire à ses obligations prévues à l’article 63.

65An organization may require the individual to provide it with sufficient information to allow the organization to fulfill its obligations under section 63.

Langage clair
Plain language

66(1)L’organisation fournit l’information mentionnée à l’article 63 dans un langage clair.

66(1)The information referred to in section 63 must be provided to the individual in plain language.

Déficience sensorielle
Sensory disability

(2)Pour l’application de l’article 63, l’organisation met à la disposition de l’individu ayant une déficience sensorielle qui en fait la demande les renseignements personnels le concernant sur support de substitution dans l’un ou l’autre des cas suivants :

a)une version des renseignements visés existe déjà sur un tel support;

b)leur transfert sur un tel support est raisonnable et nécessaire pour que l’individu puisse exercer les droits qui lui sont conférés sous le régime de la présente loi.

(2)For the purpose of section 63, an organization must give access to personal information in an alternative format to an individual with a sensory disability who requests that it be transmitted in that format if

(a)a version of the information already exists in that format; or

(b)its conversion into that format is reasonable and necessary in order for the individual to be able to exercise rights under this Act.

Renseignements médicaux de nature sensible
Sensitive medical information

(3)Dans le cas de renseignements médicaux de nature sensible, l’organisation peut mettre ces renseignements à la disposition du demandeur par l’intermédiaire d’un médecin.

(3)An organization may choose to give an individual access to sensitive medical information through a medical practitioner.

Délai de réponse
Time limit

67(1)L’organisation saisie de la demande mentionnée à l’article 63 doit y donner suite avec la diligence voulue et, au plus tard, dans les trente jours suivant sa réception.

67(1)An organization must respond to a request made under section 63 with due diligence and in any case no later than 30 days after the day on which the request was received.

Prorogation du délai
Extension of time limit

(2)Elle peut toutefois proroger le délai :

a)d’une période maximale de trente jours lorsque :

(i)ou bien l’observation du délai entraverait déraisonnablement l’activité de l’organisation,

(ii)ou bien toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai;

b)de la période nécessaire au transfert des renseignements personnels visés sur support de substitution.

Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la réception de la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

(2)An organization may extend the time limit

(a)for a maximum of 30 days if

(i)meeting the time limit would unreasonably interfere with the activities of the organization, or

(ii)the time required to undertake any consultations necessary to respond to the request would make the time limit impracticable to meet; or

(b)for the period that is necessary in order to be able to convert the personal information into an alternative format.

In either case, the organization must, no later than 30 days after the day on which the request was received, send a notice of extension to the individual, advising them of the new time limit, the reasons for extending the time limit and their right to make a complaint to the Commissioner in respect of the extension.

Refus motivé
Reasons

(3)L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours prévus à l’article 73 et au paragraphe 82(1).

(3)An organization that responds within the time limit and refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).

Présomption
Deemed refusal

(4)Faute de répondre dans le délai prévu, l’organisation est réputée avoir refusé d’acquiescer à la demande.

(4)If the organization fails to respond within the time limit, the organization is deemed to have refused the request.

Coût
Costs for responding

68L’organisation peut exiger des droits pour répondre à la demande mentionnée à l’article 63 si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci, celui-ci l’avise qu’il ne retire pas sa demande et les droits exigés sont minimes.

68An organization must not respond to the individual’s request made under section 63 at a cost unless

(a)the organization has informed the individual of the approximate cost;

(b)the cost to the individual is minimal; and

(c)the individual has advised the organization that the request is not being withdrawn.

Conservation des renseignements
Retention of information

69L’organisation qui détient des renseignements personnels visés par une demande mentionnée à l’article 63 les conserve le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente loi.

69An organization that has personal information that is the subject of a request made under section 63 must retain the information for as long as is necessary to allow the individual to exhaust any recourse that they may have under this Act.

Cas où la communication est interdite
When access prohibited

70(1)Malgré l’article 63, l’organisation ne peut mettre à la disposition du demandeur des renseignements personnels qui révéleraient vraisemblablement des renseignements personnels sur un autre individu. Toutefois, si ces derniers renseignements peuvent être retranchés, l’organisation est tenue de les retrancher puis de mettre à la disposition du demandeur les renseignements le concernant.

70(1)Despite section 63, an organization must not give an individual access to personal information under that section if doing so would likely reveal personal information about another individual. However, if the information about the other individual is severable from the information about the requester, the organization must sever the information about the other individual before giving the requester access.

Non-application
Limit

(2)Le paragraphe (1) ne s’applique pas si l’autre individu consent à ce que ses renseignements personnels soient mis à la disposition du demandeur ou si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.

(2)Subsection (1) does not apply if the other individual consents to the access or the requester needs the information because an individual’s life, health or security is threatened.

Renseignements relatifs à certaines exceptions à l’obligation d’obtenir le consentement
Information related to certain exceptions to consent

(3)L’organisation est tenue de se conformer au paragraphe (4) si le demandeur lui demande :

a)de l’aviser, selon le cas :

(i)de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50,

(ii)de l’existence de renseignements détenus par l’organisation relatifs soit à toute communication visée au sous-alinéa (i), soit à une assignation, à un mandat ou à une ordonnance visé à l’article 50, soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de l’article 44 ou du paragraphe 47(1);

b)de mettre à sa disposition les renseignements visés au sous-alinéa a)‍(ii).

(3)An organization must comply with subsection (4) if an individual requests that the organization

(a)inform the individual about

(i)any disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50, or

(ii)the existence of any information that the organization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in section 50 or to a request made by a government institution or a part of a government institution under section 44 or subsection 47(1); or

(b)give the individual access to the information referred to in subparagraph (a)‍(ii).

Notification et réponse
Notification and response

(4)Le cas échéant, l’organisation :

a)notifie par écrit et sans délai la demande à l’institution gouvernementale concernée ou à la subdivision d’une telle institution;

b)ne peut donner suite à la demande avant la date de réception de l’avis prévu au paragraphe (5) ou, s’il est antérieur, le trentième jour suivant celle à laquelle l’institution ou la subdivision reçoit la notification.

(4)An organization to which subsection (3) applies

(a)must, in writing and without delay, notify the institution or part concerned of the request made by the individual; and

(b)must not respond to the request before the earlier of

(i)the day on which it is notified under subsection (5), and

(ii)30 days after the day on which the institution or part is notified.

Opposition
Objection

(5)Dans les trente jours suivant la date à laquelle la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire :

a)à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;

b)à la détection, à la prévention ou à la dissuasion à l’égard du recyclage des produits de la criminalité ou du financement des activités terroristes;

c)au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application.

(5)Within 30 days after the day on which it is notified under subsection (4), the institution or part must notify the organization of whether the institution or part objects to the organization complying with the request. The institution or part may object only if the institution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to

(a)national security, the defence of Canada or the conduct of international affairs;

(b)the detection, prevention or deterrence of money laundering or the financing of terrorist activities; or

(c)the enforcement of federal or provincial law or law of a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law.

Refus d’acquiescer à la demande
Prohibition

(6)Malgré l’article 63, si elle est informée que l’institution ou la subdivision s’oppose à ce qu’elle acquiesce à la demande, l’organisation :

a)refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (3)a) ou se rapporte à des renseignements visés au sous-alinéa (3)a)‍(ii);

b)avise par écrit et sans délai le commissaire du refus;

c)ne met pas à la disposition du demandeur les renseignements qu’elle détient et qui se rapportent à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu des articles 44, 45 ou 46, des paragraphes 47(1) ou 48(1) ou de l’article 50 ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de cet article 44 ou de ce paragraphe 47(1);

d)ne fournit pas au demandeur le nom de l’institution gouvernementale ou de la subdivision d’une telle institution — ou la catégorie d’institution gouvernementale ou de subdivision d’une telle institution — à laquelle les renseignements ont été communiqués;

e)ne communique pas au demandeur le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision d’une telle institution en application de l’alinéa (4)a), que celle-ci s’oppose à ce que l’organisation acquiesce à la demande et que le commissaire a été avisé en application de l’alinéa b).

(6)Despite section 63, if an organization is notified under subsection (5) that the institution or part objects to the organization complying with the request, the organization

(a)must refuse the request to the extent that it relates to paragraph (3)‍(a) or to information referred to in subparagraph (3)‍(a)‍(ii);

(b)must notify the Commissioner, in writing and without delay, of the refusal;

(c)must not give the individual access to any information that the organization has relating to a disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50 or to a request made by a government institution or part of a government institution under section 44 or subsection 47(1);

(d)must not provide to the individual the name of the government institution or part to which the disclosure was made or its type; and

(e)must not disclose to the individual the fact that the organization notified an institution or part under paragraph (4)‍(a), that the institution or part objects or that the Commissioner was notified under paragraph (b).

Cas où la communication peut être refusée
When access may be refused

(7)Malgré l’article 63, l’organisation n’est pas tenue de mettre à la disposition du demandeur des renseignements personnels dans les cas suivants :

a)les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige;

b)cela révélerait des renseignements commerciaux confidentiels;

c)cela risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu;

d)les renseignements ont été recueillis au titre du paragraphe 40(1);

e)les renseignements ont été produits uniquement à l’occasion d’un règlement officiel des différends;

f)les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.

Toutefois, dans les cas visés aux alinéas b) ou c), s’il est possible de retrancher les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu, l’organisation est tenue de mettre à la disposition du demandeur les renseignements personnels en retranchant ces renseignements.

(7)Despite section 63, an organization is not required to give access to personal information if

(a)the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege;

(b)to do so would reveal confidential commercial information;

(c)to do so could reasonably be expected to threaten the life or security of another individual;

(d)the information was collected under subsection 40(1);

(e)the information was generated in the course of a formal dispute resolution process; or

(f)the information was created for the purpose of making a disclosure under the Public Servants Disclosure Protection Act or in the course of an investigation into a disclosure under that Act.

However, in the circumstances described in paragraph (b) or (c), if giving access to the information would reveal confidential commercial information or could reasonably be expected to threaten the life or security of another individual, as the case may be, and that information is severable from any other information for which access is requested, the organization must give the individual access after severing.

Non-application
Limit

(8)Le paragraphe (7) ne s’applique pas si le demandeur a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger.

(8)Subsection (7) does not apply if the individual needs the information because an individual’s life, health or security is threatened.

Avis
Notice

(9)Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (7)d), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.

(9)If an organization decides not to give access to personal information in the circumstances set out in paragraph (7)‍(d), the organization must, in writing, notify the Commissioner, and must provide any information that the Commissioner may specify.

Modification des renseignements personnels
Amendment of personal information

71(1)Si, après avoir consulté les renseignements personnels le concernant, l’individu démontre à l’organisation qu’ils sont désuets, inexacts ou incomplets, celle-ci apporte les modifications requises.

71(1)If an individual has been given access to their personal information and demonstrates that the information is not accurate, up-to-date or complete, the organization must amend the information as required.

Tiers qui ont accès
Third party

(2)L’organisation transmet, s’il y a lieu, les renseignements modifiés à tout tiers qui y a accès.

(2)The organization must, if it is appropriate to do so, transmit the amended information to any third party that has access to the information.

Consignation de la décision
Record of determination

(3)Si l’organisation et l’individu ne peuvent s’entendre sur les modifications à apporter aux renseignements, l’organisation consigne le désaccord et, s’il y a lieu, en informe les tiers qui ont accès aux renseignements.

(3)If the organization and the individual do not agree on the amendments that are to be made to the information, the organization must record the disagreement and, if it is appropriate to do so, inform third parties that have access to the information of the fact that there is a disagreement.

Mobilité des renseignements personnels
Mobility of Personal Information
Communication conformément à un cadre de mobilité des données
Disclosure under data mobility framework

72Sous réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont assujetties à un cadre de mobilité des données.

72Subject to the regulations, on the request of an individual, an organization must as soon as feasible disclose the personal information that it has collected from the individual to an organization designated by the individual, if both organizations are subject to a data mobility framework.