CANADA CONSOLIDATION Personal Information Protection and Electronic Documents Act CODIFICATION Loi sur la protection des renseignements personnels et les documents électroniques S.C. 2000, c. 5 L.C. 2000, ch. 5 Current to January 8, 2020 Last amended on June 21, 2019 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Published by the Minister of Justice at the following address: http://laws-lois.justice.gc.ca Publié par le ministre de la Justice à l’adresse suivante : http://lois-laws.justice.gc.ca OFFICIAL STATUS OF CONSOLIDATIONS CARACTÈRE OFFICIEL DES CODIFICATIONS Subsections 31(1) and (2) of the Legislation Revision and Consolidation Act, in force on June 1, 2009, provide as follows: Les paragraphes 31(1) et (2) de la Loi sur la révision et la codification des textes législatifs, en vigueur le 1er juin 2009, prévoient ce qui suit : Published consolidation is evidence Codifications comme élément de preuve 31 (1) Every copy of a consolidated statute or consolidated regulation published by the Minister under this Act in either print or electronic form is evidence of that statute or regula- tion and of its contents and every copy purporting to be pub- lished by the Minister is deemed to be so published, unless the contrary is shown. 31 (1) Tout exemplaire d'une loi codifiée ou d'un règlement codifié, publié par le ministre en vertu de la présente loi sur support papier ou sur support électronique, fait foi de cette loi ou de ce règlement et de son contenu. Tout exemplaire donné comme publié par le ministre est réputé avoir été ainsi publié, sauf preuve contraire. Inconsistencies in Acts Incompatibilité — lois (2) In the event of an inconsistency between a consolidated statute published by the Minister under this Act and the origi- nal statute or a subsequent amendment as certified by the Clerk of the Parliaments under the Publication of Statutes Act, the original statute or amendment prevails to the extent of the inconsistency. (2) Les dispositions de la loi d'origine avec ses modifications subséquentes par le greffier des Parlements en vertu de la Loi sur la publication des lois l'emportent sur les dispositions incompatibles de la loi codifiée publiée par le ministre en vertu de la présente loi. LAYOUT The notes that appeared in the left or right margins are now in boldface text directly above the provisions to which they relate. They form no part of the enactment, but are inserted for convenience of reference only. MISE EN PAGE Les notes apparaissant auparavant dans les marges de droite ou de gauche se retrouvent maintenant en caractères gras juste au-dessus de la disposition à laquelle elles se rattachent. Elles ne font pas partie du texte, n’y figurant qu’à titre de repère ou d’information. NOTE NOTE This consolidation is current to January 8, 2020. The last amendments came into force on June 21, 2019. Any amendments that were not in force as of January 8, 2020 are set out at the end of this document under the heading “Amendments Not in Force”. Cette codification est à jour au 8 janvier 2020. Les dernières modifications sont entrées en vigueur le 21 juin 2019. Toutes modifications qui n'étaient pas en vigueur au 8 janvier 2020 sont énoncées à la fin de ce document sous le titre « Modifications non en vigueur ». Current to January 8, 2020 Last amended on June 21, 2019 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 TABLE OF PROVISIONS TABLE ANALYTIQUE An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l’utilisation de moyens électroniques pour communiquer ou enregistrer de l’information et des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois Short Title Titre abrégé 1 Short title 1 Titre abrégé PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé Interpretation Définitions 2 Definitions 2 Définitions Purpose Objet 3 Purpose 3 Objet Application Champ d’application 4 Application 4 Champ d’application 4.01 Business contact information 4.01 Coordonnées d’affaires 4.1 Certificate under Canada Evidence Act 4.1 Certificat en vertu de la Loi sur la preuve au Canada DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels 5 Compliance with obligations 5 Obligation de se conformer aux obligations 6 Effect of designation of individual 6 Conséquence de la désignation d’une personne 6.1 Valid consent 6.1 Validité du consentement 7 Collection without knowledge or consent 7 Collecte à l’insu de l’intéressé ou sans son consentement 7.1 Definitions 7.1 Définitions 7.2 Prospective business transaction 7.2 Transaction commerciale éventuelle 7.3 Employment relationship 7.3 Relation d’emploi 7.4 Use without consent 7.4 Utilisation sans le consentement de l’intéressé 8 Written request 8 Demande écrite 9 When access prohibited 9 Cas où la communication est interdite 10 Sensory disability 10 Déficience sensorielle Current to January 8, 2020 Last amended on June 21, 2019 iii À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et les documents électroniques TABLE OF PROVISIONS TABLE ANALYTIQUE DIVISION 1.1 Breaches of Security Safeguards SECTION 1.1 Atteintes aux mesures de sécurité 10.1 Report to Commissioner 10.1 Déclaration au commissaire 10.2 Notification to organizations 10.2 Avis à une organisation 10.3 Records 10.3 Registre DIVISION 2 Remedies SECTION 2 Recours Filing of Complaints Dépôt des plaintes 11 Contravention 11 Violation Investigations of Complaints Examen des plaintes 12 Examination of complaint by Commissioner 12 Examen des plaintes par le commissaire 12.1 Powers of Commissioner 12.1 Pouvoirs du commissaire Discontinuance of Investigation Fin de l’examen 12.2 Reasons 12.2 Motifs Commissioner’s Report Rapport du commissaire 13 Contents 13 Contenu Hearing by Court Audience de la Cour 14 Application 14 Demande 15 Commissioner may apply or appear 15 Exercice du recours par le commissaire 16 Remedies 16 Réparations 17 Summary hearings 17 Procédure sommaire Compliance Agreements Accord de conformité 17.1 Compliance agreement 17.1 Conclusion d’un accord de conformité 17.2 Agreement complied with 17.2 Accord respecté DIVISION 3 Audits SECTION 3 Vérifications 18 To ensure compliance 18 Contrôle d’application 19 Report of findings and recommendations 19 Rapport des conclusions et recommandations du commissaire DIVISION 4 General SECTION 4 Dispositions générales 20 Confidentiality 20 Secret 21 Not competent witness 21 Qualité pour témoigner 22 Protection of Commissioner 22 Immunité du commissaire 23 Consultations with provinces 23 Consultation 23.1 Disclosure of information to foreign state 23.1 Communication de renseignements à des États étrangers 24 Promoting the purposes of the Part 24 Promotion de l’objet de la partie 25 Annual report 25 Rapport annuel Current to January 8, 2020 Last amended on June 21, 2019 iv À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et les documents électroniques TABLE OF PROVISIONS TABLE ANALYTIQUE 26 Regulations 26 Règlements 27 Whistleblowing 27 Dénonciation 27.1 Prohibition 27.1 Interdiction 28 Offence and punishment 28 Infraction et peine *29 Review of Part by parliamentary committee *29 Examen par un comité parlementaire DIVISION 5 Transitional Provisions SECTION 5 Dispositions transitoires 30 Application 30 Application PART 2 Electronic Documents PARTIE 2 Documents électroniques Interpretation Définitions 31 Definitions 31 Définitions Purpose Objet 32 Purpose 32 Objet Electronic Alternatives Moyens électroniques 33 Collection, storage, etc. 33 Collecte, mise en mémoire, etc. 34 Electronic payment 34 Paiements par voie électronique 35 Electronic version of statutory form 35 Version électronique des formulaires d’origine législative 36 Documents as evidence or proof 36 Preuve par documents 37 Retention of documents 37 Conservation des documents 38 Notarial act 38 Actes notariés 39 Seals 39 Sceaux 40 Requirements to provide documents or information 40 Obligation de fournir des documents ou de l’information 41 Writing requirements 41 Documents sous forme écrite 42 Original documents 42 Documents originaux 43 Signatures 43 Signatures 44 Statements made under oath 44 Déclarations sous serment 45 Statements declaring truth, etc. 45 Déclarations 46 Witnessed signatures 46 Signatures devant témoin 47 Copies 47 Exemplaires Regulations and Orders Règlements et décrets 48 Regulations 48 Règlements 49 Amendment of schedules 49 Modification des annexes 50 Regulations 50 Règlements 51 Effect of striking out listed provision 51 Effet d’une disposition supprimée de la liste Current to January 8, 2020 Last amended on June 21, 2019 v À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et les documents électroniques TABLE OF PROVISIONS TABLE ANALYTIQUE PART 3 Amendments to the Canada Evidence Act PARTIE 3 Modification de la Loi sur la preuve au Canada PART 4 Amendments to the Statutory Instruments Act PARTIE 4 Modification de la Loi sur les textes réglementaires PART 5 Amendments to the Statute Revision Act PARTIE 5 Modification de la Loi sur la révision des lois PART 6 Coming into Force PARTIE 6 Entrée en vigueur *72 Coming into force *72 Entrée en vigueur SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/ CSA-Q830-96 SCHEDULE 2 ANNEXE 2 SCHEDULE 3 ANNEXE 3 SCHEDULE 4 ANNEXE 4 Current to January 8, 2020 Last amended on June 21, 2019 vi À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 S.C. 2000, c. 5 L.C. 2000, ch. 5 An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l’utilisation de moyens électroniques pour communiquer ou enregistrer de l’information et des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois [Assented to 13th April 2000] [Sanctionnée le 13 avril 2000] Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, en- acts as follows: Sa Majesté, sur l’avis et avec le consentement du Sénat et de la Chambre des communes du Canada, édicte : Short Title Titre abrégé Short title Titre abrégé 1 This Act may be cited as the Personal Information Protection and Electronic Documents Act. 1 Loi sur la protection des renseignements personnels et les documents électroniques. PART 1 PARTIE 1 Protection of Personal Information in the Private Sector Protection des renseignements personnels dans le secteur privé Interpretation Définitions Definitions Définitions 2 (1) The definitions in this subsection apply in this Part. alternative format, with respect to personal informa- tion, means a format that allows a person with a sensory 2 (1) Les définitions qui suivent s’appliquent à la présente partie. activité commerciale Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de Current to January 8, 2020 Last amended on June 21, 2019 1 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé Interpretation Définitions Section 2 Article 2 disability to read or listen to the personal information. (support de substitution) breach of security safeguards means the loss of, unau- thorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in clause 4.7 of Schedule 1 or from a failure to establish those safe- guards. (atteinte aux mesures de sécurité) business contact information means any information that is used for the purpose of communicating or facili- tating communication with an individual in relation to their employment, business or profession such as the in- dividual’s name, position name or title, work address, work telephone number, work fax number or work elec- tronic address. (coordonnées d’affaires) business transaction includes (a) the purchase, sale or other acquisition or disposi- tion of an organization or a part of an organization, or any of its assets; (b) the merger or amalgamation of two or more orga- nizations; (c) the making of a loan or provision of other financ- ing to an organization or a part of an organization; (d) the creating of a charge on, or the taking of a secu- rity interest in or a security on, any assets or securities of an organization; (e) the lease or licensing of any of an organization’s assets; and (f) any other prescribed arrangement between two or more organizations to conduct a business activity. (transaction commerciale) commercial activity means any particular transaction, act or conduct or any regular course of conduct that is of a commercial character, including the selling, bartering or leasing of donor, membership or other fundraising lists. (activité commerciale) Commissioner means the Privacy Commissioner ap- pointed under section 53 of the Privacy Act. (commissaire) Court means the Federal Court. (Cour) federal work, undertaking or business means any work, undertaking or business that is within the legisla- tive authority of Parliament. It includes par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds. (commercial activity) atteinte aux mesures de sécurité Communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 ou du fait que ces mesures n’ont pas été mises en place. (breach of security safeguards) commissaire Le Commissaire à la protection de la vie privée nommé en application de l’article 53 de la Loi sur la protection des renseignements personnels. (Commis- sioner) coordonnées d’affaires Tout renseignement permettant d’entrer en contact — ou de faciliter la prise de contact — avec un individu dans le cadre de son emploi, de son entreprise ou de sa profession, tel que son nom, son poste ou son titre, l’adresse ou les numéros de téléphone ou de télécopieur de son lieu de travail ou son adresse électronique au travail. (business contact infor- mation) Cour La Cour fédérale. (Court) document Tous éléments d’information, quels que soient leur forme et leur support, notamment correspondance, note, livre, plan, carte, dessin, diagramme, illustration ou graphique, photographie, film, microforme, enregistrement sonore, magnétoscopique ou informatisé, ou toute reproduction de ces éléments d’information. (record) entreprises fédérales Les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement. Sont compris parmi les entreprises fédérales : a) les installations, ouvrages, entreprises ou secteurs d’activité qui se rapportent à la navigation et aux transports par eau, notamment l’exploitation de navires et le transport par navire partout au Canada; b) les installations ou ouvrages, notamment les chemins de fer, canaux ou liaisons télégraphiques, reliant une province à une autre, ou débordant les limites d’une province, et les entreprises correspondantes; c) les lignes de transport par bateaux à vapeur ou autres navires, reliant une province à une autre, ou débordant les limites d’une province; Current to January 8, 2020 Last amended on June 21, 2019 2 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé Interpretation Définitions Section 2 Article 2 (a) a work, undertaking or business that is operated or carried on for or in connection with navigation and shipping, whether inland or maritime, including the operation of ships and transportation by ship any- where in Canada; (b) a railway, canal, telegraph or other work or under- taking that connects a province with another province, or that extends beyond the limits of a province; (c) a line of ships that connects a province with anoth- er province, or that extends beyond the limits of a province; (d) a ferry between a province and another province or between a province and a country other than Cana- da; (e) aerodromes, aircraft or a line of air transportation; (f) a radio broadcasting station; (g) a bank or an authorized foreign bank as defined in section 2 of the Bank Act; (h) a work that, although wholly situated within a province, is before or after its execution declared by Parliament to be for the general advantage of Canada or for the advantage of two or more provinces; (i) a work, undertaking or business outside the exclu- sive legislative authority of the legislatures of the provinces; and (j) a work, undertaking or business to which federal laws, within the meaning of section 2 of the Oceans Act, apply under section 20 of that Act and any regula- tions made under paragraph 26(1)(k) of that Act. (entreprises fédérales) organization includes an association, a partnership, a person and a trade union. (organisation) personal health information, with respect to an individ- ual, whether living or deceased, means (a) information concerning the physical or mental health of the individual; (b) information concerning any health service provid- ed to the individual; (c) information concerning the donation by the indi- vidual of any body part or any bodily substance of the individual or information derived from the testing or examination of a body part or bodily substance of the individual; d) les passages par eaux entre deux provinces ou entre une province et un pays étranger; e) les aéroports, aéronefs ou lignes de transport aérien; f) les stations de radiodiffusion; g) les banques ou les banques étrangères autorisées au sens de l’article 2 de la Loi sur les banques; h) les ouvrages qui, bien qu’entièrement situés dans une province, sont, avant ou après leur réalisation, déclarés par le Parlement être à l’avantage général du Canada ou à l’avantage de plusieurs provinces; i) les installations, ouvrages, entreprises ou secteurs d’activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales; j) les installations, ouvrages, entreprises ou secteurs d’activité auxquels le droit, au sens de l’alinéa a) de la définition de droit à l’article 2 de la Loi sur les océans, s’applique en vertu de l’article 20 de cette loi et des règlements pris en vertu de l’alinéa 26(1)k) de la même loi. (federal work, undertaking or business) organisation S’entend notamment des associations, sociétés de personnes, personnes et organisations syndicales. (organization) renseignement personnel Tout renseignement concernant un individu identifiable. (personal informa- tion) renseignement personnel sur la santé En ce qui concerne un individu vivant ou décédé : a) tout renseignement ayant trait à sa santé physique ou mentale; b) tout renseignement relatif aux services de santé fournis à celui-ci; c) tout renseignement relatif aux dons de parties du corps ou de substances corporelles faits par lui, ou tout renseignement provenant des résultats de tests ou d’examens effectués sur une partie du corps ou une substance corporelle de celui-ci; d) tout renseignement recueilli dans le cadre de la prestation de services de santé à celui-ci; e) tout renseignement recueilli fortuitement lors de la prestation de services de santé à celui-ci. (personal health information) Current to January 8, 2020 Last amended on June 21, 2019 3 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé Interpretation Définitions Sections 2-4 Articles 2-4 (d) information that is collected in the course of pro- viding health services to the individual; or (e) information that is collected incidentally to the provision of health services to the individual. (renseignement personnel sur la santé) personal information means information about an identifiable individual. (renseignement personnel) prescribed means prescribed by regulation. (Version anglaise seulement) record includes any correspondence, memorandum, book, plan, map, drawing, diagram, pictorial or graphic work, photograph, film, microform, sound recording, videotape, machine-readable record and any other docu- mentary material, regardless of physical form or charac- teristics, and any copy of any of those things. (document) support de substitution Tout support permettant à une personne ayant une déficience sensorielle de lire ou d’écouter des renseignements personnels. (alternative format) transaction commerciale S’entend notamment des transactions suivantes : a) l’achat, la vente ou toute autre forme d’acquisition ou de disposition de tout ou partie d’une organisation, ou de ses éléments d’actif; b) la fusion ou le regroupement d’organisations; c) le fait de consentir un prêt à tout ou partie d’une organisation ou de lui fournir toute autre forme de financement; d) le fait de grever d’une charge ou d’une sûreté les éléments d’actif ou les titres d’une organisation; e) la location d’éléments d’actif d’une organisation, ou l’octroi ou l’obtention d’une licence à leur égard; f) tout autre arrangement prévu par règlement entre des organisations pour la poursuite d’activités d’affaires. (business transaction) Notes in Schedule 1 Notes de l’annexe 1 (2) In this Part, a reference to clause 4.3 or 4.9 of Sched- ule 1 does not include a reference to the note that accom- panies that clause. 2000, c. 5, s. 2; 2002, c. 8, s. 183; 2015, c. 32, s. 2. (2) Dans la présente partie, la mention des articles 4.3 ou 4.9 de l’annexe 1 ne vise pas les notes afférentes. 2000, ch. 5, art. 2; 2002, ch. 8, art. 183; 2015, ch. 32, art. 2. Purpose Objet Purpose Objet 3 The purpose of this Part is to establish, in an era in which technology increasingly facilitates the circulation and exchange of information, rules to govern the collec- tion, use and disclosure of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal infor- mation for purposes that a reasonable person would con- sider appropriate in the circumstances. 3 La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Application Champ d’application Application Champ d’application 4 (1) This Part applies to every organization in respect of personal information that 4 (1) La présente partie s’applique à toute organisation à l’égard des renseignements personnels : Current to January 8, 2020 Last amended on June 21, 2019 4 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé Application Champ d’application Sections 4-4.1 Articles 4-4.1 (a) the organization collects, uses or discloses in the course of commercial activities; or (b) is about an employee of, or an applicant for em- ployment with, the organization and that the organiza- tion collects, uses or discloses in connection with the operation of a federal work, undertaking or business. a) soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales; b) soit qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale. Application Application (1.1) This Part applies to an organization set out in col- umn 1 of Schedule 4 in respect of personal information set out in column 2. (1.1) La présente partie s’applique à toute organisation figurant à la colonne 1 de l’annexe 4 à l’égard des renseignements personnels figurant à la colonne 2. Limit Limite (2) This Part does not apply to (a) any government institution to which the Privacy Act applies; (b) any individual in respect of personal information that the individual collects, uses or discloses for per- sonal or domestic purposes and does not collect, use or disclose for any other purpose; or (c) any organization in respect of personal informa- tion that the organization collects, uses or discloses for journalistic, artistic or literary purposes and does not collect, use or disclose for any other purpose. (2) La présente partie ne s’applique pas : a) aux institutions fédérales auxquelles s’applique la Loi sur la protection des renseignements personnels; b) à un individu à l’égard des renseignements personnels qu’il recueille, utilise ou communique à des fins personnelles ou domestiques et à aucune autre fin; c) à une organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique à des fins journalistiques, artistiques ou littéraires et à aucune autre fin. Other Acts Autre loi *(3) Every provision of this Part applies despite any pro- vision, enacted after this subsection comes into force, of any other Act of Parliament, unless the other Act express- ly declares that that provision operates despite the provi- sion of this Part. * [Note: Subsection 4(3) in force January 1, 2001, see SI/ 2000-29.] 2000, c. 5, s. 4; 2015, c. 32, s. 3, c. 36, s. 164. *(3) Toute disposition de la présente partie s’applique malgré toute disposition — édictée après l’entrée en vigueur du présent paragraphe — d’une autre loi fédérale, sauf dérogation expresse de la disposition de l’autre loi. * [Note : Paragraphe 4(3) en vigueur le 1er janvier 2001, voir TR/ 2000-29.] 2000, ch. 5, art. 4; 2015, ch. 32, art. 3, ch. 36, art. 164. Business contact information Coordonnées d’affaires 4.01 This Part does not apply to an organization in re- spect of the business contact information of an individual that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communi- cation with the individual in relation to their employ- ment, business or profession. 2015, c. 32, s. 4. 4.01 La présente partie ne s’applique pas à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession. 2015, ch. 32, art. 4. Certificate under Canada Evidence Act Certificat en vertu de la Loi sur la preuve au Canada 4.1 (1) Where a certificate under section 38.13 of the Canada Evidence Act prohibiting the disclosure of per- sonal information of a specific individual is issued before a complaint is filed by that individual under this Part in respect of a request for access to that information, the provisions of this Part respecting that individual’s right 4.1 (1) Dans le cas où a été délivré au titre de l’article 38.13 de la Loi sur la preuve au Canada un certificat interdisant la divulgation de renseignements personnels concernant un individu donné avant le dépôt par celui-ci d’une plainte au titre de la présente partie relative à la communication de ces renseignements, les Current to January 8, 2020 Last amended on June 21, 2019 5 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé Application Champ d’application Section 4.1 Article 4.1 of access to his or her personal information do not apply to the information that is subject to the certificate. dispositions de cette partie concernant le droit d’accès de l’individu aux renseignements personnels le concernant ne s’appliquent pas aux renseignements visés par le certificat. Certificate following filing of complaint Certificat postérieur au dépôt d’une plainte (2) Notwithstanding any other provision of this Part, where a certificate under section 38.13 of the Canada Ev- idence Act prohibiting the disclosure of personal infor- mation of a specific individual is issued after the filing of a complaint under this Part in relation to a request for access to that information: (a) all proceedings under this Part in respect of that information, including an investigation, audit, appeal or judicial review, are discontinued; (b) the Commissioner shall not disclose the informa- tion and shall take all necessary precautions to pre- vent its disclosure; and (c) the Commissioner shall, within 10 days after the certificate is published in the Canada Gazette, return the information to the organization that provided the information. (2) Par dérogation aux autres dispositions de la présente partie, dans le cas où a été délivré au titre de l’article 38.13 de la Loi sur la preuve au Canada un certificat interdisant la divulgation de renseignements personnels concernant un individu donné après le dépôt d’une plainte de refus d’accès au titre de la présente partie relativement à la demande de communication de ces renseignements : a) toute procédure — notamment une enquête, une vérification, un appel ou une révision judiciaire — prévue par la présente partie et portant sur ces renseignements est interrompue; b) le commissaire ne peut communiquer les renseignements et prend les précautions nécessaires pour empêcher leur communication; c) le commissaire renvoie les renseignements à l’organisation qui les a fournis dans les dix jours suivant la publication du certificat dans la Gazette du Canada. Information not to be disclosed Précaution à prendre (3) The Commissioner and every person acting on behalf or under the direction of the Commissioner, in carrying out their functions under this Part, shall not disclose in- formation subject to a certificate issued under sec- tion 38.13 of the Canada Evidence Act, and shall take ev- ery reasonable precaution to avoid the disclosure of that information. (3) Dans l’exercice de leurs attributions prévues par la présente partie, le commissaire et les personnes agissant en son nom ou sous son autorité ne peuvent communiquer, et prennent toutes les précautions pour éviter que ne soient communiqués, les renseignements visés par un certificat délivré au titre de l’article 38.13 de la Loi sur la preuve au Canada. Power to delegate Pouvoir de délégation (4) The Commissioner may not delegate the investiga- tion of any complaint relating to information subject to a certificate issued under section 38.13 of the Canada Evi- dence Act except to one of a maximum of four officers or employees of the Commissioner specifically designated by the Commissioner for the purpose of conducting that investigation. 2001, c. 41, s. 103. (4) Le commissaire ne peut déléguer la tenue d’une enquête portant sur des renseignements visés par un certificat délivré au titre de l’article 38.13 de la Loi sur la preuve au Canada qu’à un de ses collaborateurs choisi parmi quatre des cadres ou employés du commissariat et qu’il désigne spécialement à cette fin. 2001, ch. 41, art. 103. Current to January 8, 2020 Last amended on June 21, 2019 6 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 5-7 Articles 5-7 DIVISION 1 SECTION 1 Protection of Personal Information Protection des renseignements personnels Compliance with obligations Obligation de se conformer aux obligations 5 (1) Subject to sections 6 to 9, every organization shall comply with the obligations set out in Schedule 1. 5 (1) Sous réserve des articles 6 à 9, toute organisation doit se conformer aux obligations énoncées dans l’annexe 1. Meaning of should Emploi du conditionnel (2) The word should, when used in Schedule 1, indicates a recommendation and does not impose an obligation. (2) L’emploi du conditionnel dans l’annexe 1 indique qu’il s’agit d’une recommandation et non d’une obligation. Appropriate purposes Fins acceptables (3) An organization may collect, use or disclose personal information only for purposes that a reasonable person would consider are appropriate in the circumstances. (3) L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Effect of designation of individual Conséquence de la désignation d’une personne 6 The designation of an individual under clause 4.1 of Schedule 1 does not relieve the organization of the obli- gation to comply with the obligations set out in that Schedule. 6 La désignation d’une personne en application de l’article 4.1 de l’annexe 1 n’exempte pas l’organisation des obligations énoncées dans cette annexe. Valid consent Validité du consentement 6.1 For the purposes of clause 4.3 of Schedule 1, the con- sent of an individual is only valid if it is reasonable to ex- pect that an individual to whom the organization’s activi- ties are directed would understand the nature, purpose and consequences of the collection, use or disclosure of the personal information to which they are consenting. 2015, c. 32, s. 5. 6.1 Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. 2015, ch. 32, art. 5. Collection without knowledge or consent Collecte à l’insu de l’intéressé ou sans son consentement 7 (1) For the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, an organi- zation may collect personal information without the knowledge or consent of the individual only if (a) the collection is clearly in the interests of the indi- vidual and consent cannot be obtained in a timely way; (b) it is reasonable to expect that the collection with the knowledge or consent of the individual would 7 (1) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants : a) la collecte du renseignement est manifestement dans l’intérêt de l’intéressé et le consentement ne peut être obtenu auprès de celui-ci en temps opportun; b) il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’intéressé compromette l’exactitude du renseignement ou l’accès à celui-ci, et la collecte est raisonnable à des fins liées Current to January 8, 2020 Last amended on June 21, 2019 7 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Section 7 Article 7 compromise the availability or the accuracy of the in- formation and the collection is reasonable for purpos- es related to investigating a breach of an agreement or a contravention of the laws of Canada or a province; (b.1) it is contained in a witness statement and the collection is necessary to assess, process or settle an insurance claim; (b.2) it was produced by the individual in the course of their employment, business or profession and the collection is consistent with the purposes for which the information was produced; (c) the collection is solely for journalistic, artistic or literary purposes; (d) the information is publicly available and is speci- fied by the regulations; or (e) the collection is made for the purpose of making a disclosure (i) under subparagraph (3)(c.1)(i) or (d)(ii), or (ii) that is required by law. à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial; b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la collecte est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement; b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte est compatible avec les fins auxquelles il a été produit; c) la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires; d) il s’agit d’un renseignement réglementaire auquel le public a accès; e) la collecte est faite en vue : (i) soit de la communication prévue aux sous- alinéas (3)c.1)(i) ou d)(ii), (ii) soit d’une communication exigée par la loi. Use without knowledge or consent Utilisation à l’insu de l’intéressé ou sans son consentement (2) For the purpose of clause 4.3 of Schedule 1, and de- spite the note that accompanies that clause, an organiza- tion may, without the knowledge or consent of the indi- vidual, use personal information only if (a) in the course of its activities, the organization be- comes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of the laws of Canada, a province or a foreign jurisdiction that has been, is being or is about to be committed, and the information is used for the purpose of investigating that contravention; (b) it is used for the purpose of acting in respect of an emergency that threatens the life, health or security of an individual; (b.1) the information is contained in a witness state- ment and the use is necessary to assess, process or set- tle an insurance claim; (b.2) the information was produced by the individual in the course of their employment, business or profes- sion and the use is consistent with the purposes for which the information was produced; (c) it is used for statistical, or scholarly study or re- search, purposes that cannot be achieved without (2) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut utiliser de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants : a) dans le cadre de ses activités, l’organisation découvre l’existence d’un renseignement dont elle a des motifs raisonnables de croire qu’il pourrait être utile à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être, et l’utilisation est faite aux fins d’enquête; b) l’utilisation est faite pour répondre à une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu; b.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont l’utilisation est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement; b.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont l’utilisation est compatible avec les fins auxquelles il a été produit; Current to January 8, 2020 Last amended on June 21, 2019 8 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Section 7 Article 7 using the information, the information is used in a manner that will ensure its confidentiality, it is im- practicable to obtain consent and the organization in- forms the Commissioner of the use before the infor- mation is used; (c.1) it is publicly available and is specified by the regulations; or (d) it was collected under paragraph (1)(a), (b) or (e). c) l’utilisation est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit utilisé, celui-ci est utilisé d’une manière qui en assure le caractère confidentiel, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de l’utilisation avant de la faire; c.1) il s’agit d’un renseignement réglementaire auquel le public a accès; d) le renseignement a été recueilli au titre des alinéas (1)a), b) ou e). Disclosure without knowledge or consent Communication à l’insu de l’intéressé ou sans son consentement (3) For the purpose of clause 4.3 of Schedule 1, and de- spite the note that accompanies that clause, an organiza- tion may disclose personal information without the knowledge or consent of the individual only if the disclo- sure is (a) made to, in the Province of Quebec, an advocate or notary or, in any other province, a barrister or solicitor who is representing the organization; (b) for the purpose of collecting a debt owed by the in- dividual to the organization; (c) required to comply with a subpoena or warrant is- sued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of court relating to the produc- tion of records; (c.1) made to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that (i) it suspects that the information relates to na- tional security, the defence of Canada or the con- duct of international affairs, (ii) the disclosure is requested for the purpose of enforcing any law of Canada, a province or a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering in- telligence for the purpose of enforcing any such law, (iii) the disclosure is requested for the purpose of administering any law of Canada or a province, or (iv) the disclosure is requested for the purpose of communicating with the next of kin or authorized (3) Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants : a) la communication est faite à un avocat — dans la province de Québec, à un avocat ou à un notaire — qui représente l’organisation; b) elle est faite en vue du recouvrement d’une créance que celle-ci a contre l’intéressé; c) elle est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents; c.1) elle est faite à une institution gouvernementale — ou à une subdivision d’une telle institution — qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait, selon le cas : (i) qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales, (ii) que la communication est demandée aux fins du contrôle d’application du droit canadien, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application, (iii) qu’elle est demandée pour l’application du droit canadien ou provincial, Current to January 8, 2020 Last amended on June 21, 2019 9 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Section 7 Article 7 representative of an injured, ill or deceased individ- ual; (c.2) made to the government institution mentioned in section 7 of the Proceeds of Crime (Money Laun- dering) and Terrorist Financing Act as required by that section; (d) made on the initiative of the organization to a gov- ernment institution or a part of a government institu- tion and the organization (i) has reasonable grounds to believe that the infor- mation relates to a contravention of the laws of Canada, a province or a foreign jurisdiction that has been, is being or is about to be committed, or (ii) suspects that the information relates to nation- al security, the defence of Canada or the conduct of international affairs; (d.1) made to another organization and is reasonable for the purposes of investigating a breach of an agree- ment or a contravention of the laws of Canada or a province that has been, is being or is about to be com- mitted and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation; (d.2) made to another organization and is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the knowledge or consent of the individual would compro- mise the ability to prevent, detect or suppress the fraud; (d.3) made on the initiative of the organization to a government institution, a part of a government insti- tution or the individual’s next of kin or authorized rep- resentative and (i) the organization has reasonable grounds to be- lieve that the individual has been, is or may be the victim of financial abuse, (ii) the disclosure is made solely for purposes relat- ed to preventing or investigating the abuse, and (iii) it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse; (d.4) necessary to identify the individual who is in- jured, ill or deceased, made to a government institu- tion, a part of a government institution or the (iv) qu’elle est demandée afin d’entrer en contact avec le plus proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé; c.2) elle est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article; d) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou une subdivision d’une telle institution et l’organisation : (i) soit a des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être, (ii) soit soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales; d.1) elle est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête; d.2) elle est faite à une autre organisation et est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin; d.3) elle est faite, à l’initiative de l’organisation, à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, si les conditions ci-après sont remplies : (i) l’organisation a des motifs raisonnables de croire que l’intéressé a été, est ou pourrait être victime d’exploitation financière, (ii) la communication est faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête y ayant trait, (iii) il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le Current to January 8, 2020 Last amended on June 21, 2019 10 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Section 7 Article 7 individual’s next of kin or authorized representative and, if the individual is alive, the organization informs that individual in writing without delay of the disclo- sure; (e) made to a person who needs the information be- cause of an emergency that threatens the life, health or security of an individual and, if the individual whom the information is about is alive, the organization in- forms that individual in writing without delay of the disclosure; (e.1) of information that is contained in a witness statement and the disclosure is necessary to assess, process or settle an insurance claim; (e.2) of information that was produced by the individ- ual in the course of their employment, business or profession and the disclosure is consistent with the purposes for which the information was produced; (f) for statistical, or scholarly study or research, pur- poses that cannot be achieved without disclosing the information, it is impracticable to obtain consent and the organization informs the Commissioner of the dis- closure before the information is disclosed; (g) made to an institution whose functions include the conservation of records of historic or archival impor- tance, and the disclosure is made for the purpose of such conservation; (h) made after the earlier of (i) one hundred years after the record containing the information was created, and (ii) twenty years after the death of the individual whom the information is about; (h.1) of information that is publicly available and is specified by the regulations; or (h.2) [Repealed, 2015, c. 32, s. 6] (i) required by law. consentement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci; d.4) elle est nécessaire aux fins d’identification de l’intéressé qui est blessé, malade ou décédé et est faite à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’intéressé ou à son représentant autorisé et, si l’intéressé est vivant, l’organisation en informe celui-ci par écrit et sans délai; e) elle est faite à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière; e.1) il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la communication est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement; e.2) il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise, ou de sa profession, et dont la communication est compatible avec les fins auxquelles il a été produit; f) la communication est faite à des fins statistiques ou à des fins d’étude ou de recherche érudites, ces fins ne peuvent être réalisées sans que le renseignement soit communiqué, le consentement est pratiquement impossible à obtenir et l’organisation informe le commissaire de la communication avant de la faire; g) elle est faite à une institution dont les attributions comprennent la conservation de documents ayant une importance historique ou archivistique, en vue d’une telle conservation; h) elle est faite cent ans ou plus après la constitution du document contenant le renseignement ou, en cas de décès de l’intéressé, vingt ans ou plus après le décès, dans la limite de cent ans; h.1) il s’agit d’un renseignement réglementaire auquel le public a accès; h.2) [Abrogé, 2015, ch. 32, art. 6] i) la communication est exigée par la loi. Use without consent Utilisation sans le consentement de l’intéressé (4) Despite clause 4.5 of Schedule 1, an organization may use personal information for purposes other than those (4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés au paragraphe (2), utiliser un Current to January 8, 2020 Last amended on June 21, 2019 11 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 7-7.1 Articles 7-7.1 for which it was collected in any of the circumstances set out in subsection (2). renseignement personnel à des fins autres que celles auxquelles il a été recueilli. Disclosure without consent Communication sans consentement (5) Despite clause 4.5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in any of the circum- stances set out in paragraphs (3)(a) to (h.1). 2000, c. 5, s. 7, c. 17, s. 97; 2001, c. 41, s. 81; 2004, c. 15, s. 98; 2015, c. 32, s. 6. (5) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux alinéas (3)a) à h.1), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli. 2000, ch. 5, art. 7, ch. 17, art. 97; 2001, ch. 41, art. 81; 2004, ch. 15, art. 98; 2015, ch. 32, art. 6. Definitions Définitions 7.1 (1) The following definitions apply in this section. access means to program, to execute programs on, to communicate with, to store data in, to retrieve data from, or to otherwise make use of any resources, including data or programs on a computer system or a computer net- work. (utiliser) computer program has the same meaning as in subsec- tion 342.1(2) of the Criminal Code. (programme d’ordinateur) computer system has the same meaning as in subsec- tion 342.1(2) of the Criminal Code. (ordinateur) electronic address means an address used in connec- tion with (a) an electronic mail account; (b) an instant messaging account; or (c) any similar account. (adresse électronique) 7.1 (1) Les définitions qui suivent s’appliquent au présent article. adresse électronique Toute adresse utilisée relativement à l’un des comptes suivants : a) un compte courriel; b) un compte messagerie instantanée; c) tout autre compte similaire. (electronic address) ordinateur S’entend au sens du paragraphe 342.1(2) du Code criminel. (computer system) programme d’ordinateur S’entend au sens du paragraphe 342.1(2) du Code criminel. (computer pro- gram) utiliser S’agissant d’un ordinateur ou d’un réseau informatique, le programmer, lui faire exécuter un programme, communiquer avec lui, y mettre en mémoire, ou en extraire, des données ou utiliser ses ressources de toute autre façon, notamment ses données et ses programmes. (access) Collection of electronic addresses, etc. Collecte, utilisation et communication d’adresses électroniques (2) Paragraphs 7(1)(a) and (b.1) to (d) and (2)(a) to (c.1) and the exception set out in clause 4.3 of Schedule 1 do not apply in respect of (a) the collection of an individual’s electronic address, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, elec- tronic addresses; or (b) the use of an individual’s electronic address, if the address is collected by the use of a computer program described in paragraph (a). (2) Les alinéas 7(1)a) et b.1) à d) et (2)a) à c.1) et l’exception prévue à l’article 4.3 de l’annexe 1 ne s’appliquent pas : a) à la collecte de l’adresse électronique d’un individu effectuée à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir; b) à l’utilisation d’une telle adresse recueillie à l’aide d’un programme d’ordinateur visé à l’alinéa a). Current to January 8, 2020 Last amended on June 21, 2019 12 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 7.1-7.2 Articles 7.1-7.2 Accessing a computer system to collect personal information, etc. (3) Paragraphs 7(1)(a) to (d) and (2)(a) to (c.1) and the exception set out in clause 4.3 of Schedule 1 do not apply in respect of (a) the collection of personal information, through any means of telecommunication, if the collection is made by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or (b) the use of personal information that is collected in a manner described in paragraph (a). 2010, c. 23, s. 82; 2015, c. 32, s. 26. Collecte et utilisation de renseignements personnels (3) Les alinéas 7(1)a) à d) et (2)a) à c.1) et l’exception prévue à l’article 4.3 de l’annexe 1 ne s’appliquent pas : a) à la collecte de renseignements personnels, par tout moyen de télécommunication, dans le cas où l’organisation qui y procède le fait en utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale; b) à l’utilisation de renseignements personnels dont la collecte est visée à l’alinéa a). 2010, ch. 23, art. 82; 2015, ch. 32, art. 26. Prospective business transaction Transaction commerciale éventuelle 7.2 (1) In addition to the circumstances set out in sub- sections 7(2) and (3), for the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, organizations that are parties to a prospective business transaction may use and disclose personal in- formation without the knowledge or consent of the indi- vidual if (a) the organizations have entered into an agreement that requires the organization that receives the per- sonal information (i) to use and disclose that information solely for purposes related to the transaction, (ii) to protect that information by security safe- guards appropriate to the sensitivity of the informa- tion, and (iii) if the transaction does not proceed, to return that information to the organization that disclosed it, or destroy it, within a reasonable time; and (b) the personal information is necessary (i) to determine whether to proceed with the trans- action, and (ii) if the determination is made to proceed with the transaction, to complete it. 7.2 (1) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser et communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si, à la fois : a) elles ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée : (i) à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction, (ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité, (iii) si la transaction n’a pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à les détruire, dans un délai raisonnable; b) les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer. Completed business transaction Transaction commerciale effectuée (2) In addition to the circumstances set out in subsec- tions 7(2) and (3), for the purpose of clause 4.3 of Sched- ule 1, and despite the note that accompanies that clause, if the business transaction is completed, organizations that are parties to the transaction may use and disclose (2) En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels, communiqués en vertu du paragraphe (1), à l’insu de l’intéressé ou sans son consentement dans le cas où : Current to January 8, 2020 Last amended on June 21, 2019 13 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 7.2-7.3 Articles 7.2-7.3 personal information, which was disclosed under subsec- tion (1), without the knowledge or consent of the individual if (a) the organizations have entered into an agreement that requires each of them (i) to use and disclose the personal information un- der its control solely for the purposes for which the personal information was collected, permitted to be used or disclosed before the transaction was com- pleted, (ii) to protect that information by security safe- guards appropriate to the sensitivity of the informa- tion, and (iii) to give effect to any withdrawal of consent made under clause 4.3.8 of Schedule 1; (b) the personal information is necessary for carrying on the business or activity that was the object of the transaction; and (c) one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their personal information has been disclosed under sub- section (1). a) elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée : (i) à n’utiliser et ne communiquer les renseignements dont elle a la gestion qu’aux fins auxquelles ils ont été recueillis ou auxquelles il était permis de les utiliser ou de les communiquer avant que la transaction ne soit effectuée, (ii) à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité, (iii) à donner effet à tout retrait de consentement fait en conformité avec l’article 4.3.8 de l’annexe 1; b) les renseignements sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction; c) dans un délai raisonnable après que la transaction a été effectuée, l’une des parties avise l’intéressé du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués en vertu du paragraphe (1). Agreements binding Valeur contraignante des accords (3) An organization shall comply with the terms of any agreement into which it enters under paragraph (1)(a) or (2)(a). (3) L’organisation est tenue de se conformer aux modalités de tout accord conclu aux termes des alinéas (1)a) ou (2)a). Exception Exception (4) Subsections (1) and (2) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information. 2015, c. 32, s. 7. (4) Les paragraphes (1) et (2) ne s’appliquent pas à l’égard de la transaction commerciale dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location. 2015, ch. 32, art. 7. Employment relationship Relation d’emploi 7.3 In addition to the circumstances set out in section 7, for the purpose of clause 4.3 of Schedule 1, and despite the note that accompanies that clause, a federal work, undertaking or business may collect, use and disclose personal information without the consent of the individ- ual if (a) the collection, use or disclosure is necessary to es- tablish, manage or terminate an employment relation- ship between the federal work, undertaking or busi- ness and the individual; and 7.3 En plus des cas visés à l’article 7, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, une entreprise fédérale peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin, et si elle a au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins. 2015, ch. 32, art. 7. Current to January 8, 2020 Last amended on June 21, 2019 14 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 7.3-8 Articles 7.3-8 (b) the federal work, undertaking or business has in- formed the individual that the personal information will be or may be collected, used or disclosed for those purposes. 2015, c. 32, s. 7. Use without consent Utilisation sans le consentement de l’intéressé 7.4 (1) Despite clause 4.5 of Schedule 1, an organization may use personal information for purposes other than those for which it was collected in any of the circum- stances set out in subsection 7.2(1) or (2) or section 7.3. 7.4 (1) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, utiliser un renseignement personnel à des fins autres que celles auxquelles il a été recueilli. Disclosure without consent Communication sans le consentement de l’intéressé (2) Despite clause 4.5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in any of the circum- stances set out in subsection 7.2(1) or (2) or section 7.3. 2015, c. 32, s. 7. (2) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans les cas visés aux paragraphes 7.2(1) ou (2) ou à l’article 7.3, communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli. 2015, ch. 32, art. 7. Written request Demande écrite 8 (1) A request under clause 4.9 of Schedule 1 must be made in writing. 8 (1) La demande prévue à l’article 4.9 de l’annexe 1 est présentée par écrit. Assistance Aide à fournir (2) An organization shall assist any individual who in- forms the organization that they need assistance in preparing a request to the organization. (2) Sur requête de l’intéressé, l’organisation fournit à celui-ci l’aide dont il a besoin pour préparer sa demande. Time limit Délai de réponse (3) An organization shall respond to a request with due diligence and in any case not later than thirty days after receipt of the request. (3) L’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Extension of time limit Prorogation du délai (4) An organization may extend the time limit (a) for a maximum of thirty days if (i) meeting the time limit would unreasonably in- terfere with the activities of the organization, or (ii) the time required to undertake any consulta- tions necessary to respond to the request would make the time limit impracticable to meet; or (b) for the period that is necessary in order to be able to convert the personal information into an alternative format. In either case, the organization shall, no later than thirty days after the date of the request, send a notice of exten- sion to the individual, advising them of the new time lim- it, the reasons for extending the time limit and of their right to make a complaint to the Commissioner in respect of the extension. (4) Elle peut toutefois proroger le délai visé au paragraphe (3) : a) d’une période maximale de trente jours dans les cas où : (i) l’observation du délai entraverait gravement l’activité de l’organisation, (ii) toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai; b) de la période nécessaire au transfert des renseignements visés sur support de substitution. Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer Current to January 8, 2020 Last amended on June 21, 2019 15 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 8-9 Articles 8-9 auprès du commissaire une plainte à propos de la prorogation. Deemed refusal Présomption (5) If the organization fails to respond within the time limit, the organization is deemed to have refused the re- quest. (5) Faute de répondre dans le délai, l’organisation est réputée avoir refusé d’acquiescer à la demande. Costs for responding Coût (6) An organization may respond to an individual’s re- quest at a cost to the individual only if (a) the organization has informed the individual of the approximate cost; and (b) the individual has advised the organization that the request is not being withdrawn. (6) Elle ne peut exiger de droits pour répondre à la demande que si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci et celui-ci l’avise qu’il ne retire pas sa demande. Reasons Refus motivé (7) An organization that responds within the time limit and refuses a request shall inform the individual in writ- ing of the refusal, setting out the reasons and any re- course that they may have under this Part. (7) L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours que lui accorde la présente partie. Retention of information Conservation des renseignements (8) Despite clause 4.5 of Schedule 1, an organization that has personal information that is the subject of a request shall retain the information for as long as is necessary to allow the individual to exhaust any recourse under this Part that they may have. 2000, c. 5, s. 8; 2015, c. 32, s. 8(F). (8) Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la présente partie. 2000, ch. 5, art. 8; 2015, ch. 32, art. 8(F). When access prohibited Cas où la communication est interdite 9 (1) Despite clause 4.9 of Schedule 1, an organization shall not give an individual access to personal informa- tion if doing so would likely reveal personal information about a third party. However, if the information about the third party is severable from the record containing the information about the individual, the organization shall sever the information about the third party before giving the individual access. 9 (1) Malgré l’article 4.9 de l’annexe 1, l’organisation ne peut communiquer de renseignement à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si ce dernier renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant. Limit Non-application (2) Subsection (1) does not apply if the third party con- sents to the access or the individual needs the informa- tion because an individual’s life, health or security is threatened. (2) Le paragraphe (1) ne s’applique pas si le tiers consent à la communication ou si l’intéressé a besoin du renseignement parce que la vie, la santé ou la sécurité d’un individu est en danger. Information related to paragraphs 7(3)(c), (c.1) or (d) Renseignements relatifs aux al. 7(3)c), c.1) ou d) (2.1) An organization shall comply with subsection (2.2) if an individual requests that the organization (a) inform the individual about (2.1) L’organisation est tenue de se conformer au paragraphe (2.2) si l’intéressé lui demande : a) de l’aviser, selon le cas : Current to January 8, 2020 Last amended on June 21, 2019 16 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Section 9 Article 9 (i) any disclosure of information to a government institution or a part of a government institution un- der paragraph 7(3)(c), subparagraph 7(3)(c.1)(i) or (ii) or paragraph 7(3)(c.2) or (d), or (ii) the existence of any information that the orga- nization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in paragraph 7(3)(c) or to a request made by a government institution or a part of a government institution under subpara- graph 7(3)(c.1)(i) or (ii); or (b) give the individual access to the information re- ferred to in subparagraph (a)(ii). (i) de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu de l’alinéa 7(3)c), des sous- alinéas 7(3)c.1) (i) ou (ii) ou des alinéas 7(3)c.2) ou d), (ii) de l’existence de renseignements détenus par l’organisation et relatifs soit à toute telle communication, soit à une assignation, un mandat ou une ordonnance visés à l’alinéa 7(3)c), soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de ces sous-alinéas; b) de lui communiquer ces renseignements. Notification and response Notification et réponse (2.2) An organization to which subsection (2.1) applies (a) shall, in writing and without delay, notify the insti- tution or part concerned of the request made by the individual; and (b) shall not respond to the request before the earlier of (i) the day on which it is notified under subsec- tion (2.3), and (ii) thirty days after the day on which the institu- tion or part was notified. (2.2) Le cas échéant, l’organisation : a) notifie par écrit et sans délai la demande à l’institution gouvernementale ou à la subdivision d’une telle institution concernée; b) ne peut donner suite à la demande avant le jour où elle reçoit l’avis prévu au paragraphe (2.3) ou, s’il est antérieur, le trentième jour suivant celui où l’institution ou la subdivision reçoit notification. Objection Opposition (2.3) Within thirty days after the day on which it is noti- fied under subsection (2.2), the institution or part shall notify the organization whether or not the institution or part objects to the organization complying with the re- quest. The institution or part may object only if the insti- tution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to (a) national security, the defence of Canada or the conduct of international affairs; (a.1) the detection, prevention or deterrence of mon- ey laundering or the financing of terrorist activities; or (b) the enforcement of any law of Canada, a province or a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law. (2.3) Dans les trente jours suivant celui où la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire : a) à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales; a.1) à la détection, à la prévention ou à la dissuasion du recyclage des produits de la criminalité ou du financement des activités terroristes; b) au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application. Current to January 8, 2020 Last amended on June 21, 2019 17 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Section 9 Article 9 Prohibition Refus d’acquiescer à la demande (2.4) Despite clause 4.9 of Schedule 1, if an organization is notified under subsection (2.3) that the institution or part objects to the organization complying with the re- quest, the organization (a) shall refuse the request to the extent that it relates to paragraph (2.1)(a) or to information referred to in subparagraph (2.1)(a)(ii); (b) shall notify the Commissioner, in writing and without delay, of the refusal; and (c) shall not disclose to the individual (i) any information that the organization has relat- ing to a disclosure to a government institution or a part of a government institution under para- graph 7(3)(c), subparagraph 7(3)(c.1)(i) or (ii) or paragraph 7(3)(c.2) or (d) or to a request made by a government institution under either of those sub- paragraphs, (ii) that the organization notified an institution or part under paragraph (2.2)(a) or the Commissioner under paragraph (b), or (iii) that the institution or part objects. (2.4) Malgré l’article 4.9 de l’annexe 1, si elle est informée que l’institution ou la subdivision s’oppose à ce qu’elle acquiesce à la demande, l’organisation : a) refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (2.1)a) ou se rapporte à des renseignements visés à cet alinéa; b) en avise par écrit et sans délai le commissaire; c) ne communique à l’intéressé : (i) ni les renseignements détenus par l’organisation et relatifs à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)c.1)(i) ou (ii) ou des alinéas 7(3)c.2) ou d) ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de ces sous-alinéas. (ii) ni le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision en application de l’alinéa (2.2)a) ou que le commissaire en a été avisé en application de l’alinéa b), (iii) ni le fait que l’institution ou la subdivision s’oppose à ce que l’organisation acquiesce à la demande. When access may be refused Cas où la communication peut être refusée (3) Despite the note that accompanies clause 4.9 of Schedule 1, an organization is not required to give access to personal information only if (a) the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege; (b) to do so would reveal confidential commercial in- formation; (c) to do so could reasonably be expected to threaten the life or security of another individual; (c.1) the information was collected under para- graph 7(1)(b); (d) the information was generated in the course of a formal dispute resolution process; or (e) the information was created for the purpose of making a disclosure under the Public Servants (3) Malgré la note afférente à l’article 4.9 de l’annexe 1, l’organisation n’est pas tenue de communiquer à l’intéressé des renseignements personnels dans les cas suivants seulement : a) les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige; b) la communication révélerait des renseignements commerciaux confidentiels; c) elle risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu; c.1) les renseignements ont été recueillis au titre de l’alinéa 7(1)b); d) les renseignements ont été fournis uniquement à l’occasion d’un règlement officiel des différends; Current to January 8, 2020 Last amended on June 21, 2019 18 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1 Protection of Personal Information SECTION 1 Protection des renseignements personnels Sections 9-10.1 Articles 9-10.1 Disclosure Protection Act or in the course of an inves- tigation into a disclosure under that Act. However, in the circumstances described in para- graph (b) or (c), if giving access to the information would reveal confidential commercial information or could rea- sonably be expected to threaten the life or security of an- other individual, as the case may be, and that informa- tion is severable from the record containing any other information for which access is requested, the organiza- tion shall give the individual access after severing. e) les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi. Toutefois, dans les cas visés aux alinéas b) ou c), si les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu peuvent être retranchés du document en cause, l’organisation est tenue de faire la communication en retranchant ces renseignements. Limit Non-application (4) Subsection (3) does not apply if the individual needs the information because an individual’s life, health or se- curity is threatened. (4) Le paragraphe (3) ne s’applique pas si l’intéressé a besoin des renseignements parce que la vie, la santé ou la sécurité d’un individu est en danger. Notice Avis (5) If an organization decides not to give access to per- sonal information in the circumstances set out in para- graph (3)(c.1), the organization shall, in writing, so notify the Commissioner, and shall include in the notification any information that the Commissioner may specify. 2000, c. 5, s. 9, c. 17, s. 97; 2001, c. 41, s. 82; 2005, c. 46, s. 57; 2006, c. 9, s. 223; 2015, c. 32, s. 9; 2019, c. 18, s. 61. (5) Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (3)c.1), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser. 2000, ch. 5, art. 9, ch. 17, art. 97; 2001, ch. 41, art. 82; 2005, ch. 46, art. 57; 2006, ch. 9, art. 223; 2015, ch. 32, art. 9; 2019, ch. 18, art. 61. Sensory disability Déficience sensorielle 10 An organization shall give access to personal infor- mation in an alternative format to an individual with a sensory disability who has a right of access to personal information under this Part and who requests that it be transmitted in the alternative format if (a) a version of the information already exists in that format; or (b) its conversion into that format is reasonable and necessary in order for the individual to be able to exer- cise rights under this Part. 10 L’organisation communique les renseignements personnels sur support de substitution à toute personne ayant une déficience sensorielle qui y a droit sous le régime de la présente partie et qui en fait la demande, dans les cas suivants : a) une version des renseignements visés existe déjà sur un tel support; b) leur transfert sur un tel support est raisonnable et nécessaire pour que la personne puisse exercer les droits qui lui sont conférés sous le régime de la présente partie. DIVISION 1.1 SECTION 1.1 Breaches of Security Safeguards Atteintes aux mesures de sécurité Report to Commissioner Déclaration au commissaire 10.1 (1) An organization shall report to the Commis- sioner any breach of security safeguards involving per- sonal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual. 10.1 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. Current to January 8, 2020 Last amended on June 21, 2019 19 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1.1 Breaches of Security Safeguards SECTION 1.1 Atteintes aux mesures de sécurité Section 10.1 Article 10.1 Report requirements Modalités de la déclaration (2) The report shall contain the prescribed information and shall be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred. (2) La déclaration contient les renseignements prévus par règlement et est faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte. Notification to individual Avis à l’intéressé (3) Unless otherwise prohibited by law, an organization shall notify an individual of any breach of security safe- guards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual. (3) À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit. Contents of notification Contenu de l’avis (4) The notification shall contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It shall also contain any other pre- scribed information. (4) L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire. Form and manner Modalités de l’avis (5) The notification shall be conspicuous and shall be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it shall be given indirectly in the prescribed form and manner. (5) L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires. Time to give notification Délai de l’avis (6) The notification shall be given as soon as feasible af- ter the organization determines that the breach has oc- curred. (6) L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte. Definition of significant harm Définition de préjudice grave (7) For the purpose of this section, significant harm in- cludes bodily harm, humiliation, damage to reputation or relationships, loss of employment, business or profes- sional opportunities, financial loss, identity theft, nega- tive effects on the credit record and damage to or loss of property. (7) Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. Real risk of significant harm — factors Risque réel de préjudice grave : facteurs (8) The factors that are relevant to determining whether a breach of security safeguards creates a real risk of sig- nificant harm to the individual include (a) the sensitivity of the personal information in- volved in the breach; (8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement. 2015, ch. 32, art. 10. Current to January 8, 2020 Last amended on June 21, 2019 20 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1.1 Breaches of Security Safeguards SECTION 1.1 Atteintes aux mesures de sécurité Sections 10.1-10.3 Articles 10.1-10.3 (b) the probability that the personal information has been, is being or will be misused; and (c) any other prescribed factor. 2015, c. 32, s. 10. Notification to organizations Avis à une organisation 10.2 (1) An organization that notifies an individual of a breach of security safeguards under subsection 10.1(3) shall notify any other organization, a government institu- tion or a part of a government institution of the breach if the notifying organization believes that the other organi- zation or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied. 10.2 (1) L’organisation qui, en application du paragraphe 10.1(3), avise un individu d’une atteinte aux mesures de sécurité est tenue d’en aviser toute autre organisation, ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice, ou s’il est satisfait à des conditions précisées par règlement. Time to give notification Délai de l’avis (2) The notification shall be given as soon as feasible af- ter the organization determines that the breach has oc- curred. (2) Elle le fait le plus tôt possible après avoir conclu qu’il y a eu atteinte. Disclosure of personal information Communication de renseignements personnels (3) In addition to the circumstances set out in subsection 7(3), for the purpose of clause 4.3 of Schedule 1, and de- spite the note that accompanies that clause, an organiza- tion may disclose personal information without the knowledge or consent of the individual if (a) the disclosure is made to the other organization, the government institution or the part of a govern- ment institution that was notified of the breach under subsection (1); and (b) the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm. (3) En plus des cas visés au paragraphe 7(3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si : a) d’une part, la communication est faite à l’autre organisation, ou à l’institution gouvernementale ou la subdivision d’une telle institution qui a été avisée de l’atteinte en application du paragraphe (1); b) d’autre part, elle n’est faite que pour réduire le risque de préjudice pour l’intéressé qui pourrait résulter de l’atteinte ou atténuer ce préjudice. Disclosure without consent Communication sans consentement (4) Despite clause 4.5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in the circumstance set out in subsection (3). 2015, c. 32, s. 10. (4) Malgré l’article 4.5 de l’annexe 1, l’organisation peut, dans le cas visé au paragraphe (3), communiquer un renseignement personnel à des fins autres que celles auxquelles il a été recueilli. 2015, ch. 32, art. 10. Records Registre 10.3 (1) An organization shall, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal in- formation under its control. 10.3 (1) L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. Current to January 8, 2020 Last amended on June 21, 2019 21 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 1.1 Breaches of Security Safeguards SECTION 1.1 Atteintes aux mesures de sécurité Sections 10.3-12 Articles 10.3-12 Provision to Commissioner Accès au registre ou copie (2) An organization shall, on request, provide the Com- missioner with access to, or a copy of, a record. 2015, c. 32, s. 10. (2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie. 2015, ch. 32, art. 10. DIVISION 2 SECTION 2 Remedies Recours Filing of Complaints Dépôt des plaintes Contravention Violation 11 (1) An individual may file with the Commissioner a written complaint against an organization for contraven- ing a provision of Division 1 or 1.1 or for not following a recommendation set out in Schedule 1. 11 (1) Tout intéressé peut déposer auprès du commissaire une plainte contre une organisation qui contrevient à l’une des dispositions des sections 1 ou 1.1, ou qui omet de mettre en œuvre une recommandation énoncée dans l’annexe 1. Commissioner may initiate complaint Plaintes émanant du commissaire (2) If the Commissioner is satisfied that there are rea- sonable grounds to investigate a matter under this Part, the Commissioner may initiate a complaint in respect of the matter. (2) Le commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente partie. Time limit Délai (3) A complaint that results from the refusal to grant a request under section 8 must be filed within six months, or any longer period that the Commissioner allows, after the refusal or after the expiry of the time limit for re- sponding to the request, as the case may be. (3) Lorsqu’elle porte sur le refus d’acquiescer à une demande visée à l’article 8, la plainte doit être déposée dans les six mois suivant, selon le cas, le refus ou l’expiration du délai pour répondre à la demande, à moins que le commissaire n’accorde un délai supplémentaire. Notice Avis (4) The Commissioner shall give notice of a complaint to the organization against which the complaint was made. 2000, c. 5, s. 11; 2015, c. 32, s. 11. (4) Le commissaire donne avis de la plainte à l’organisation visée par celle-ci. 2000, ch. 5, art. 11; 2015, ch. 32, art. 11. Investigations of Complaints Examen des plaintes Examination of complaint by Commissioner Examen des plaintes par le commissaire 12 (1) The Commissioner shall conduct an investigation in respect of a complaint, unless the Commissioner is of the opinion that (a) the complainant ought first to exhaust grievance or review procedures otherwise reasonably available; (b) the complaint could more appropriately be dealt with, initially or completely, by means of a procedure provided for under the laws of Canada, other than this Part, or the laws of a province; or 12 (1) Le commissaire procède à l’examen de toute plainte dont il est saisi à moins qu’il estime celle-ci irrecevable pour un des motifs suivants : a) le plaignant devrait d’abord épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement ouverts; b) la plainte pourrait avantageusement être instruite, dans un premier temps ou à toutes les étapes, selon des procédures prévues par le droit fédéral — à Current to January 8, 2020 Last amended on June 21, 2019 22 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Investigations of Complaints Examen des plaintes Sections 12-12.1 Articles 12-12.1 (c) the complaint was not filed within a reasonable period after the day on which the subject matter of the complaint arose. l’exception de la présente partie — ou le droit provincial; c) la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance. Exception Exception (2) Despite subsection (1), the Commissioner is not re- quired to conduct an investigation in respect of an act al- leged in a complaint if the Commissioner is of the opin- ion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to pro- mote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competi- tion Act, the Personal Information Protection and Elec- tronic Documents Act and the Telecommunications Act or section 52.01 of the Competition Act or would consti- tute conduct that is reviewable under section 74.011 of that Act. (2) Malgré le paragraphe (1), le commissaire n’a pas à examiner tout acte allégué dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.011 de cette loi. Notification Avis aux parties (3) The Commissioner shall notify the complainant and the organization that the Commissioner will not investi- gate the complaint or any act alleged in the complaint and give reasons. (3) S’il décide de ne pas procéder à l’examen de la plainte ou de tout acte allégué dans celle-ci, le commissaire avise le plaignant et l’organisation de sa décision et des motifs qui la justifient. Compelling reasons Raisons impérieuses (4) The Commissioner may reconsider a decision not to investigate under subsection (1), if the Commissioner is satisfied that the complainant has established that there are compelling reasons to investigate. 2000, c. 5, s. 12; 2010, c. 23, s. 83. (4) Le commissaire peut réexaminer sa décision de ne pas examiner la plainte aux termes du paragraphe (1) si le plaignant le convainc qu’il existe des raisons impérieuses pour ce faire. 2000, ch. 5, art. 12; 2010, ch. 23, art. 83. Powers of Commissioner Pouvoirs du commissaire 12.1 (1) In the conduct of an investigation of a com- plaint, the Commissioner may (a) summon and enforce the appearance of persons before the Commissioner and compel them to give oral or written evidence on oath and to produce any records and things that the Commissioner considers necessary to investigate the complaint, in the same manner and to the same extent as a superior court of record; (b) administer oaths; (c) receive and accept any evidence and other infor- mation, whether on oath, by affidavit or otherwise, that the Commissioner sees fit, whether or not it is or would be admissible in a court of law; 12.1 (1) Le commissaire peut, dans le cadre de l’examen des plaintes : a) assigner et contraindre des témoins à comparaître devant lui, à déposer verbalement ou par écrit sous la foi du serment et à produire les documents ou pièces qu’il juge nécessaires pour examiner la plainte dont il est saisi, de la même façon et dans la même mesure qu’une cour supérieure d’archives; b) faire prêter serment; c) recevoir les éléments de preuve ou les renseignements — fournis notamment par déclaration verbale ou écrite sous serment — qu’il estime indiqués, indépendamment de leur admissibilité devant les tribunaux; Current to January 8, 2020 Last amended on June 21, 2019 23 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Investigations of Complaints Examen des plaintes Sections 12.1-12.2 Articles 12.1-12.2 (d) at any reasonable time, enter any premises, other than a dwelling-house, occupied by an organization on satisfying any security requirements of the organiza- tion relating to the premises; (e) converse in private with any person in any premis- es entered under paragraph (d) and otherwise carry out in those premises any inquiries that the Commis- sioner sees fit; and (f) examine or obtain copies of or extracts from records found in any premises entered under para- graph (d) that contain any matter relevant to the in- vestigation. d) visiter, à toute heure convenable, tout local — autre qu’une maison d’habitation — occupé par l’organisation, à condition de satisfaire aux normes de sécurité établies par elle pour ce local; e) s’entretenir en privé avec toute personne se trouvant dans le local visé à l’alinéa d) et y mener les enquêtes qu’il estime nécessaires; f) examiner ou se faire remettre des copies ou des extraits des documents contenant des éléments utiles à l’examen de la plainte et trouvés dans le local visé à l’alinéa d). Dispute resolution mechanisms Mode de règlement des différends (2) The Commissioner may attempt to resolve com- plaints by means of dispute resolution mechanisms such as mediation and conciliation. (2) Il peut tenter de parvenir au règlement de la plainte en ayant recours à un mode de règlement des différends, notamment la médiation et la conciliation. Delegation Délégation (3) The Commissioner may delegate any of the powers set out in subsection (1) or (2). (3) Il peut déléguer les pouvoirs que les paragraphes (1) et (2) lui confèrent. Return of records Renvoi des documents (4) The Commissioner or the delegate shall return to a person or an organization any record or thing that they produced under this section within 10 days after they make a request to the Commissioner or the delegate, but nothing precludes the Commissioner or the delegate from again requiring that the record or thing be pro- duced. (4) Le commissaire ou son délégué renvoie les documents ou pièces demandés en vertu du présent article aux personnes ou organisations qui les ont produits dans les dix jours suivant la requête que celles- ci lui présentent à cette fin, mais rien n’empêche le commissaire ou son délégué d’en réclamer une nouvelle production. Certificate of delegation Certificat (5) Any person to whom powers set out in subsection (1) are delegated shall be given a certificate of the delegation and the delegate shall produce the certificate, on request, to the person in charge of any premises to be entered un- der paragraph (1)(d). 2010, c. 23, s. 83. (5) Chaque personne à qui les pouvoirs visés au paragraphe (1) sont délégués reçoit un certificat attestant sa qualité, qu’il présente, sur demande, au responsable du local qui sera visité en application de l’alinéa (1)d). 2010, ch. 23, art. 83. Discontinuance of Investigation Fin de l’examen Reasons Motifs 12.2 (1) The Commissioner may discontinue the inves- tigation of a complaint if the Commissioner is of the opinion that (a) there is insufficient evidence to pursue the investi- gation; (b) the complaint is trivial, frivolous or vexatious or is made in bad faith; 12.2 (1) Le commissaire peut mettre fin à l’examen de la plainte s’il estime, selon le cas : a) qu’il n’existe pas suffisamment d’éléments de preuve pour le poursuivre; b) que la plainte est futile, vexatoire ou entachée de mauvaise foi; Current to January 8, 2020 Last amended on June 21, 2019 24 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Discontinuance of Investigation Fin de l’examen Sections 12.2-13 Articles 12.2-13 (c) the organization has provided a fair and reason- able response to the complaint; (c.1) the matter is the object of a compliance agree- ment entered into under subsection 17.1(1); (d) the matter is already the object of an ongoing in- vestigation under this Part; (e) the matter has already been the subject of a report by the Commissioner; (f) any of the circumstances mentioned in para- graph 12(1)(a), (b) or (c) apply; or (g) the matter is being or has already been addressed under a procedure referred to in paragraph 12(1)(a) or (b). c) que l’organisation a apporté une réponse juste et équitable à la plainte; c.1) que la question qui a donné lieu à la plainte fait l’objet d’un accord de conformité conclu en vertu du paragraphe 17.1(1); d) que la plainte fait déjà l’objet d’une enquête au titre de la présente partie; e) qu’il a déjà dressé un rapport sur l’objet de la plainte; f) que les circonstances visées à l’un des alinéas 12(1)a) à c) existent; g) que la plainte fait ou a fait l’objet d’un recours ou d’une procédure visés à l’alinéa 12(1)a) ou est ou a été instruite selon des procédures visées à l’alinéa 12(1)b). Other reason Autre motif (2) The Commissioner may discontinue an investigation in respect of an act alleged in a complaint if the Commis- sioner is of the opinion that the act, if proved, would con- stitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Cana- dian economy by regulating certain activities that dis- courage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Ra- dio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protec- tion and Electronic Documents Act and the Telecommu- nications Act or section 52.01 of the Competition Act or would constitute conduct that is reviewable under sec- tion 74.011 of that Act. (2) Le commissaire peut mettre fin à l’examen de tout acte allégué dans la plainte qui, à son avis, constituerait, s’il était prouvé, une contravention à l’un des articles 6 à 9 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ou à l’article 52.01 de la Loi sur la concurrence ou un comportement susceptible d’examen visé à l’article 74.011 de cette loi. Notification Avis aux parties (3) The Commissioner shall notify the complainant and the organization that the investigation has been discon- tinued and give reasons. 2010, c. 23, s. 83; 2015, c. 32, s. 12. (3) Le commissaire avise le plaignant et l’organisation de la fin de l’examen et des motifs qui la justifient. 2010, ch. 23, art. 83; 2015, ch. 32, art. 12. Commissioner’s Report Rapport du commissaire Contents Contenu 13 (1) The Commissioner shall, within one year after the day on which a complaint is filed or is initiated by the Commissioner, prepare a report that contains (a) the Commissioner’s findings and recommenda- tions; (b) any settlement that was reached by the parties; 13 (1) Dans l’année suivant, selon le cas, la date du dépôt de la plainte ou celle où il en a pris l’initiative, le commissaire dresse un rapport où : a) il présente ses conclusions et recommandations; b) il fait état de tout règlement intervenu entre les parties; Current to January 8, 2020 Last amended on June 21, 2019 25 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Commissioner’s Report Rapport du commissaire Sections 13-15 Articles 13-15 (c) if appropriate, a request that the organization give the Commissioner, within a specified time, notice of any action taken or proposed to be taken to implement the recommendations contained in the report or rea- sons why no such action has been or is proposed to be taken; and (d) the recourse, if any, that is available under sec- tion 14. c) il demande, s’il y a lieu, à l’organisation de lui donner avis, dans un délai déterminé, soit des mesures prises ou envisagées pour la mise en œuvre de ses recommandations, soit des motifs invoqués pour ne pas y donner suite; d) mentionne, s’il y a lieu, l’existence du recours prévu à l’article 14. (2) [Repealed, 2010, c. 23, s. 84] (2) [Abrogé, 2010, ch. 23, art. 84] Report to parties Transmission aux parties (3) The report shall be sent to the complainant and the organization without delay. 2000, c. 5, s. 13; 2010, c. 23, s. 84. (3) Le rapport est transmis sans délai au plaignant et à l’organisation. 2000, ch. 5, art. 13; 2010, ch. 23, art. 84. Hearing by Court Audience de la Cour Application Demande 14 (1) A complainant may, after receiving the Commis- sioner’s report or being notified under subsection 12.2(3) that the investigation of the complaint has been discon- tinued, apply to the Court for a hearing in respect of any matter in respect of which the complaint was made, or that is referred to in the Commissioner’s report, and that is referred to in clause 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 or 4.8 of Schedule 1, in clause 4.3, 4.5 or 4.9 of that Schedule as modified or clarified by Division 1 or 1.1, in subsec- tion 5(3) or 8(6) or (7), in section 10 or in Division 1.1. 14 (1) Après avoir reçu le rapport du commissaire ou l’avis l’informant de la fin de l’examen de la plainte au titre du paragraphe 12.2(3), le plaignant peut demander que la Cour entende toute question qui a fait l’objet de la plainte — ou qui est mentionnée dans le rapport — et qui est visée aux articles 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 ou 4.8 de l’annexe 1, aux articles 4.3, 4.5 ou 4.9 de cette annexe tels qu’ils sont modifiés ou clarifiés par les sections 1 ou 1.1, aux paragraphes 5(3) ou 8(6) ou (7), à l’article 10 ou à la section 1.1. Time for application Délai de la demande (2) A complainant shall make an application within one year after the report or notification is sent or within any longer period that the Court may, either before or after the expiry of that year, allow. (2) La demande est faite dans l’année suivant la transmission du rapport ou de l’avis ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année. For greater certainty Précision (3) For greater certainty, subsections (1) and (2) apply in the same manner to complaints referred to in subsec- tion 11(2) as to complaints referred to in subsec- tion 11(1). 2000, c. 5, s. 14; 2010, c. 23, s. 85; 2015, c. 32, s. 13. (3) Il est entendu que les paragraphes (1) et (2) s’appliquent de la même façon aux plaintes visées au paragraphe 11(2) qu’à celles visées au paragraphe 11(1). 2000, ch. 5, art. 14; 2010, ch. 23, art. 85; 2015, ch. 32, art. 13. Commissioner may apply or appear Exercice du recours par le commissaire 15 The Commissioner may, in respect of a complaint that the Commissioner did not initiate, (a) apply to the Court, within the time limited by sec- tion 14, for a hearing in respect of any matter de- scribed in that section, if the Commissioner has the consent of the complainant; 15 S’agissant d’une plainte dont il n’a pas pris l’initiative, le commissaire a qualité pour : a) demander lui-même, dans le délai prévu à l’article 14, l’audition de toute question visée à cet article, avec le consentement du plaignant; b) comparaître devant la Cour au nom du plaignant qui a demandé l’audition de la question; Current to January 8, 2020 Last amended on June 21, 2019 26 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Hearing by Court Audience de la Cour Sections 15-17.1 Articles 15-17.1 (b) appear before the Court on behalf of any com- plainant who has applied for a hearing under sec- tion 14; or (c) with leave of the Court, appear as a party to any hearing applied for under section 14. c) comparaître, avec l’autorisation de la Cour, comme partie à la procédure. Remedies Réparations 16 The Court may, in addition to any other remedies it may give, (a) order an organization to correct its practices in or- der to comply with Divisions 1 and 1.1; (b) order an organization to publish a notice of any action taken or proposed to be taken to correct its practices, whether or not ordered to correct them un- der paragraph (a); and (c) award damages to the complainant, including damages for any humiliation that the complainant has suffered. 2000, c. 5, s. 16; 2015, c. 32, s. 14. 16 La Cour peut, en sus de toute autre réparation qu’elle accorde : a) ordonner à l’organisation de revoir ses pratiques en vue de se conformer aux sections 1 et 1.1; b) lui ordonner de publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques, que ces dernières aient ou non fait l’objet d’une ordonnance visée à l’alinéa a); c) accorder au plaignant des dommages-intérêts, notamment en réparation de l’humiliation subie. 2000, ch. 5, art. 16; 2015, ch. 32, art. 14. Summary hearings Procédure sommaire 17 (1) An application made under section 14 or 15 shall be heard and determined without delay and in a summa- ry way unless the Court considers it inappropriate to do so. 17 (1) Le recours prévu aux articles 14 ou 15 est entendu et jugé sans délai et selon une procédure sommaire, à moins que la Cour ne l’estime contre- indiqué. Precautions Précautions à prendre (2) In any proceedings arising from an application made under section 14 or 15, the Court shall take every reason- able precaution, including, when appropriate, receiving representations ex parte and conducting hearings in camera, to avoid the disclosure by the Court or any per- son of any information or other material that the organi- zation would be authorized to refuse to disclose if it were requested under clause 4.9 of Schedule 1. (2) À l’occasion des procédures relatives au recours prévu aux articles 14 ou 15, la Cour prend toutes les précautions possibles, notamment, si c’est indiqué, par la tenue d’audiences à huis clos et l’audition d’arguments en l’absence d’une partie, pour éviter que ne soient divulgués, de par son propre fait ou celui de quiconque, des renseignements qui justifient un refus de communication de renseignements personnels demandés en vertu de l’article 4.9 de l’annexe 1. Compliance Agreements Accord de conformité Compliance agreement Conclusion d’un accord de conformité 17.1 (1) If the Commissioner believes on reasonable grounds that an organization has committed, is about to commit or is likely to commit an act or omission that could constitute a contravention of a provision of Divi- sion 1 or 1.1 or a failure to follow a recommendation set out in Schedule 1, the Commissioner may enter into a compliance agreement, aimed at ensuring compliance with this Part, with that organization. 17.1 (1) Le commissaire peut, s’il a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission — pouvant constituer une contravention à l’une des dispositions des sections 1 ou 1.1 ou une omission de mettre en œuvre une recommandation énoncée dans l’annexe 1, conclure avec l’organisation intéressée un accord, appelé « accord de conformité », visant à faire respecter la présente partie. Current to January 8, 2020 Last amended on June 21, 2019 27 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Compliance Agreements Accord de conformité Sections 17.1-17.2 Articles 17.1-17.2 Terms Conditions (2) A compliance agreement may contain any terms that the Commissioner considers necessary to ensure compli- ance with this Part. (2) L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la présente partie. Effect of compliance agreement — no application Effet de l’accord de conformité (3) When a compliance agreement is entered into, the Commissioner, in respect of any matter covered under the agreement, (a) shall not apply to the Court for a hearing under subsection 14(1) or paragraph 15(a); and (b) shall apply to the court for the suspension of any pending applications that were made by the Commis- sioner under those provisions. (3) Lorsqu’un accord de conformité a été conclu, le commissaire : a) ne peut demander à la Cour, aux termes du paragraphe 14(1) ou de l’alinéa 15a), une audition à l’égard de toute question visée par l’accord; b) demande la suspension de toute demande d’audition d’une question visée par l’accord qu’il a faite et qui est pendante au moment de la conclusion de l’accord. For greater certainty Précision (4) For greater certainty, a compliance agreement does not preclude (a) an individual from applying for a hearing under section 14; or (b) the prosecution of an offence under the Act. 2015, c. 32, s. 15. (4) Il est entendu que la conclusion de l’accord n’a pas pour effet d’empêcher les poursuites pour infraction à la présente loi, ou d’empêcher un plaignant — autre que le commissaire — de faire une demande d’audition de la question aux termes de l’article 14. 2015, ch. 32, art. 15. Agreement complied with Accord respecté 17.2 (1) If the Commissioner is of the opinion that a compliance agreement has been complied with, the Com- missioner shall provide written notice to that effect to the organization and withdraw any applications that were made under subsection 14(1) or paragraph 15(a) in re- spect of any matter covered under the agreement. 17.2 (1) S’il estime que l’accord de conformité a été respecté, le commissaire en fait part à l’organisation intéressée par avis écrit et il retire toute demande d’audition, faite aux termes du paragraphe 14(1) ou de l’alinéa 15a), d’une question visée par l’accord. Agreement not complied with Accord non respecté (2) If the Commissioner is of the opinion that an organi- zation is not complying with the terms of a compliance agreement, the Commissioner shall notify the organiza- tion and may apply to the Court for (a) an order requiring the organization to comply with the terms of the agreement, in addition to any other remedies it may give; or (b) a hearing under subsection 14(1) or para- graph 15(a) or to reinstate proceedings that have been suspended as a result of an application made under paragraph 17.1(3)(b). (2) S’il estime que l’accord de conformité n’a pas été respecté, le commissaire envoie à l’organisation intéressée un avis de défaut. Il peut alors demander à la Cour : a) soit une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, en sus de toute autre réparation que la Cour peut accorder; b) soit une audition de la question, aux termes du paragraphe 14(1) ou de l’alinéa 15a) ou, en cas de suspension de l’audition à la suite d’une demande faite en application de l’alinéa 17.1(3)b), le rétablissement de l’audition. Current to January 8, 2020 Last amended on June 21, 2019 28 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 2 Remedies SECTION 2 Recours Compliance Agreements Accord de conformité Sections 17.2-18 Articles 17.2-18 Time for application Délai de la demande (3) Despite subsection 14(2), the application shall be made within one year after notification is sent or within any longer period that the Court may, either before or af- ter the expiry of that year, allow. 2015, c. 32, s. 15. (3) Malgré le paragraphe 14(2), la demande est faite dans l’année suivant l’envoi de l’avis de défaut ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année. 2015, ch. 32, art. 15. DIVISION 3 SECTION 3 Audits Vérifications To ensure compliance Contrôle d’application 18 (1) The Commissioner may, on reasonable notice and at any reasonable time, audit the personal informa- tion management practices of an organization if the Commissioner has reasonable grounds to believe that the organization has contravened a provision of Division 1 or 1.1 or is not following a recommendation set out in Schedule 1, and for that purpose may (a) summon and enforce the appearance of persons before the Commissioner and compel them to give oral or written evidence on oath and to produce any records and things that the Commissioner considers necessary for the audit, in the same manner and to the same extent as a superior court of record; (b) administer oaths; (c) receive and accept any evidence and other infor- mation, whether on oath, by affidavit or otherwise, that the Commissioner sees fit, whether or not it is or would be admissible in a court of law; (d) at any reasonable time, enter any premises, other than a dwelling-house, occupied by the organization on satisfying any security requirements of the organi- zation relating to the premises; (e) converse in private with any person in any premis- es entered under paragraph (d) and otherwise carry out in those premises any inquiries that the Commis- sioner sees fit; and (f) examine or obtain copies of or extracts from records found in any premises entered under para- graph (d) that contain any matter relevant to the au- dit. 18 (1) Le commissaire peut, sur préavis suffisant et à toute heure convenable, procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels s’il a des motifs raisonnables de croire que celle-ci a contrevenu à l’une des dispositions des sections 1 ou 1.1 ou n’a pas mis en œuvre une recommandation énoncée dans l’annexe 1; il a, à cette fin, le pouvoir : a) d’assigner et de contraindre des témoins à comparaître devant lui, à déposer verbalement ou par écrit sous la foi du serment et à produire les documents ou pièces qu’il juge nécessaires pour procéder à la vérification, de la même façon et dans la même mesure qu’une cour supérieure d’archives; b) de faire prêter serment; c) de recevoir les éléments de preuve ou les renseignements — fournis notamment par déclaration verbale ou écrite sous serment — qu’il estime indiqués, indépendamment de leur admissibilité devant les tribunaux; d) de visiter, à toute heure convenable, tout local — autre qu’une maison d’habitation — occupé par l’organisation, à condition de satisfaire aux normes de sécurité établies par elle pour ce local; e) de s’entretenir en privé avec toute personne se trouvant dans le local visé à l’alinéa d) et d’y mener les enquêtes qu’il estime nécessaires; f) d’examiner ou de se faire remettre des copies ou des extraits des documents contenant des éléments utiles à la vérification et trouvés dans le local visé à l’alinéa d). Delegation Délégation (2) The Commissioner may delegate any of the powers set out in subsection (1). (2) Il peut déléguer les pouvoirs que le paragraphe (1) lui confère. Current to January 8, 2020 Last amended on June 21, 2019 29 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 3 Audits SECTION 3 Vérifications Sections 18-20 Articles 18-20 Return of records Renvoi des documents (3) The Commissioner or the delegate shall return to a person or an organization any record or thing they pro- duced under this section within ten days after they make a request to the Commissioner or the delegate, but noth- ing precludes the Commissioner or the delegate from again requiring that the record or thing be produced. (3) Le commissaire ou son délégué renvoie les documents ou pièces demandés en vertu du présent article aux personnes ou organisations qui les ont produits dans les dix jours suivant la requête que celles- ci lui présentent à cette fin, mais rien n’empêche le commissaire ou son délégué d’en réclamer une nouvelle production. Certificate of delegation Certificat (4) Any person to whom powers set out in subsection (1) are delegated shall be given a certificate of the delegation and the delegate shall produce the certificate, on request, to the person in charge of any premises to be entered un- der paragraph (1)(d). 2000, c. 5, s. 18; 2015, c. 32, s. 16. (4) Chaque personne à qui les pouvoirs visés au paragraphe (1) sont délégués reçoit un certificat attestant sa qualité, qu’il présente, sur demande, au responsable du local qui sera visité en application de l’alinéa (1)d). 2000, ch. 5, art. 18; 2015, ch. 32, art. 16. Report of findings and recommendations Rapport des conclusions et recommandations du commissaire 19 (1) After an audit, the Commissioner shall provide the audited organization with a report that contains the findings of the audit and any recommendations that the Commissioner considers appropriate. 19 (1) À l’issue de la vérification, le commissaire adresse à l’organisation en cause un rapport où il présente ses conclusions ainsi que les recommandations qu’il juge indiquées. Reports may be included in annual reports Incorporation du rapport (2) The report may be included in a report made under section 25. (2) Ce rapport peut être incorporé dans le rapport visé à l’article 25. DIVISION 4 SECTION 4 General Dispositions générales Confidentiality Secret 20 (1) Subject to subsections (2) to (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) and 23.1(1) and section 25, the Com- missioner or any person acting on behalf or under the di- rection of the Commissioner shall not disclose any infor- mation that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part other than those re- ferred to in subsection 10.1(1) or 10.3(2). 20 (1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2). Confidentiality — reports and records Secret — déclarations et registre (1.1) Subject to subsections (2) to (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) and 23.1(1) and section 25, the Com- missioner or any person acting on behalf or under the di- rection of the Commissioner shall not disclose any infor- mation contained in a report made under subsection 10.1(1) or in a record obtained under subsection 10.3(2). (1.1) Sous réserve des paragraphes (2) à (7), 12(3), 12.2(3), 13(3), 19(1), 23(3) et 23.1(1) et de l’article 25, le commissaire et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements figurant dans une déclaration obtenue en application du paragraphe 10.1(1) ou dans un registre obtenu en application du paragraphe 10.3(2). Current to January 8, 2020 Last amended on June 21, 2019 30 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Section 20 Article 20 Public interest Intérêt public (2) The Commissioner may, if the Commissioner consid- ers that it is in the public interest to do so, make public any information that comes to his or her knowledge in the performance or exercise of any of his or her duties or powers under this Part. (2) Le commissaire peut rendre publique toute information dont il prend connaissance par suite de l’exercice des attributions que la présente partie lui confère, s’il estime que cela est dans l’intérêt public. Disclosure of necessary information Communication de renseignements nécessaires (3) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, information that in the Com- missioner’s opinion is necessary to (a) conduct an investigation or audit under this Part; or (b) establish the grounds for findings and recommen- dations contained in any report under this Part. (3) Il peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — les renseignements qui, à son avis, sont nécessaires pour : a) examiner une plainte ou procéder à une vérification en vertu de la présente partie; b) motiver les conclusions et recommandations contenues dans les rapports prévus par la présente partie. Disclosure in the course of proceedings Communication dans le cadre de certaines procédures (4) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, information in the course of (a) a prosecution for an offence under section 28; (b) a prosecution for an offence under section 132 of the Criminal Code (perjury) in respect of a statement made under this Part; (c) a hearing before the Court under this Part; (d) an appeal from a decision of the Court; or (e) a judicial review in relation to the performance or exercise of any of the Commissioner’s duties or powers under this Part. (4) Il peut également communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — des renseignements : a) dans le cadre des procédures intentées pour l’infraction visée à l’article 28; b) dans le cadre des procédures intentées pour l’infraction visée à l’article 132 du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la présente partie; c) lors d’une audience de la Cour prévue par cette partie; d) lors de l’appel de la décision rendue par la Cour; e) dans le cadre d’un contrôle judiciaire à l’égard de l’exercice des attributions que la présente partie confère au commissaire. Disclosure of offence authorized Dénonciation autorisée (5) The Commissioner may disclose to the Attorney Gen- eral of Canada or of a province, as the case may be, infor- mation relating to the commission of an offence against any law of Canada or a province on the part of an officer or employee of an organization if, in the Commissioner’s opinion, there is evidence of an offence. (5) Dans les cas où, à son avis, il existe des éléments de preuve touchant la perpétration d’infractions au droit fédéral ou provincial par un cadre ou employé d’une organisation, le commissaire peut faire part au procureur général du Canada ou d’une province, selon le cas, des renseignements qu’il détient à cet égard. Disclosure of breach of security safeguards Communication — atteinte aux mesures de sécurité (6) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose to a government institution or a part of a government institution, any information (6) Le commissaire peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — tout renseignement figurant dans une déclaration obtenue en application du paragraphe 10.1(1) Current to January 8, 2020 Last amended on June 21, 2019 31 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 20-22 Articles 20-22 contained in a report made under subsection 10.1(1) or in a record obtained under subsection 10.3(2) if the Com- missioner has reasonable grounds to believe that the in- formation could be useful in the investigation of a contra- vention of the laws of Canada or a province that has been, is being or is about to be committed. ou dans un registre obtenu en application du paragraphe 10.3(2) à une institution gouvernementale ou à une subdivision d’une telle institution, si le commissaire a des motifs raisonnables de croire qu’il pourrait être utile à une enquête sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être. Disclosure Communication de renseignements (7) The Commissioner may disclose information, or may authorize any person acting on behalf or under the direc- tion of the Commissioner to disclose information, in the course of proceedings in which the Commissioner has in- tervened under paragraph 50(c) of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or in accordance with subsection 58(3) or 60(1) of that Act. 2000, c. 5, s. 20; 2010, c. 23, s. 86; 2015, c. 32, ss. 17, 26. (7) Le commissaire peut communiquer — ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer — des renseignements soit dans le cadre des procédures où il est intervenu au titre de l’alinéa 50c) de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, soit en conformité avec les paragraphes 58(3) ou 60(1) de cette loi. 2000, ch. 5, art. 20; 2010, ch. 23, art. 86; 2015, ch. 32, art. 17 et 26. Not competent witness Qualité pour témoigner 21 The Commissioner or person acting on behalf or un- der the direction of the Commissioner is not a competent witness in respect of any matter that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part in any proceeding other than (a) a prosecution for an offence under section 28; (b) a prosecution for an offence under section 132 of the Criminal Code (perjury) in respect of a statement made under this Part; (c) a hearing before the Court under this Part; or (d) an appeal from a decision of the Court. 21 En ce qui concerne les questions venues à leur connaissance par suite de l’exercice des attributions que la présente partie confère au commissaire, le commissaire et les personnes agissant en son nom ou sous son autorité n’ont qualité pour témoigner que dans le cadre des procédures intentées pour l’infraction visée à l’article 28 ou pour l’infraction visée à l’article 132 du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la présente partie, lors d’une audience de la Cour prévue par cette partie ou lors de l’appel de la décision rendue par celle-ci. Protection of Commissioner Immunité du commissaire 22 (1) No criminal or civil proceedings lie against the Commissioner, or against any person acting on behalf or under the direction of the Commissioner, for anything done, reported or said in good faith as a result of the per- formance or exercise or purported performance or exer- cise of any duty or power of the Commissioner under this Part. 22 (1) Le commissaire et les personnes agissant en son nom ou sous son autorité bénéficient de l’immunité en matière civile ou pénale pour les actes accomplis, les rapports établis et les paroles prononcées de bonne foi par suite de l’exercice effectif ou censé tel des attributions que la présente partie confère au commissaire. Current to January 8, 2020 Last amended on June 21, 2019 32 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 22-23 Articles 22-23 Defamation Diffamation (2) No action lies in defamation with respect to (a) anything said, any information supplied or any record or thing produced in good faith in the course of an investigation or audit carried out by or on behalf of the Commissioner under this Part; and (b) any report made in good faith by the Commission- er under this Part and any fair and accurate account of the report made in good faith for the purpose of news reporting. 2000, c. 5, s. 22; 2015, c. 32, s. 18. (2) Ne peuvent donner lieu à poursuites pour diffamation : a) les paroles prononcées, les renseignements fournis ou les documents ou pièces produits de bonne foi au cours d’une vérification ou de l’examen d’une plainte effectué par le commissaire ou en son nom dans le cadre de la présente partie; b) les rapports établis de bonne foi par le commissaire dans le cadre de la présente partie, ainsi que les relations qui en sont faites de bonne foi pour des comptes rendus d’événements d’actualités. 2000, ch. 5, art. 22; 2015, ch. 32, art. 18. Consultations with provinces Consultation 23 (1) If the Commissioner considers it appropriate to do so, or on the request of an interested person, the Com- missioner may, in order to ensure that personal informa- tion is protected in as consistent a manner as possible, consult with any person who, under provincial legisla- tion, has functions and duties similar to those of the Commissioner with respect to the protection of such in- formation. 23 (1) S’il l’estime indiqué ou si tout intéressé le lui demande, le commissaire peut, pour veiller à ce que les renseignements personnels soient protégés de la façon la plus uniforme possible, consulter toute personne ayant, au titre d’une loi provinciale, des attributions semblables à celles du commissaire en matière de protection de tels renseignements. Agreements or arrangements with provinces Accords ou ententes avec les provinces (2) The Commissioner may enter into agreements or ar- rangements with any person referred to in subsection (1) in order to (a) coordinate the activities of their offices and the of- fice of the Commissioner, including to provide for mechanisms for the handling of any complaint in which they are mutually interested; (b) undertake and publish research or develop and publish guidelines or other instruments related to the protection of personal information; (c) develop model contracts or other instruments for the protection of personal information that is collect- ed, used or disclosed interprovincially or internation- ally; and (d) develop procedures for sharing information re- ferred to in subsection (3). (2) Il peut conclure des accords ou ententes avec toute personne visée au paragraphe (1) en vue : a) de coordonner l’activité de leurs bureaux respectifs, notamment de prévoir des mécanismes pour instruire les plaintes dans lesquelles ils ont un intérêt mutuel; b) d’effectuer des recherches ou d’élaborer des lignes directrices ou d’autres documents en matière de protection des renseignements personnels et de publier ces lignes directrices ou autres documents ou les résultats de ces recherches; c) d’élaborer des contrats ou autres documents types portant sur la protection des renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre; d) d’élaborer la procédure à suivre pour la communication des renseignements au titre du paragraphe (3). Sharing of information with provinces Communication de renseignements aux provinces (3) The Commissioner may, in accordance with any pro- cedure established under paragraph (2)(d), share infor- mation with any person referred to in subsection (1), if the information (3) Le commissaire peut, conformément à toute procédure élaborée au titre de l’alinéa (2)d), communiquer des renseignements à toute personne visée au paragraphe (1) dans le cas où ceux-ci : Current to January 8, 2020 Last amended on June 21, 2019 33 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 23-23.1 Articles 23-23.1 (a) could be relevant to an ongoing or potential inves- tigation of a complaint or audit under this Part or provincial legislation that has objectives that are simi- lar to this Part; or (b) could assist the Commissioner or that person in the exercise of their functions and duties with respect to the protection of personal information. a) soit pourraient être utiles à l’examen d’une plainte ou à une vérification — en cours ou éventuelle — au titre de la présente partie ou d’une loi provinciale dont les objectifs sont similaires à ceux de la présente loi; b) soit pourraient aider la personne ou le commissaire à exercer ses attributions en matière de protection des renseignements personnels. Purpose and confidentiality Fins d’utilisation et confidentialité (4) The procedures referred to in paragraph (2)(d) shall (a) restrict the use of the information to the purpose for which it was originally shared; and (b) stipulate that the information be treated in a con- fidential manner and not be further disclosed without the express consent of the Commissioner. 2000, c. 5, s. 23; 2010, c. 23, s. 87. (4) La procédure visée à l’alinéa (2)d) : a) précise que les renseignements ne peuvent être utilisés qu’aux fins auxquelles ils ont été communiqués; b) prévoit que les renseignements seront traités de manière confidentielle et ne seront pas autrement communiqués sans le consentement exprès du commissaire. 2000, ch. 5, art. 23; 2010, ch. 23, art. 87. Disclosure of information to foreign state Communication de renseignements à des États étrangers 23.1 (1) Subject to subsection (3), the Commissioner may, in accordance with any procedure established under paragraph (4)(b), disclose information referred to in sub- section (2) that has come to the Commissioner’s knowl- edge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part to any person or body who, under the legislation of a for- eign state, has (a) functions and duties similar to those of the Com- missioner with respect to the protection of personal information; or (b) responsibilities that relate to conduct that is sub- stantially similar to conduct that would be in contra- vention of this Part. 23.1 (1) Sous réserve du paragraphe (3), le commissaire peut, conformément à toute procédure établie au titre de l’alinéa (4)b), communiquer les renseignements mentionnés au paragraphe (2) dont il a pris connaissance à la suite de l’exercice des attributions que lui confère la présente partie à toute personne ou à tout organisme qui, au titre d’une loi d’un État étranger : a) soit a des attributions semblables à celles du commissaire en matière de protection de renseignements personnels; b) soit est chargé de réprimer des comportements essentiellement semblables à ceux qui constituent des contraventions au titre de la présente partie. Information that can be shared Renseignements (2) The information that the Commissioner is authorized to disclose under subsection (1) is information that the Commissioner believes (a) would be relevant to an ongoing or potential inves- tigation or proceeding in respect of a contravention of the laws of a foreign state that address conduct that is substantially similar to conduct that would be in con- travention of this Part; or (b) is necessary to disclose in order to obtain from the person or body information that may be useful to an ongoing or potential investigation or audit under this Part. (2) Les renseignements que le commissaire est autorisé à communiquer au titre du paragraphe (1) sont les suivants : a) ceux qui, selon lui, pourraient être utiles à une enquête ou à une poursuite — en cours ou éventuelle — relative à une contravention à une loi de l’État étranger visant des comportements essentiellement semblables à ceux qui constituent des contraventions au titre de la présente partie; b) ceux dont il croit que la communication est nécessaire afin d’obtenir de la personne ou de l’organisme des renseignements qui pourraient être Current to January 8, 2020 Last amended on June 21, 2019 34 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 23.1-24 Articles 23.1-24 utiles à l’examen d’une plainte ou à une vérification — en cours ou éventuelle — au titre de la présente partie. Written arrangements Ententes écrites (3) The Commissioner may only disclose information to the person or body referred to in subsection (1) if the Commissioner has entered into a written arrangement with that person or body that (a) limits the information to be disclosed to that which is necessary for the purpose set out in para- graph (2)(a) or (b); (b) restricts the use of the information to the purpose for which it was originally shared; and (c) stipulates that the information be treated in a con- fidential manner and not be further disclosed without the express consent of the Commissioner. (3) Le commissaire ne peut communiquer les renseignements à la personne ou à l’organisme visé au paragraphe (1) que s’il a conclu avec la personne ou l’organisme une entente écrite qui, à la fois : a) précise que seuls les renseignements nécessaires aux fins prévues aux alinéas (2)a) et b) peuvent être communiqués; b) précise que les renseignements ne peuvent être utilisés qu’aux fins auxquelles ils ont été communiqués; c) prévoit que les renseignements seront traités de manière confidentielle et ne seront pas autrement communiqués sans le consentement exprès du commissaire. Arrangements Conclusion d’ententes (4) The Commissioner may enter into arrangements with one or more persons or bodies referred to in subsection (1) in order to (a) provide for cooperation with respect to the en- forcement of laws protecting personal information, in- cluding the sharing of information referred to in sub- section (2) and the provision of mechanisms for the handling of any complaint in which they are mutually interested; (b) establish procedures for sharing information re- ferred to in subsection (2); (c) develop recommendations, resolutions, rules, standards or other instruments with respect to the protection of personal information; (d) undertake and publish research related to the pro- tection of personal information; (e) share knowledge and expertise by different means, including through staff exchanges; or (f) identify issues of mutual interest and determine priorities pertaining to the protection of personal in- formation. 2010, c. 23, s. 87. (4) Le commissaire peut conclure des ententes avec toute personne ou tout organisme visés au paragraphe (1), ou avec plusieurs d’entre eux, en vue : a) d’assurer une coopération en matière de contrôle d’application des lois portant sur la protection des renseignements personnels, notamment la communication des renseignements visés au paragraphe (2) et la mise en place de mécanismes pour l’instruction des plaintes dans lesquelles ils ont un intérêt mutuel; b) d’établir la procédure à suivre pour communiquer les renseignements mentionnés au paragraphe (2); c) d’élaborer des documents — recommandations, résolutions, règles, normes ou autres — relativement à la protection des renseignements personnels; d) d’effectuer des recherches en matière de protection des renseignements personnels et d’en publier les résultats; e) de partager les connaissances et l’expertise, notamment par l’échange de personnel; f) de préciser des questions d’intérêt commun et de fixer des priorités en matière de protection des renseignements personnels. 2010, ch. 23, art. 87. Promoting the purposes of the Part Promotion de l’objet de la partie 24 The Commissioner shall 24 Le commissaire : Current to January 8, 2020 Last amended on June 21, 2019 35 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 24-26 Articles 24-26 (a) develop and conduct information programs to fos- ter public understanding, and recognition of the pur- poses, of this Part; (b) undertake and publish research that is related to the protection of personal information, including any such research that is requested by the Minister of In- dustry; (c) encourage organizations to develop detailed poli- cies and practices, including organizational codes of practice, to comply with Divisions 1 and 1.1; and (d) promote, by any means that the Commissioner considers appropriate, the purposes of this Part. 2000, c. 5, s. 24; 2015, c. 32, s. 19. a) offre au grand public des programmes d’information destinés à lui faire mieux comprendre la présente partie et son objet; b) fait des recherches liées à la protection des renseignements personnels — et en publie les résultats —, notamment toutes telles recherches que le ministre de l’Industrie demande; c) encourage les organisations à élaborer des politiques détaillées — notamment des codes de pratiques — en vue de se conformer aux sections 1 et 1.1; d) prend toute autre mesure indiquée pour la promotion de l’objet de la présente partie. 2000, ch. 5, art. 24; 2015, ch. 32, art. 19. Annual report Rapport annuel 25 (1) The Commissioner shall, within three months af- ter the end of each financial year, submit to Parliament a report concerning the application of this Part, the extent to which the provinces have enacted legislation that is substantially similar to this Part and the application of any such legislation. 25 (1) Dans les trois mois suivant la fin de chaque exercice, le commissaire dépose devant le Parlement son rapport sur l’application de la présente partie, sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à celle-ci et sur l’application de ces lois. Consultation Consultation (2) Before preparing the report, the Commissioner shall consult with those persons in the provinces who, in the Commissioner’s opinion, are in a position to assist the Commissioner in making a report respecting personal in- formation that is collected, used or disclosed interprovin- cially or internationally. 2000, c. 5, s. 25; 2015, c. 32, s. 20. (2) Avant de rédiger son rapport, le commissaire consulte les personnes dans les provinces qui, à son avis, sont en mesure de l’aider à faire un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre. 2000, ch. 5, art. 25; 2015, ch. 32, art. 20. Regulations Règlements 26 (1) The Governor in Council may make regulations for carrying out the purposes and provisions of this Part, including regulations (a) specifying, by name or by class, what is a govern- ment institution or part of a government institution for the purposes of any provision of this Part; (a.01) [Repealed, 2015, c. 32, s. 21] (a.1) specifying information or classes of information for the purpose of paragraph 7(1)(d), (2)(c.1) or (3)(h.1); (b) specifying information to be kept and maintained under subsection 10.3(1); and (c) prescribing anything that by this Part is to be pre- scribed. 26 (1) Le gouverneur en conseil peut, par règlement, prendre toute mesure d’application de la présente partie, notamment : a) préciser, pour l’application de toute disposition de la présente partie, les institutions gouvernementales et les subdivisions d’institutions gouvernementales, à titre particulier ou par catégorie; a.01) [Abrogé, 2015, ch. 32, art. 21] a.1) préciser tout renseignement ou toute catégorie de renseignements pour l’application des alinéas 7(1)d), (2)c.1) ou (3)h.1); b) préciser les renseignements qui doivent être tenus et conservés au titre du paragraphe 10.3(1); c) prendre toute mesure d’ordre réglementaire prévue par la présente partie. Current to January 8, 2020 Last amended on June 21, 2019 36 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 26-27.1 Articles 26-27.1 Orders Décret (2) The Governor in Council may, by order, (a) provide that this Part is binding on any agent of Her Majesty in right of Canada to which the Privacy Act does not apply; (b) if satisfied that legislation of a province that is substantially similar to this Part applies to an organi- zation, a class of organizations, an activity or a class of activities, exempt the organization, activity or class from the application of this Part in respect of the col- lection, use or disclosure of personal information that occurs within that province; and (c) amend Schedule 4. 2000, c. 5, s. 26; 2015, c. 32, s. 21, c. 36, s. 165. (2) Il peut par décret : a) prévoir que la présente partie lie tout mandataire de Sa Majesté du chef du Canada qui n’est pas assujetti à la Loi sur la protection des renseignements personnels; b) s’il est convaincu qu’une loi provinciale essentiellement similaire à la présente partie s’applique à une organisation — ou catégorie d’organisations — ou à une activité — ou catégorie d’activités —, exclure l’organisation, l’activité ou la catégorie de l’application de la présente partie à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur de la province en cause; c) modifier l’annexe 4. 2000, ch. 5, art. 26; 2015, ch. 32, art. 21, ch. 36, art. 165. Whistleblowing Dénonciation 27 (1) Any person who has reasonable grounds to be- lieve that a person has contravened or intends to contra- vene a provision of Division 1 or 1.1 may notify the Com- missioner of the particulars of the matter and may request that their identity be kept confidential with re- spect to the notification. 27 (1) Toute personne qui a des motifs raisonnables de croire qu’une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir, peut notifier au commissaire des détails sur la question et exiger l’anonymat relativement à cette dénonciation. Confidentiality Caractère confidentiel (2) The Commissioner shall keep confidential the identi- ty of a person who has notified the Commissioner under subsection (1) and to whom an assurance of confidential- ity has been provided by the Commissioner. 2000, c. 5, s. 27; 2015, c. 32, s. 22. (2) Le commissaire est tenu de garder confidentielle l’identité du dénonciateur auquel il donne l’assurance de l’anonymat. 2000, ch. 5, art. 27; 2015, ch. 32, art. 22. Prohibition Interdiction 27.1 (1) No employer shall dismiss, suspend, demote, discipline, harass or otherwise disadvantage an employ- ee, or deny an employee a benefit of employment, by rea- son that (a) the employee, acting in good faith and on the basis of reasonable belief, has disclosed to the Commission- er that the employer or any other person has contra- vened or intends to contravene a provision of Division 1 or 1.1; (b) the employee, acting in good faith and on the basis of reasonable belief, has refused or stated an intention of refusing to do anything that is a contravention of a provision of Division 1 or 1.1; (c) the employee, acting in good faith and on the basis of reasonable belief, has done or stated an intention of 27.1 (1) Il est interdit à l’employeur de congédier un employé, de le suspendre, de le rétrograder, de le punir, de le harceler ou de lui faire subir tout autre inconvénient, ou de le priver d’un avantage lié à son emploi parce que : a) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a informé le commissaire que l’employeur ou une autre personne a contrevenu à l’une des dispositions des sections 1 ou 1.1, ou a l’intention d’y contrevenir; b) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a refusé ou a fait part de son intention de refuser d’accomplir un acte qui constitue une contravention à l’une des dispositions des sections 1 ou 1.1; Current to January 8, 2020 Last amended on June 21, 2019 37 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 4 General SECTION 4 Dispositions générales Sections 27.1-29 Articles 27.1-29 doing anything that is required to be done in order that a provision of Division 1 or 1.1 not be contra- vened; or (d) the employer believes that the employee will do anything referred to in paragraph (a), (b) or (c). c) l’employé, agissant de bonne foi et se fondant sur des motifs raisonnables, a accompli ou a fait part de son intention d’accomplir un acte nécessaire pour empêcher la contravention à l’une des dispositions des sections 1 ou 1.1; d) l’employeur croit que l’employé accomplira un des actes prévus aux alinéas a), b) ou c). Saving Précision (2) Nothing in this section impairs any right of an em- ployee either at law or under an employment contract or collective agreement. (2) Le présent article n’a pas pour effet de restreindre les droits d’un employé, que ce soit en général ou dans le cadre d’un contrat de travail ou d’une convention collective. Definitions Définitions (3) In this section, employee includes an independent contractor and employer has a corresponding meaning. 2000, c. 5, s. 27.1; 2015, c. 32, s. 23. (3) Dans le présent article, employé s’entend notamment d’un travailleur autonome et employeur a un sens correspondant. 2000, ch. 5, art. 27.1; 2015, ch. 32, art. 23. Offence and punishment Infraction et peine 28 Every organization that knowingly contravenes sub- section 8(8), section 10.1 or subsection 10.3(1) or 27.1(1) or that obstructs the Commissioner or the Commission- er’s delegate in the investigation of a complaint or in con- ducting an audit is guilty of (a) an offence punishable on summary conviction and liable to a fine not exceeding $10,000; or (b) an indictable offence and liable to a fine not ex- ceeding $100,000. 2000, c. 5, s. 28; 2015, c. 32, s. 24. 28 Quiconque contrevient sciemment au paragraphe 8(8), à l’article 10.1 ou aux paragraphes 10.3(1) ou 27.1(1) ou entrave l’action du commissaire — ou de son délégué — dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt, sur déclaration de culpabilité : a) par procédure sommaire, une amende maximale de 10 000 $; b) par mise en accusation, une amende maximale de 100 000 $. 2000, ch. 5, art. 28; 2015, ch. 32, art. 24. Review of Part by parliamentary committee Examen par un comité parlementaire *29 (1) The administration of this Part shall, every five years after this Part comes into force, be reviewed by the committee of the House of Commons, or of both Houses of Parliament, that may be designated or established by Parliament for that purpose. * [Note: Part 1 in force January 1, 2001, see SI/2000-29.] *29 (1) Le Parlement désigne ou constitue un comité, soit de la Chambre des communes, soit mixte, chargé spécialement de l’examen, tous les cinq ans suivant l’entrée en vigueur de la présente partie, de l’application de celle-ci. * [Note : Partie 1 en vigueur le 1er janvier 2001, voir TR/2000-29.] Review and report Rapport (2) The committee shall undertake a review of the provi- sions and operation of this Part and shall, within a year after the review is undertaken or within any further peri- od that the House of Commons may authorize, submit a report to Parliament that includes a statement of any changes to this Part or its administration that the com- mittee recommends. (2) Le comité examine les dispositions de la présente partie ainsi que les conséquences de son application en vue de la présentation, dans un délai d’un an à compter du début de l’examen ou tout délai supérieur autorisé par la Chambre des communes, d’un rapport au Parlement où seront consignées ses conclusions ainsi que ses recommandations, s’il y a lieu, quant aux modifications de la présente partie ou de ses modalités d’application qui seraient souhaitables. Current to January 8, 2020 Last amended on June 21, 2019 38 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 1 Protection of Personal Information in the Private Sector PARTIE 1 Protection des renseignements personnels dans le secteur privé DIVISION 5 Transitional Provisions SECTION 5 Dispositions transitoires Sections 30-31 Articles 30-31 DIVISION 5 SECTION 5 Transitional Provisions Dispositions transitoires Application Application 30 (1) This Part does not apply to any organization in respect of personal information that it collects, uses or discloses within a province whose legislature has the power to regulate the collection, use or disclosure of the information, unless the organization does it in connec- tion with the operation of a federal work, undertaking or business or the organization discloses the information outside the province for consideration. 30 (1) La présente partie ne s’applique pas à une organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique dans une province dont la législature a le pouvoir de régir la collecte, l’utilisation ou la communication de tels renseignements, sauf si elle le fait dans le cadre d’une entreprise fédérale ou qu’elle communique ces renseignements pour contrepartie à l’extérieur de cette province. Application Application (1.1) This Part does not apply to any organization in re- spect of personal health information that it collects, uses or discloses. (1.1) La présente partie ne s’applique pas à une organisation à l’égard des renseignements personnels sur la santé qu’elle recueille, utilise ou communique. Expiry date Cessation d’effet *(2) Subsection (1) ceases to have effect three years after the day on which this section comes into force. * [Note: Section 30 in force January 1, 2001, see SI/2000-29.] *(2) Le paragraphe (1) cesse d’avoir effet trois ans après l’entrée en vigueur du présent article. * [Note : Article 30 en vigueur le 1er janvier 2001, voir TR/ 2000-29.] Expiry date Cessation d’effet *(2.1) Subsection (1.1) ceases to have effect one year af- ter the day on which this section comes into force. * [Note: Section 30 in force January 1, 2001, see SI/2000-29.] *(2.1) Le paragraphe (1.1) cesse d’avoir effet un an après l’entrée en vigueur du présent article. * [Note : Article 30 en vigueur le 1er janvier 2001, voir TR/ 2000-29.] PART 2 PARTIE 2 Electronic Documents Documents électroniques Interpretation Définitions Definitions Définitions 31 (1) The definitions in this subsection apply in this Part. data means representations of information or concepts, in any form. (données) electronic document means data that is recorded or stored on any medium in or by a computer system or oth- er similar device and that can be read or perceived by a person or a computer system or other similar device. It includes a display, printout or other output of that data. (document électronique) 31 (1) Les définitions qui suivent s’appliquent à la présente partie. autorité responsable S’agissant d’une disposition d’un texte législatif, s’entend de ce qui suit : a) si le texte législatif est une loi fédérale, le ministre responsable de la disposition; b) si le texte législatif est un texte pris sous le régime d’une loi fédérale ou en vertu d’une prérogative royale, la personne ou l’organisme qui l’a pris; Current to January 8, 2020 Last amended on June 21, 2019 39 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Interpretation Définitions Sections 31-32 Articles 31-32 electronic signature means a signature that consists of one or more letters, characters, numbers or other sym- bols in digital form incorporated in, attached to or associ- ated with an electronic document. (signature électronique) federal law means an Act of Parliament or an instru- ment, regardless of its name, issued, made or established under an Act of Parliament or a prerogative of the Crown, other than an instrument issued, made or established un- der the Yukon Act, the Northwest Territories Act or the Nunavut Act. (texte législatif) responsible authority, in respect of a provision of a fed- eral law, means (a) if the federal law is an Act of Parliament, the min- ister responsible for that provision; (b) if the federal law is an instrument issued, made or established under an Act of Parliament or a preroga- tive of the Crown, the person or body who issued, made or established the instrument; or (c) despite paragraph (a) or (b), the person or body designated by the Governor in Council under subsec- tion (2). (autorité responsable) secure electronic signature means an electronic signa- ture that results from the application of a technology or process prescribed by regulations made under subsection 48(1). (signature électronique sécurisée) c) malgré les alinéas a) et b), toute personne ou tout organisme désigné par le gouverneur en conseil en vertu du paragraphe (2). (responsible authority) document électronique Ensemble de données enregistrées ou mises en mémoire sur quelque support que ce soit par un système informatique ou un dispositif semblable et qui peuvent être lues ou perçues par une personne ou par un tel système ou dispositif. Sont également visés tout affichage et toute sortie imprimée ou autre de ces données. (electronic document) données Toute forme de représentation d’informations ou de notions. (data) signature électronique Signature constituée d’une ou de plusieurs lettres, ou d’un ou de plusieurs caractères, nombres ou autres symboles sous forme numérique incorporée, jointe ou associée à un document électronique. (electronic signature) signature électronique sécurisée Signature électronique qui résulte de l’application de toute technologie ou de tout procédé prévu par règlement pris en vertu du paragraphe 48(1). (secure electronic signa- ture) texte législatif Loi fédérale ou tout texte, quelle que soit son appellation, pris sous le régime d’une loi fédérale ou en vertu d’une prérogative royale, à l’exception d’un texte pris sous le régime de la Loi sur le Yukon, de la Loi sur les Territoires du Nord-Ouest ou de la Loi sur le Nunavut. (federal law) Designation Désignation (2) The Governor in Council may, by order, for the pur- poses of this Part, designate any person, including any member of the Queen’s Privy Council for Canada, or body to be the responsible authority in respect of a provision of a federal law if the Governor in Council is of the opin- ion that it is appropriate to do so in the circumstances. (2) Le gouverneur en conseil peut par décret, pour l’application de la présente partie, désigner toute personne, notamment un membre du Conseil privé de la Reine pour le Canada, ou tout organisme comme autorité responsable d’une disposition d’un texte législatif, s’il est d’avis que les circonstances le justifient. Purpose Objet Purpose Objet 32 The purpose of this Part is to provide for the use of electronic alternatives in the manner provided for in this Part where federal laws contemplate the use of paper to record or communicate information or transactions. 32 La présente partie a pour objet de prévoir l’utilisation de moyens électroniques, de la manière prévue dans la présente partie, dans les cas où les textes législatifs envisagent l’utilisation d’un support papier pour enregistrer ou communiquer de l’information ou des transactions. Current to January 8, 2020 Last amended on June 21, 2019 40 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Electronic Alternatives Moyens électroniques Sections 33-35 Articles 33-35 Electronic Alternatives Moyens électroniques Collection, storage, etc. Collecte, mise en mémoire, etc. 33 A minister of the Crown and any department, branch, office, board, agency, commission, corporation or body for the administration of affairs of which a minister of the Crown is accountable to the Parliament of Canada may use electronic means to create, collect, receive, store, transfer, distribute, publish or otherwise deal with docu- ments or information whenever a federal law does not specify the manner of doing so. 33 Tout ministre, ministère, direction, bureau, conseil, commission, office, service, personne morale ou autre organisme dont un ministre est responsable devant le Parlement peut faire usage d’un moyen électronique pour créer, recueillir, recevoir, mettre en mémoire, transférer, diffuser, publier ou traiter de quelque autre façon des documents ou de l’information, si aucun moyen particulier n’est prévu à l’égard de ces actes par un texte législatif. Electronic payment Paiements par voie électronique 34 A payment that is required to be made to the Govern- ment of Canada may be made in electronic form in any manner specified by the Receiver General. 34 Tout paiement qui doit être remis au gouvernement du Canada peut être fait sous forme électronique, de la manière que le receveur général précise. Electronic version of statutory form Version électronique des formulaires d’origine législative 35 (1) If a provision of an Act of Parliament establishes a form, the responsible authority in respect of that provi- sion may make regulations respecting an electronic form that is substantially the same as the form established in the provision, and the electronic form may be used for the same purposes as the form established in the provi- sion. 35 (1) L’autorité responsable, à l’égard de toute disposition d’une loi fédérale dans laquelle figure un formulaire, peut prendre des règlements prévoyant une version électronique essentiellement semblable, qui peut être utilisée aux mêmes fins que le formulaire figurant dans la disposition. Statutory manner of filing documents Mode de dépôt électronique d’origine législative (2) If a non-electronic manner of filing a document is set out in a provision of an Act of Parliament, the responsi- ble authority in respect of that provision may make regu- lations respecting the filing of an electronic version of the document, and an electronic version of the document filed in accordance with those regulations is to be consid- ered as a document filed in accordance with the provi- sion. (2) L’autorité responsable, à l’égard de toute disposition d’une loi fédérale qui prévoit un mode de dépôt non électronique d’un document, peut prendre des règlements prévoyant le dépôt d’une version électronique du document. La version électronique du document déposée conformément à ces règlements est assimilée au document déposé conformément à la disposition. Statutory manner of submitting information Mode de transmission de l’information d’origine législative (3) If a non-electronic manner of submitting information is set out in a provision of an Act of Parliament, the re- sponsible authority in respect of that provision may make regulations respecting the manner of submitting the in- formation using electronic means, and information sub- mitted in accordance with those regulations is to be con- sidered as information submitted in accordance with the provision. (3) L’autorité responsable, à l’égard de toute disposition d’une loi fédérale qui prévoit un mode de transmission non électronique de l’information, peut prendre des règlements en prévoyant un mode de transmission électronique. L’information transmise conformément à ces règlements est assimilée à l’information transmise conformément à la disposition. Authority to prescribe form, etc. Pouvoir de prescrire des formulaires (4) The authority under a federal law to issue, prescribe or in any other manner establish a form, or to establish the manner of filing a document or submitting (4) Le pouvoir conféré par un texte législatif de publier, de prescrire ou d’établir un formulaire, ou d’établir un mode de dépôt d’un document ou un mode de Current to January 8, 2020 Last amended on June 21, 2019 41 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Electronic Alternatives Moyens électroniques Sections 35-38 Articles 35-38 information, includes the authority to issue, prescribe or establish an electronic form, or to establish an electronic manner of filing the document or submitting informa- tion, as the case may be. transmission de l’information comprend le pouvoir de publier, de prescrire ou d’établir une version électronique du formulaire, ou d’établir un mode de dépôt électronique du document ou un mode de transmission électronique de l’information, selon le cas. Meaning of filing Définition de dépôt (5) In this section, filing includes all manner of submit- ting, regardless of how it is designated. (5) Au présent article, est assimilée au dépôt toute forme de transmission, quelle que soit la désignation de celle-ci. Documents as evidence or proof Preuve par documents 36 A provision of a federal law that provides that a cer- tificate or other document signed by a minister or public officer is proof of any matter or thing, or is admissible in evidence, is, subject to the federal law, satisfied by an electronic version of the certificate or other document if the electronic version is signed by the minister or public officer with that person’s secure electronic signature. 36 La disposition d’un texte législatif qui prévoit qu’un certificat ou autre document portant la signature d’un ministre ou d’un fonctionnaire public fait foi de son contenu et est admissible en preuve vise également, sous réserve du texte législatif, la version électronique du certificat ou autre document si la version électronique porte la signature électronique sécurisée du ministre ou du fonctionnaire public. Retention of documents Conservation des documents 37 A requirement under a provision of a federal law to retain a document for a specified period is satisfied, with respect to an electronic document, by the retention of the electronic document if (a) the electronic document is retained for the speci- fied period in the format in which it was made, sent or received, or in a format that does not change the infor- mation contained in the electronic document that was originally made, sent or received; (b) the information in the electronic document will be readable or perceivable by any person who is entitled to have access to the electronic document or who is authorized to require the production of the electronic document; and (c) if the electronic document was sent or received, any information that identifies the origin and destina- tion of the electronic document and the date and time when it was sent or received is also retained. 37 Dans le cas où une disposition d’un texte législatif exige la conservation d’un document pour une période déterminée, à l’égard d’un document électronique, la conservation du document électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) le document électronique est conservé pour la période déterminée sous la forme dans laquelle il a été fait, envoyé ou reçu, ou sous une forme qui ne modifie en rien l’information qu’il contient; b) cette information sera lisible ou perceptible par quiconque a accès au document électronique et est autorisé à exiger la production de celui-ci; c) si le document électronique est envoyé ou reçu, l’information qui permet de déterminer son origine et sa destination, ainsi que la date et l’heure d’envoi ou de réception, doit être conservée. Notarial act Actes notariés 38 A reference in a provision of a federal law to a docu- ment recognized as a notarial act in the province of Que- bec is deemed to include an electronic version of the doc- ument if (a) the electronic version of the document is recog- nized as a notarial act under the laws of the province of Quebec; and (b) the federal law or the provision is listed in Sched- ule 2 or 3. 38 La mention, dans une disposition d’un texte législatif, d’un document reconnu dans la province de Québec comme un acte notarié vaut également mention de la version électronique du document si les conditions suivantes sont réunies : a) la version électronique du document est reconnue par les lois de la province de Québec comme un acte notarié; Current to January 8, 2020 Last amended on June 21, 2019 42 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Electronic Alternatives Moyens électroniques Sections 38-42 Articles 38-42 b) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3. Seals Sceaux 39 A requirement under a provision of a federal law for a person’s seal is satisfied by a secure electronic signature that identifies the secure electronic signature as the per- son’s seal if the federal law or the provision is listed in Schedule 2 or 3. 39 Dans le cas où une disposition d’un texte législatif exige l’apposition du sceau d’une personne, la signature électronique sécurisée qui s’identifie comme le sceau de cette personne satisfait à l’obligation si la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3. Requirements to provide documents or information Obligation de fournir des documents ou de l’information 40 A provision of a federal law requiring a person to provide another person with a document or information, other than a provision referred to in any of sections 41 to 47, is satisfied by the provision of the document or infor- mation in electronic form if (a) the federal law or the provision is listed in Sched- ule 2 or 3; (b) both persons have agreed to the document or in- formation being provided in electronic form; and (c) the document or information in electronic form will be under the control of the person to whom it is provided and will be readable or perceivable so as to be usable for subsequent reference. 40 Dans le cas où une disposition d’un texte législatif — à l’exclusion d’une disposition visée aux articles 41 à 47 — exige qu’une personne fournisse à une autre un document ou de l’information, la fourniture du document ou de l’information sous forme électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; b) les intéressés ont convenu de la fourniture du document ou de l’information sous forme électronique; c) le document ou l’information sous forme électronique sera mis à la disposition exclusive de la personne à qui le document ou l’information est fourni et sera lisible ou perceptible de façon à pouvoir servir à la consultation ultérieure. Writing requirements Documents sous forme écrite 41 A requirement under a provision of a federal law for a document to be in writing is satisfied by an electronic document if (a) the federal law or the provision is listed in Sched- ule 2 or 3; and (b) the regulations respecting the application of this section to the provision have been complied with. 41 Dans le cas où une disposition d’un texte législatif exige qu’un document soit fait par écrit, un document électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; b) les règlements visant l’application du présent article à la disposition ont été observés. Original documents Documents originaux 42 A requirement under a provision of a federal law for a document to be in its original form is satisfied by an electronic document if (a) the federal law or the provision is listed in Sched- ule 2 or 3; (b) the electronic document contains a secure elec- tronic signature that was added when the electronic 42 Dans le cas où une disposition d’un texte législatif exige l’original d’un document, un document électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; Current to January 8, 2020 Last amended on June 21, 2019 43 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Electronic Alternatives Moyens électroniques Sections 42-45 Articles 42-45 document was first generated in its final form and that can be used to verify that the electronic document has not been changed since that time; and (c) the regulations respecting the application of this section to the provision have been complied with. b) le document électronique comporte une signature électronique sécurisée, ajoutée lors de la production originale du document électronique dans sa forme définitive, pouvant être utilisée pour établir que le document électronique n’a pas été modifié depuis; c) les règlements visant l’application du présent article à la disposition ont été observés. Signatures Signatures 43 Subject to sections 44 to 46, a requirement under a provision of a federal law for a signature is satisfied by an electronic signature if (a) the federal law or the provision is listed in Sched- ule 2 or 3; and (b) the regulations respecting the application of this section to the provision have been complied with. 43 Sous réserve des articles 44 à 46, dans le cas où une disposition d’un texte législatif exige une signature, la signature électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; b) les règlements visant l’application du présent article à la disposition ont été observés. Statements made under oath Déclarations sous serment 44 A statement required to be made under oath or solemn affirmation under a provision of a federal law may be made in electronic form if (a) the person who makes the statement signs it with that person’s secure electronic signature; (b) the person before whom the statement was made, and who is authorized to take statements under oath or solemn affirmation, signs it with that person’s se- cure electronic signature; (c) the federal law or the provision is listed in Sched- ule 2 or 3; and (d) the regulations respecting the application of this section to the provision have been complied with. 44 Dans le cas où une disposition d’un texte législatif exige une déclaration sous serment ou une affirmation solennelle, celle-ci peut être faite sous forme électronique si les conditions suivantes sont réunies : a) l’auteur appose à la déclaration ou à l’affirmation sa signature électronique sécurisée; b) le commissaire aux serments devant qui a été faite la déclaration ou l’affirmation appose à celle-ci sa signature électronique sécurisée; c) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; d) les règlements visant l’application du présent article à la disposition ont été observés. Statements declaring truth, etc. Déclarations 45 A statement required to be made under a provision of a federal law declaring or certifying that any information given by a person making the statement is true, accurate or complete may be made in electronic form if (a) the person signs it with that person’s secure elec- tronic signature; (b) the federal law or the provision is listed in Sched- ule 2 or 3; and (c) the regulations respecting the application of this section to the provision have been complied with. 45 Dans le cas où une disposition d’un texte législatif exige une déclaration attestant la véracité, l’exactitude ou l’intégralité d’une information fournie par le déclarant, la déclaration peut être faite sous forme électronique si les conditions suivantes sont réunies : a) le déclarant y appose sa signature électronique sécurisée; b) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; c) les règlements visant l’application du présent article à la disposition ont été observés. Current to January 8, 2020 Last amended on June 21, 2019 44 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Electronic Alternatives Moyens électroniques Sections 46-48 Articles 46-48 Witnessed signatures Signatures devant témoin 46 A requirement under a provision of a federal law for a signature to be witnessed is satisfied with respect to an electronic document if (a) each signatory and each witness signs the elec- tronic document with their secure electronic signa- ture; (b) the federal law or the provision is listed in Sched- ule 2 or 3; and (c) the regulations respecting the application of this section to the provision have been complied with. 46 Dans le cas où une disposition d’un texte législatif exige la signature d’un témoin, un document électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) chacun des signataires et témoins appose au document électronique sa signature électronique sécurisée; b) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; c) les règlements visant l’application du présent article à la disposition ont été observés. Copies Exemplaires 47 A requirement under a provision of a federal law for one or more copies of a document to be submitted is sat- isfied by the submission of an electronic document if (a) the federal law or the provision is listed in Sched- ule 2 or 3; and (b) the regulations respecting the application of this section to the provision have been complied with. 47 Dans le cas où une disposition d’un texte législatif exige la transmission d’un ou de plusieurs exemplaires d’un document, la transmission d’un document électronique satisfait à l’obligation si les conditions suivantes sont réunies : a) la disposition ou le texte législatif est inscrit sur la liste figurant à l’annexe 2 ou 3; b) les règlements visant l’application du présent article à la disposition ont été observés. Regulations and Orders Règlements et décrets Regulations Règlements 48 (1) Subject to subsection (2), the Governor in Coun- cil may, on the recommendation of the Treasury Board, make regulations prescribing technologies or processes for the purpose of the definition secure electronic sig- nature in subsection 31(1). 48 (1) Sous réserve du paragraphe (2), le gouverneur en conseil peut, sur recommandation du Conseil du Trésor, prendre des règlements pour prévoir des technologies ou des procédés pour l’application de la définition de signature électronique sécurisée au paragraphe 31(1). Characteristics Critères (2) The Governor in Council may prescribe a technology or process only if the Governor in Council is satisfied that it can be proved that (a) the electronic signature resulting from the use by a person of the technology or process is unique to the person; (b) the use of the technology or process by a person to incorporate, attach or associate the person’s electronic signature to an electronic document is under the sole control of the person; (c) the technology or process can be used to identify the person using the technology or process; and (2) Le gouverneur en conseil ne peut prévoir une technologie ou un procédé que s’il est convaincu qu’il peut être établi ce qui suit : a) la signature électronique résultant de l’utilisation de la technologie ou du procédé est propre à l’utilisateur; b) l’utilisation de la technologie ou du procédé pour l’incorporation, l’adjonction ou l’association de la signature électronique de l’utilisateur au document électronique se fait sous la seule responsabilité de ce dernier; c) la technologie ou le procédé permet d’identifier l’utilisateur; Current to January 8, 2020 Last amended on June 21, 2019 45 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Regulations and Orders Règlements et décrets Sections 48-50 Articles 48-50 (d) the electronic signature can be linked with an elec- tronic document in such a way that it can be used to determine whether the electronic document has been changed since the electronic signature was incorporat- ed in, attached to or associated with the electronic document. d) la signature électronique peut être liée au document électronique de façon à permettre de vérifier si le document a été modifié depuis que la signature électronique a été incorporée, jointe ou associée au document. Effect of amendment or repeal Effet d’une disposition modifiée ou abrogée (3) An amendment to or repeal of any provision of a reg- ulation made under subsection (1) that has the effect of removing a prescribed technology or process from the regulation does not, by itself, affect the validity of any electronic signature resulting from the use of that tech- nology or process while it was prescribed. (3) La modification ou l’abrogation d’une disposition d’un règlement pris en vertu du paragraphe (1) qui a pour effet de supprimer une technologie ou un procédé du règlement n’a pas pour effet d’invalider la signature électronique résultant de l’utilisation de la technologie ou du procédé qui était mentionné dans le règlement. Amendment of schedules Modification des annexes 49 For the purposes of sections 38 to 47, the responsible authority in respect of a provision of a federal law may, by order, amend Schedule 2 or 3 by adding or striking out a reference to that federal law or provision. 49 Pour l’application des articles 38 à 47, l’autorité responsable, à l’égard d’une disposition d’un texte législatif, peut par décret modifier l’annexe 2 ou 3 par adjonction ou suppression de la mention du texte législatif ou de la disposition. Regulations Règlements 50 (1) For the purposes of sections 41 to 47, the respon- sible authority in respect of a provision of a federal law may make regulations respecting the application of those sections to the provision. 50 (1) Pour l’application des articles 41 à 47, l’autorité responsable, à l’égard d’une disposition d’un texte législatif, peut prendre des règlements visant l’application de ces articles à la disposition. Contents Contenu (2) Without restricting the generality of subsection (1), the regulations that may be made may include rules re- specting any of the following: (a) the technology or process that must be used to make or send an electronic document; (b) the format of an electronic document; (c) the place where an electronic document is to be made or sent; (d) the time and circumstances when an electronic document is to be considered to be sent or received and the place where it is considered to have been sent or received; (e) the technology or process to be used to make or verify an electronic signature and the manner in which it is to be used; and (f) any matter necessary for the purposes of the appli- cation of sections 41 to 47. (2) Sans que soit limitée la portée générale du paragraphe (1), les règlements qui y sont prévus peuvent comprendre des règles visant notamment : a) la technologie ou le procédé à utiliser pour faire ou envoyer le document électronique; b) le format du document électronique; c) le lieu où le document électronique est fait ou envoyé; d) les délais et les circonstances dans lesquels le document électronique est présumé avoir été envoyé ou reçu, ainsi que le lieu où le document est présumé avoir été envoyé ou reçu; e) la technologie ou le procédé à utiliser pour faire ou vérifier une signature électronique et la manière d’utiliser cette signature; f) tout ce qui est utile à l’application des articles 41 à 47. Current to January 8, 2020 Last amended on June 21, 2019 46 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 2 Electronic Documents PARTIE 2 Documents électroniques Regulations and Orders Règlements et décrets Sections 50-58 and 59 Articles 50-58 et 59 Minimum rules Règles minimales (3) Without restricting the generality of subsection (1), if a provision referred to in any of sections 41 to 47 requires a person to provide another person with a document or information, the rules set out in the regulations respect- ing the application of that section to the provision may be that (a) both persons have agreed to the document or in- formation being provided in electronic form; and (b) the document or information in electronic form will be under the control of the person to whom it is provided and will be readable or perceivable so as to be usable for subsequent reference. (3) Sans que soit limitée la portée générale du paragraphe (1), si une disposition visée à l’un des articles 41 à 47 exige qu’une personne fournisse à une autre un document ou une information, les règles établies dans les règlements visant l’application de cet article à la disposition peuvent exiger que : a) les intéressés aient convenu de la fourniture du document ou de l’information sous forme électronique; b) le document ou l’information sous forme électronique soit mis à la disposition de la personne à qui le document ou l’information est fourni et soit lisible ou perceptible de façon à pouvoir servir à la consultation ultérieure. Incorporation by reference Incorporation par renvoi (4) Regulations may incorporate by reference the stan- dards or specifications of any government, person or or- ganization, either as they read at a fixed time or as they are amended from time to time. (4) Les règlements peuvent incorporer par renvoi une version déterminée dans le temps ou la dernière version modifiée des normes ou spécifications adoptées par des personnes physiques ou morales, de droit privé ou de droit public. Effect of striking out listed provision Effet d’une disposition supprimée de la liste 51 The striking out of a reference to a federal law or pro- vision in Schedule 2 or 3 does not affect the validity of anything done in compliance with any regulation made under section 50 that relates to that federal law or provi- sion while it was listed in that Schedule. 51 La suppression de l’inscription d’une disposition ou d’un texte législatif sur la liste figurant à l’annexe 2 ou 3 n’a pas pour effet d’invalider un acte accompli conformément aux règlements relatifs à cette disposition ou à ce texte législatif, pris en vertu de l’article 50, alors que la disposition ou le texte était inscrit sur la liste figurant à l’annexe. PART 3 PARTIE 3 Amendments to the Canada Evidence Act Modification de la Loi sur la preuve au Canada 52 to 57 [Amendments] 52 à 57 [Modifications] PART 4 PARTIE 4 Amendments to the Statutory Instruments Act Modification de la Loi sur les textes réglementaires 58 and 59 [Amendments] 58 et 59 [Modifications] Current to January 8, 2020 Last amended on June 21, 2019 47 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques PART 5 Amendments to the Statute Revision Act PARTIE 5 Modification de la Loi sur la révision des lois Sections 60 to 71-72 Articles 60 à 71-72 PART 5 PARTIE 5 Amendments to the Statute Revision Act Modification de la Loi sur la révision des lois 60 to 71 [Amendments] 60 à 71 [Modifications] PART 6 PARTIE 6 Coming into Force Entrée en vigueur Coming into force Entrée en vigueur *72 Parts 1 to 5 or any provision of those Parts come into force on a day or days to be fixed by or- der of the Governor in Council made on the rec- ommendation of (a) in the case of Parts 1 and 2 or any provision of those Parts, the Minister of Industry; and (b) in the case of Parts 3 to 5 or any provision of those Parts, the Minister of Justice. * [Note: Parts 2, 3 and 4 in force May 1, 2000; Part 1 in force Jan- uary 1, 2001, see SI/2000-29; Part 5 in force June 1, 2009, see SI/ 2009-42.] *72 Les parties 1 à 5 ou telle de leurs dispositions entrent en vigueur à la date ou aux dates fixées par décret, sur la recommandation : a) dans le cas des parties 1 et 2 ou de telle de leurs dispositions, du ministre de l’Industrie; b) dans le cas des parties 3 à 5 ou de telle de leurs dispositions, du ministre de la Justice. * [Note : Parties 2, 3 et 4 en vigueur le 1er mai 2000; partie 1 en vigueur le 1er janvier 2001, voir TR/2000-29; partie 5 en vigueur le 1er juin 2009, voir TR/2009-42.] Current to January 8, 2020 Last amended on June 21, 2019 48 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 SCHEDULE 1 (Section 5) Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 4.1 Principle 1 — Accountability An organization is responsible for personal information un- der its control and shall designate an individual or individuals who are accountable for the organization’s compliance with the following principles. 4.1.1 Accountability for the organization’s compliance with the principles rests with the designated individual(s), even though other individuals within the organization may be re- sponsible for the day-to-day collection and processing of per- sonal information. In addition, other individuals within the organization may be delegated to act on behalf of the desig- nated individual(s). 4.1.2 The identity of the individual(s) designated by the organiza- tion to oversee the organization’s compliance with the princi- ples shall be made known upon request. 4.1.3 An organization is responsible for personal information in its possession or custody, including information that has been transferred to a third party for processing. The organization shall use contractual or other means to provide a comparable level of protection while the information is being processed by a third party. 4.1.4 Organizations shall implement policies and practices to give effect to the principles, including (a) implementing procedures to protect personal informa- tion; (b) establishing procedures to receive and respond to complaints and inquiries; (c) training staff and communicating to staff information about the organization’s policies and practices; and (d) developing information to explain the organization’s policies and procedures. ANNEXE 1 (article 5) Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 4.1 Premier principe — Responsabilité Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. 4.1.1 Il incombe à la ou aux personnes désignées de s’assurer que l’organisation respecte les principes même si d’autres membres de l’organisation peuvent être chargés de la collecte et du traitement quotidiens des renseignements personnels. D’autres membres de l’organisation peuvent aussi être délégués pour agir au nom de la ou des personnes désignées. 4.1.2 Il doit être possible de connaître sur demande l’identité des personnes que l’organisation a désignées pour s’assurer que les principes sont respectés. 4.1.3 Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. 4.1.4 Les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures. Current to January 8, 2020 Last amended on June 21, 2019 49 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 4.2 Principle 2 — Identifying Purposes The purposes for which personal information is collected shall be identified by the organization at or before the time the information is collected. 4.2.1 The organization shall document the purposes for which per- sonal information is collected in order to comply with the Openness principle (Clause 4.8) and the Individual Access principle (Clause 4.9). 4.2.2 Identifying the purposes for which personal information is collected at or before the time of collection allows organiza- tions to determine the information they need to collect to ful- fil these purposes. The Limiting Collection principle (Clause 4.4) requires an organization to collect only that in- formation necessary for the purposes that have been identi- fied. 4.2.3 The identified purposes should be specified at or before the time of collection to the individual from whom the personal information is collected. Depending upon the way in which the information is collected, this can be done orally or in writ- ing. An application form, for example, may give notice of the purposes. 4.2.4 When personal information that has been collected is to be used for a purpose not previously identified, the new purpose shall be identified prior to use. Unless the new purpose is re- quired by law, the consent of the individual is required before information can be used for that purpose. For an elaboration on consent, please refer to the Consent principle (Clause 4.3). 4.2.5 Persons collecting personal information should be able to ex- plain to individuals the purposes for which the information is being collected. 4.2.6 This principle is linked closely to the Limiting Collection prin- ciple (Clause 4.4) and the Limiting Use, Disclosure, and Re- tention principle (Clause 4.5). 4.3 Principle 3 - Consent The knowledge and consent of the individual are required for the collection, use, or disclosure of personal information, ex- cept where inappropriate. Note: In certain circumstances personal information can be collected, used, or disclosed without the knowledge and ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 4.2 Deuxième principe — Détermination des fins de la collecte des renseignements Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. 4.2.1 L’organisation doit documenter les fins auxquelles les renseignements personnels sont recueillis afin de se conformer au principe de la transparence (article 4.8) et au principe de l’accès aux renseignements personnels (article 4.9). 4.2.2 Le fait de préciser les fins de la collecte de renseignements personnels avant celle-ci ou au moment de celle-ci permet à l’organisation de déterminer les renseignements dont elle a besoin pour réaliser les fins mentionnées. Suivant le principe de la limitation en matière de collecte (article 4.4), l’organisation ne doit recueillir que les renseignements nécessaires aux fins mentionnées. 4.2.3 Il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Selon la façon dont se fait la collecte, cette précision peut être communiquée de vive voix ou par écrit. Par exemple, on peut indiquer ces fins sur un formulaire de demande de renseignements. 4.2.4 Avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l’utilisation. À moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi, il faut obtenir le consentement de la personne concernée avant d’utiliser les renseignements à cette nouvelle fin. Pour obtenir plus de précisions sur le consentement, se reporter au principe du consentement (article 4.3). 4.2.5 Les personnes qui recueillent des renseignements personnels devraient être en mesure d’expliquer à la personne concernée à quelles fins sont destinés ces renseignements. 4.2.6 Ce principe est étroitement lié au principe de la limitation de la collecte (article 4.4) et à celui de la limitation de l’utilisation, de la communication et de la conservation (article 4.5). 4.3 Troisième principe — Consentement Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels Current to January 8, 2020 Last amended on June 21, 2019 50 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 consent of the individual. For example, legal, medical, or security reasons may make it impossible or impractical to seek consent. When information is being collected for the detection and prevention of fraud or for law enforcement, seeking the consent of the individual might defeat the pur- pose of collecting the information. Seeking consent may be impossible or inappropriate when the individual is a minor, seriously ill, or mentally incapacitated. In addition, organi- zations that do not have a direct relationship with the indi- vidual may not always be able to seek consent. For exam- ple, seeking consent may be impractical for a charity or a direct-marketing firm that wishes to acquire a mailing list from another organization. In such cases, the organization providing the list would be expected to obtain consent be- fore disclosing personal information. 4.3.1 Consent is required for the collection of personal information and the subsequent use or disclosure of this information. Typically, an organization will seek consent for the use or dis- closure of the information at the time of collection. In certain circumstances, consent with respect to use or disclosure may be sought after the information has been collected but before use (for example, when an organization wants to use informa- tion for a purpose not previously identified). 4.3.2 The principle requires “knowledge and consent”. Organiza- tions shall make a reasonable effort to ensure that the indi- vidual is advised of the purposes for which the information will be used. To make the consent meaningful, the purposes must be stated in such a manner that the individual can rea- sonably understand how the information will be used or dis- closed. 4.3.3 An organization shall not, as a condition of the supply of a product or service, require an individual to consent to the col- lection, use, or disclosure of information beyond that re- quired to fulfil the explicitly specified, and legitimate purpos- es. 4.3.4 The form of the consent sought by the organization may vary, depending upon the circumstances and the type of informa- tion. In determining the form of consent to use, organizations shall take into account the sensitivity of the information. qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Note : Dans certaines circonstances, il est possible de recueillir, d’utiliser et de communiquer des renseignements à l’insu de la personne concernée et sans son consentement. Par exemple, pour des raisons d’ordre juridique ou médical ou pour des raisons de sécurité, il peut être impossible ou peu réaliste d’obtenir le consentement de la personne concernée. Lorsqu’on recueille des renseignements aux fins du contrôle d’application de la loi, de la détection d’une fraude ou de sa prévention, on peut aller à l’encontre du but visé si l’on cherche à obtenir le consentement de la personne concernée. Il peut être impossible ou inopportun de chercher à obtenir le consentement d’un mineur, d’une personne gravement malade ou souffrant d’incapacité mentale. De plus, les organisations qui ne sont pas en relation directe avec la personne concernée ne sont pas toujours en mesure d’obtenir le consentement prévu. Par exemple, il peut être peu réaliste pour une œuvre de bienfaisance ou une entreprise de marketing direct souhaitant acquérir une liste d’envoi d’une autre organisation de chercher à obtenir le consentement des personnes concernées. On s’attendrait, dans de tels cas, à ce que l’organisation qui fournit la liste obtienne le consentement des personnes concernées avant de communiquer des renseignements personnels. 4.3.1 Il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d’utiliser ou de communiquer les renseignements recueillis. Généralement, une organisation obtient le consentement des personnes concernées relativement à l’utilisation et à la communication des renseignements personnels au moment de la collecte. Dans certains cas, une organisation peut obtenir le consentement concernant l’utilisation ou la communication des renseignements après avoir recueilli ces renseignements, mais avant de s’en servir, par exemple, quand elle veut les utiliser à des fins non précisées antérieurement. 4.3.2 Suivant ce principe, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. 4.3.3 Une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. 4.3.4 La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la Current to January 8, 2020 Last amended on June 21, 2019 51 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 Although some information (for example, medical records and income records) is almost always considered to be sensi- tive, any information can be sensitive, depending on the con- text. For example, the names and addresses of subscribers to a newsmagazine would generally not be considered sensitive information. However, the names and addresses of sub- scribers to some special-interest magazines might be consid- ered sensitive. 4.3.5 In obtaining consent, the reasonable expectations of the indi- vidual are also relevant. For example, an individual buying a subscription to a magazine should reasonably expect that the organization, in addition to using the individual’s name and address for mailing and billing purposes, would also contact the person to solicit the renewal of the subscription. In this case, the organization can assume that the individual’s re- quest constitutes consent for specific purposes. On the other hand, an individual would not reasonably expect that person- al information given to a health-care professional would be given to a company selling health-care products, unless con- sent were obtained. Consent shall not be obtained through deception. 4.3.6 The way in which an organization seeks consent may vary, de- pending on the circumstances and the type of information collected. An organization should generally seek express con- sent when the information is likely to be considered sensitive. Implied consent would generally be appropriate when the in- formation is less sensitive. Consent can also be given by an authorized representative (such as a legal guardian or a per- son having power of attorney). 4.3.7 Individuals can give consent in many ways. For example: (a) an application form may be used to seek consent, col- lect information, and inform the individual of the use that will be made of the information. By completing and sign- ing the form, the individual is giving consent to the collec- tion and the specified uses; (b) a checkoff box may be used to allow individuals to re- quest that their names and addresses not be given to other organizations. Individuals who do not check the box are assumed to consent to the transfer of this information to third parties; (c) consent may be given orally when information is col- lected over the telephone; or (d) consent may be given at the time that individuals use a product or service. 4.3.8 An individual may withdraw consent at any time, subject to legal or contractual restrictions and reasonable notice. The sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être. 4.3.5 Dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Par exemple, une personne qui s’abonne à un périodique devrait raisonnablement s’attendre à ce que l’entreprise, en plus de se servir de son nom et de son adresse à des fins de postage et de facturation, communique avec elle pour lui demander si elle désire que son abonnement soit renouvelé. Dans ce cas, l’organisation peut présumer que la demande de la personne constitue un consentement à ces fins précises. D’un autre côté, il n’est pas raisonnable qu’une personne s’attende à ce que les renseignements personnels qu’elle fournit à un professionnel de la santé soient donnés sans son consentement à une entreprise qui vend des produits de soins de santé. Le consentement ne doit pas être obtenu par un subterfuge. 4.3.6 La façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. Le consentement peut également être donné par un représentant autorisé (détenteur d’une procuration, tuteur). 4.3.7 Le consentement peut revêtir différentes formes, par exemple : a) on peut se servir d’un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer la personne de l’utilisation qui sera faite des renseignements. En remplissant le formulaire et en le signant, la personne donne son consentement à la collecte de renseignements et aux usages précisés; b) on peut prévoir une case où la personne pourra indiquer en cochant qu’elle refuse que ses nom et adresse soient communiqués à d’autres organisations. Si la personne ne coche pas la case, il sera présumé qu’elle consent à ce que les renseignements soient communiqués à des tiers; c) le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou d) le consentement peut être donné au moment où le produit ou le service est utilisé. 4.3.8 Une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat Current to January 8, 2020 Last amended on June 21, 2019 52 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 organization shall inform the individual of the implications of such withdrawal. 4.4 Principle 4 — Limiting Collection The collection of personal information shall be limited to that which is necessary for the purposes identified by the organi- zation. Information shall be collected by fair and lawful means. 4.4.1 Organizations shall not collect personal information indis- criminately. Both the amount and the type of information col- lected shall be limited to that which is necessary to fulfil the purposes identified. Organizations shall specify the type of in- formation collected as part of their information-handling policies and practices, in accordance with the Openness prin- ciple (Clause 4.8). 4.4.2 The requirement that personal information be collected by fair and lawful means is intended to prevent organizations from collecting information by misleading or deceiving indi- viduals about the purpose for which information is being col- lected. This requirement implies that consent with respect to collection must not be obtained through deception. 4.4.3 This principle is linked closely to the Identifying Purposes principle (Clause 4.2) and the Consent principle (Clause 4.3). 4.5 Principle 5 —Limiting Use, Disclosure, and Retention Personal information shall not be used or disclosed for pur- poses other than those for which it was collected, except with the consent of the individual or as required by law. Personal information shall be retained only as long as necessary for the fulfilment of those purposes. 4.5.1 Organizations using personal information for a new purpose shall document this purpose (see Clause 4.2.1). 4.5.2 Organizations should develop guidelines and implement pro- cedures with respect to the retention of personal information. These guidelines should include minimum and maximum re- tention periods. Personal information that has been used to make a decision about an individual shall be retained long enough to allow the individual access to the information after et d’un préavis raisonnable. L’organisation doit informer la personne des conséquences d’un tel retrait. 4.4 Quatrième principe — Limitation de la collecte L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. 4.4.1 Les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Conformément au principe de la transparence (article 4.8), les organisations doivent préciser la nature des renseignements recueillis comme partie intégrante de leurs politiques et pratiques concernant le traitement des renseignements. 4.4.2 L’exigence selon laquelle les organisations sont tenues de recueillir des renseignements personnels de façon honnête et licite a pour objet de les empêcher de tromper les gens et de les induire en erreur quant aux fins auxquelles les renseignements sont recueillis. Cette obligation suppose que le consentement à la collecte de renseignements ne doit pas être obtenu par un subterfuge. 4.4.3 Ce principe est étroitement lié au principe de détermination des fins auxquelles la collecte est destinée (article 4.2) et à celui du consentement (article 4.3). 4.5 Cinquième principe — Limitation de l’utilisation, de la communication et de la conservation Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. 4.5.1 Les organisations qui se servent de renseignements personnels à des fins nouvelles doivent documenter ces fins (voir article 4.2.1). 4.5.2 Les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. On doit conserver les renseignements personnels servant à prendre une décision au sujet d’une personne suffisamment Current to January 8, 2020 Last amended on June 21, 2019 53 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 the decision has been made. An organization may be subject to legislative requirements with respect to retention periods. 4.5.3 Personal information that is no longer required to fulfil the identified purposes should be destroyed, erased, or made anonymous. Organizations shall develop guidelines and im- plement procedures to govern the destruction of personal in- formation. 4.5.4 This principle is closely linked to the Consent principle (Clause 4.3), the Identifying Purposes principle (Clause 4.2), and the Individual Access principle (Clause 4.9). 4.6 Principle 6 — Accuracy Personal information shall be as accurate, complete, and up- to-date as is necessary for the purposes for which it is to be used. 4.6.1 The extent to which personal information shall be accurate, complete, and up-to-date will depend upon the use of the in- formation, taking into account the interests of the individual. Information shall be sufficiently accurate, complete, and up- to-date to minimize the possibility that inappropriate infor- mation may be used to make a decision about the individual. 4.6.2 An organization shall not routinely update personal informa- tion, unless such a process is necessary to fulfil the purposes for which the information was collected. 4.6.3 Personal information that is used on an ongoing basis, in- cluding information that is disclosed to third parties, should generally be accurate and up-to-date, unless limits to the re- quirement for accuracy are clearly set out. 4.7 Principle 7 — Safeguards Personal information shall be protected by security safe- guards appropriate to the sensitivity of the information. 4.7.1 The security safeguards shall protect personal information against loss or theft, as well as unauthorized access, disclo- sure, copying, use, or modification. Organizations shall pro- tect personal information regardless of the format in which it is held. longtemps pour permettre à la personne concernée d’exercer son droit d’accès à l’information après que la décision a été prise. Une organisation peut être assujettie à des exigences prévues par la loi en ce qui concerne les périodes de conservation. 4.5.3 On devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels. 4.5.4 Ce principe est étroitement lié au principe du consentement (article 4.3), à celui de la détermination des fins auxquelles la collecte est destinée (article 4.2), ainsi qu’à celui de l’accès individuel (article 4.9). 4.6 Sixième principe — Exactitude Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. 4.6.1 Le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l’usage auquel ils sont destinés, compte tenu des intérêts de la personne. Les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision à son sujet. 4.6.2 Une organisation ne doit pas systématiquement mettre à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les fins auxquelles ils ont été recueillis. 4.6.3 Les renseignements personnels qui servent en permanence, y compris les renseignements qui sont communiqués à des tiers, devraient normalement être exacts et à jour à moins que des limites se rapportant à l’exactitude de ces renseignements ne soient clairement établies. 4.7 Septième principe — Mesures de sécurité Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. 4.7.1 Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent Current to January 8, 2020 Last amended on June 21, 2019 54 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 4.7.2 The nature of the safeguards will vary depending on the sen- sitivity of the information that has been collected, the amount, distribution, and format of the information, and the method of storage. More sensitive information should be safeguarded by a higher level of protection. The concept of sensitivity is discussed in Clause 4.3.4. 4.7.3 The methods of protection should include (a) physical measures, for example, locked filing cabinets and restricted access to offices; (b) organizational measures, for example, security clear- ances and limiting access on a “need-to-know” basis; and (c) technological measures, for example, the use of pass- words and encryption. 4.7.4 Organizations shall make their employees aware of the im- portance of maintaining the confidentiality of personal infor- mation. 4.7.5 Care shall be used in the disposal or destruction of personal information, to prevent unauthorized parties from gaining ac- cess to the information (see Clause 4.5.3). 4.8 Principle 8 — Openness An organization shall make readily available to individuals specific information about its policies and practices relating to the management of personal information. 4.8.1 Organizations shall be open about their policies and practices with respect to the management of personal information. In- dividuals shall be able to acquire information about an orga- nization’s policies and practices without unreasonable effort. This information shall be made available in a form that is generally understandable. protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. 4.7.2 La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. La notion de sensibilité est présentée à l’article 4.3.4. 4.7.3 Les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement. 4.7.4 Les organisations doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels. 4.7.5 Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès (article 4.5.3). 4.8 Huitième principe — Transparence Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. 4.8.1 Les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans efforts déraisonnables de l’information au sujet des politiques et des pratiques d’une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible. Current to January 8, 2020 Last amended on June 21, 2019 55 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 4.8.2 The information made available shall include (a) the name or title, and the address, of the person who is accountable for the organization’s policies and practices and to whom complaints or inquiries can be forwarded; (b) the means of gaining access to personal information held by the organization; (c) a description of the type of personal information held by the organization, including a general account of its use; (d) a copy of any brochures or other information that ex- plain the organization’s policies, standards, or codes; and (e) what personal information is made available to related organizations (e.g., subsidiaries). 4.8.3 An organization may make information on its policies and practices available in a variety of ways. The method chosen depends on the nature of its business and other considera- tions. For example, an organization may choose to make brochures available in its place of business, mail information to its customers, provide online access, or establish a toll-free telephone number. 4.9 Principle 9 — Individual Access Upon request, an individual shall be informed of the exis- tence, use, and disclosure of his or her personal information and shall be given access to that information. An individual shall be able to challenge the accuracy and completeness of the information and have it amended as appropriate. Note: In certain situations, an organization may not be able to provide access to all the personal information it holds about an individual. Exceptions to the access requirement should be limited and specific. The reasons for denying ac- cess should be provided to the individual upon request. Ex- ceptions may include information that is prohibitively cost- ly to provide, information that contains references to other individuals, information that cannot be disclosed for legal, security, or commercial proprietary reasons, and informa- tion that is subject to solicitor-client or litigation privilege. 4.9.1 Upon request, an organization shall inform an individual whether or not the organization holds personal information about the individual. Organizations are encouraged to indi- cate the source of this information. The organization shall al- low the individual access to this information. However, the 4.8.2 Les renseignements fournis doivent comprendre : a) le nom ou la fonction de même que l’adresse de la personne responsable de la politique et des pratiques de l’organisation et à qui il faut acheminer les plaintes et les demandes de renseignements; b) la description du moyen d’accès aux renseignements personnels que possède l’organisation; c) la description du genre de renseignements personnels que possède l’organisation, y compris une explication générale de l’usage auquel ils sont destinés; d) une copie de toute brochure ou autre document d’information expliquant la politique, les normes ou les codes de l’organisation; et e) la définition de la nature des renseignements personnels communiqués aux organisations connexes (par exemple, les filiales). 4.8.3 Une organisation peut rendre l’information concernant sa politique et ses pratiques accessibles de diverses façons. La méthode choisie est fonction de la nature des activités de l’organisation et d’autres considérations. Par exemple, une organisation peut offrir des brochures à son établissement, poster des renseignements à ses clients, offrir un accès en ligne ou établir un numéro de téléphone sans frais. 4.9 Neuvième principe — Accès aux renseignements personnels Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. Note : Dans certains cas, il peut être impossible à une organisation de communiquer tous les renseignements personnels qu’elle possède au sujet d’une personne. Les exceptions aux exigences en matière d’accès aux renseignements personnels devraient être restreintes et précises. On devrait informer la personne, sur demande, des raisons pour lesquelles on lui refuse l’accès aux renseignements. Ces raisons peuvent comprendre le coût exorbitant de la fourniture de l’information, le fait que les renseignements personnels contiennent des détails sur d’autres personnes, l’existence de raisons d’ordre juridique, de raisons de sécurité ou de raisons d’ordre commercial exclusives et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d’une procédure de nature judiciaire. 4.9.1 Une organisation doit informer la personne qui en fait la demande du fait qu’elle possède des renseignements personnels à son sujet, le cas échéant. Les organisations sont invitées à indiquer la source des renseignements. L’organisation doit permettre à la personne concernée de Current to January 8, 2020 Last amended on June 21, 2019 56 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 organization may choose to make sensitive medical informa- tion available through a medical practitioner. In addition, the organization shall provide an account of the use that has been made or is being made of this information and an account of the third parties to which it has been disclosed. 4.9.2 An individual may be required to provide sufficient informa- tion to permit an organization to provide an account of the existence, use, and disclosure of personal information. The information provided shall only be used for this purpose. 4.9.3 In providing an account of third parties to which it has dis- closed personal information about an individual, an organiza- tion should attempt to be as specific as possible. When it is not possible to provide a list of the organizations to which it has actually disclosed information about an individual, the organization shall provide a list of organizations to which it may have disclosed information about the individual. 4.9.4 An organization shall respond to an individual’s request with- in a reasonable time and at minimal or no cost to the individ- ual. The requested information shall be provided or made available in a form that is generally understandable. For ex- ample, if the organization uses abbreviations or codes to record information, an explanation shall be provided. 4.9.5 When an individual successfully demonstrates the inaccuracy or incompleteness of personal information, the organization shall amend the information as required. Depending upon the nature of the information challenged, amendment involves the correction, deletion, or addition of information. Where appropriate, the amended information shall be transmitted to third parties having access to the information in question. 4.9.6 When a challenge is not resolved to the satisfaction of the in- dividual, the substance of the unresolved challenge shall be recorded by the organization. When appropriate, the exis- tence of the unresolved challenge shall be transmitted to third parties having access to the information in question. 4.10 Principle 10 — Challenging Compliance An individual shall be able to address a challenge concerning compliance with the above principles to the designated indi- vidual or individuals accountable for the organization’s com- pliance. consulter ces renseignements. Dans le cas de renseignements médicaux sensibles, l’organisation peut préférer que ces renseignements soient communiqués par un médecin. En outre, l’organisation doit informer la personne concernée de l’usage qu’elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués. 4.9.2 Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin. 4.9.3 L’organisation qui fournit le relevé des tiers à qui elle a communiqué des renseignements personnels au sujet d’une personne devrait être la plus précise possible. S’il lui est impossible de fournir une liste des organisations à qui elle a effectivement communiqué des renseignements au sujet d’une personne, l’organisation doit fournir une liste des organisations à qui elle pourrait avoir communiqué de tels renseignements. 4.9.4 Une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires. 4.9.5 Lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question. 4.9.6 Lorsqu’une contestation n’est pas réglée à la satisfaction de la personne concernée, l’organisation prend note de l’objet de la contestation. S’il y a lieu, les tierces parties ayant accès à l’information en question doivent être informées du fait que la contestation n’a pas été réglée. 4.10 Dixième principe — Possibilité de porter plainte à l’égard du non-respect des principes Toute personne doit être en mesure de se plaindre du non- respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. Current to January 8, 2020 Last amended on June 21, 2019 57 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 1 Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information, CAN/CSA-Q830-96 ANNEXE 1 Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 4.10.1 The individual accountable for an organization’s compliance is discussed in Clause 4.1.1. 4.10.2 Organizations shall put procedures in place to receive and re- spond to complaints or inquiries about their policies and practices relating to the handling of personal information. The complaint procedures should be easily accessible and simple to use. 4.10.3 Organizations shall inform individuals who make inquiries or lodge complaints of the existence of relevant complaint proce- dures. A range of these procedures may exist. For example, some regulatory bodies accept complaints about the personal- information handling practices of the companies they regu- late. 4.10.4 An organization shall investigate all complaints. If a com- plaint is found to be justified, the organization shall take ap- propriate measures, including, if necessary, amending its policies and practices. 4.10.1 La question de la désignation de la personne responsable du respect des principes dans l’organisation fait l’objet de l’article 4.1.1. 4.10.2 Les organisations doivent établir des procédures pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite. Les procédures relatives aux plaintes devraient être facilement accessibles et simples à utiliser. 4.10.3 Les organisations doivent informer les personnes qui présentent une demande de renseignements ou déposent une plainte de l’existence des procédures pertinentes. Il peut exister un éventail de ces procédures. Par exemple, certaines autorités réglementaires acceptent les plaintes concernant les pratiques de gestion des renseignements personnels des entreprises relevant de leur compétence. 4.10.4 Une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l’organisation doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques au besoin. Current to January 8, 2020 Last amended on June 21, 2019 58 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 2 ANNEXE 2 SCHEDULE 2 (Sections 38 to 47, 49 and 51) Acts of Parliament Column 1 Column 2 Item Act of Parliament Provisions ANNEXE 2 (articles 38 à 47, 49 et 51) Lois fédérales Colonne 1 Colonne 2 Article Loi fédérale Dispositions 1 Federal Real Property and Federal Immovables Act Sections 3, 5 to 7, 11 and 16 1 Loi sur les immeubles fédéraux et les biens réels fédéraux Articles 3, 5 à 7, 11 et 16 2 Canada Labour Code Subsection 254(1) 2 Code canadien du travail Paragraphe 254(1) 3 Canada Lands Surveys Act Subsection 3(2) 3 Loi sur l’arpentage des terres du Canada Paragraphe 3(2) 2000, c. 5, Sch. 2; SOR/2004-309, s. 1; SOR/2008-114; SOR/2019-84, s. 1. 2000, ch. 5, ann. 2; DORS/2004-309, art. 1; DORS/2008-114; DORS/2019-84, art. 1. Current to January 8, 2020 Last amended on June 21, 2019 59 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 3 ANNEXE 3 SCHEDULE 3 (Sections 38 to 47, 49 and 51) Regulations and Other Instru- ments ANNEXE 3 (articles 38 à 47, 49 et 51) Règlements et autres textes Colonne 1 Colonne 2 Article Règlement ou autre texte Dispositions Column 1 Column 2 Item Regulations or Other Instrument Provisions 1 Federal Real Property Regulations Sections 9 and 11 1 Règlement concernant les immeubles fédéraux 1 Règlement concernant les immeubles Articles 9 et 11 [DORS/ 2005-407] Articles 9 et 11 [DORS/ [SOR/2005-407] 1 Federal Real Property Regulations Sections 9 and 11 [SOR/2004-309, s. 2] fédéraux 2004-309, art. 2] 2000, c. 5, Sch. 3; SOR/2004-309, s. 2; SOR/2005-407. 2000, ch. 5, ann. 3; DORS/2004-309, art. 2; DORS/2005-407. Current to January 8, 2020 Last amended on June 21, 2019 60 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019 Personal Information Protection and Electronic Documents Protection des renseignements personnels et documents électroniques SCHEDULE 4 ANNEXE 4 SCHEDULE 4 (Subsection 4(1.1) and paragraph 26(2)(c)) Organizations Column 1 Column 2 Item Organization Personal Information ANNEXE 4 (paragraphe 4(1.1) et alinéa 26(2)c)) Organisations Colonne 1 Colonne 2 Article Organisation Renseignements personnels 1 World Anti-Doping Agency Agence mondiale antidopage Personal information that the organization collects, uses or discloses in the course of its interprovincial or international activities 1 Agence mondiale antidopage World Anti-Doping Agency Renseignements personnels recueillis, utilisés ou communiqués par l’organisation dans le cadre de ses activités interprovinciales ou internationales 2015, c. 36, s. 166. 2015, ch. 36, art. 166. Current to January 8, 2020 Last amended on June 21, 2019 61 À jour au 8 janvier 2020 Dernière modification le 21 juin 2019