Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5)

Loi à jour 2018-05-24; dernière modification 2015-06-23 Versions antérieures

MODIFICATIONS NON EN VIGUEUR

  • — 2015, ch. 32, art. 10

    • 10 La même loi est modifiée par adjonction, après l’article 10, de ce qui suit :

      SECTION 1.1Atteintes aux mesures de sécurité

      • Déclaration au commissaire

        • 10.1 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.

        • Modalités de la déclaration

          (2) La déclaration contient les renseignements prévus par règlement et est faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.

        • Avis à l’intéressé

          (3) À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.

        • Contenu de l’avis

          (4) L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire.

        • Modalités de l’avis

          (5) L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires.

        • Délai de l’avis

          (6) L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.

        • Définition de préjudice grave

          (7) Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

        • Risque réel de préjudice grave : facteurs

          (8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.

      • Avis à une organisation

        • 10.2 (1) L’organisation qui, en application du paragraphe 10.1(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à des conditions précisées par règlement.

        • Délai de l’avis

          (2) Elle le fait le plus tôt possible après avoir conclu qu’il y a eu atteinte.

        • Communication de renseignements personnels

          (3) En plus des cas visés au paragraphe 7(3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si :

          • a) d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou la subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe (1);

          • b) d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’intéressé qui pourrait résulter de l’atteinte ou atténuer ce préjudice.

        • Communication sans consentement

          (4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans le cas visé au paragraphe (3), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli.

      • Registre

        • 10.3 (1) L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion.

        • Accès au registre ou copie

          (2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie.

  • — 2015, ch. 32, art. 11

    • 11 Le paragraphe 11(1) de la même loi est remplacé par ce qui suit :

      • Violation

        • 11 (1) Tout intéressé peut déposer auprès du commissaire une plainte contre une organisation qui contrevient à l’une des dispositions des sections 1 ou 1.1, ou qui omet de mettre en oeuvre une recommandation énoncée dans l’annexe 1.

  • — 2015, ch. 32, art. 14

    • 14 L’alinéa 16a) de la même loi est remplacé par ce qui suit :

      • a) ordonner à l’organisation de revoir ses pratiques en vue de se conformer aux sections 1 et 1.1;

  • — 2015, ch. 32, par. 17(1)

    • 2010, ch. 23, par. 86(1)

      • 17 (1) Le paragraphe 20(1) de la même loi est remplacé par ce qui suit :

        • Secret

          • 20 (1) Sous réserve des paragraphes (2) à (6), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2).

          • Secret — déclarations et registre

            (1.1) Sous réserve des paragraphes (2) à (6), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2).

  • — 2015, ch. 32, par. 17(4)

    • 2010, ch. 23, par. 86(1)

      • 17 (4) L’article 20 de la même loi est modifié par adjonction, après le paragraphe (5), de ce qui suit :

        • Communication — atteinte aux mesures de sécurité

          (6) Le commissaire peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — tout renseignement figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2) à une institution gouvernementale ou à une subdivision d’une telle institution, si le commissaire a des motifs raisonnables de croire qu’il pourrait être utile à une enquête sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être.

  • — 2015, ch. 32, art. 19

    • 19 L’alinéa 24c) de la même loi est remplacé par ce qui suit :

      • c) encourage les organisations à élaborer des politiques détaillées — notamment des codes de pratiques — en vue de se conformer aux sections 1 et 1.1;

  • — 2015, ch. 32, art. 22

    • 22 Le paragraphe 27(1) de la même loi est remplacé par ce qui suit :

      • Dénonciation

        • 27 (1) Toute personne qui a des motifs raisonnables de croire qu’une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir, peut notifier au commissaire des détails sur la question et exiger l’anonymat relativement à cette dénonciation.

  • — 2015, ch. 32, art. 23

    • 23 Les alinéas 27.1(1)a) à c) de la même loi sont remplacés par ce qui suit :

      • a) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a informé le commissaire que l’employeur ou une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir;

      • b) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a refusé ou a fait part de son intention de refuser d’accomplir un acte qui constitue une contravention à l’une des dispositions des sections 1 ou 1.1;

      • c) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a accompli ou a fait part de son intention d’accomplir un acte nécessaire pour empêcher la contravention à l’une des dispositions des sections 1 ou 1.1;

  • — 2015, ch. 32, art. 24

    • 24 Le passage de l’article 28 de la même loi précédant l’alinéa a) est remplacé par ce qui suit :

      • Infraction et peine

        28 Quiconque contrevient sciemment au paragraphe 8(8), à l’article 10.1 ou aux paragraphes 10.3(1) ou 27.1(1) ou entrave l’action du commissaire — ou de son délégué — dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt, sur déclaration de culpabilité :

  • — 2015, ch. 32, par. 26(1) et (3)

    • 2010, ch. 23

      • 26 (1) Au présent article, « autre loi » s’entend de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, chapitre 23 des Lois du Canada (2010).

      • (3) Dès le premier jour où le paragraphe 20(6) de la Loi sur la protection des renseignements personnels et les documents électroniques, édicté par le paragraphe 86(2) de l’autre loi, et le paragraphe 20(6) de la Loi sur la protection des renseignements personnels et les documents électroniques, édicté par le paragraphe 17(4) de la présente loi, sont tous deux en vigueur :

        • a) les paragraphes 20(1) et (1.1) de la Loi sur la protection des renseignements personnels et les documents électroniques sont remplacés par ce qui suit :

          • Secret

            • 20 (1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2).

            • Secret — déclarations et registre

              (1.1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2).

        • b) le paragraphe 20(6) de la Loi sur la protection des renseignements personnels et les documents électroniques, édicté par le paragraphe 86(2) de l’autre loi, devient le paragraphe 20(7) et, au besoin, est déplacé en conséquence.

Table des matières


Date de modification :