Appendice 1 : Dispositions du projet de loi C-11 concernant les transferts transfrontaliers de données

2. […]

fournisseur de services [signifie] toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins. (service provider)

5. La présente loi a pour objet de fixer, dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels (soulignement ajouté), des règles régissant la protection des renseignements personnels d’une manière qui tient compte du droit à la vie privée des individus quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

6 (2) Il est entendu que la présente loi s’applique relativement à la collecte, à l’utilisation et à la communication de renseignements personnels, par une organisation, à l’échelle interprovinciale, internationale […].

7 (1) Toute organisation est responsable des renseignements personnels qui relèvent d’elle.
(2) Les renseignements personnels relèvent de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle.

11 (1) L’organisation qui transfère des renseignements personnels à un fournisseur de services veille, contractuellement ou autrement, à ce que celui-ci offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la présente loi.
(2) Les obligations prévues à la présente partie, à l’exception de celles prévues aux articles 57 et 61, ne s’appliquent pas au fournisseur de services relativement aux renseignements personnels qui lui sont transférés. Il est toutefois assujetti à l’ensemble de ces obligations s’il les recueille, les utilise ou les communique à toutes autres fins que celles pour lesquelles ils lui ont été transférés.

18 (1) L’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité d’affaires mentionnée au paragraphe (2) et :

a) une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation;

b) les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.

(2) Sous réserve des règlements, sont des activités d’affaires pour l’application du paragraphe (1) :

[…]

e) les activités dans le cadre desquelles il est pratiquement impossible pour l’organisation d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui-ci;

19 L’organisation peut transférer à des fournisseurs de services les renseignements personnels d’un individu à son insu ou sans son consentement.

55 (1) L’organisation qui reçoit d’un individu une demande écrite visant à ce qu’elle procède au retrait des renseignements personnels qu’elle a recueillis auprès de lui, procède, dès que possible, à leur retrait si, à la fois :

a) le retrait n’entraîne pas le retrait des renseignements personnels d’un autre individu dont ce renseignement ne peut être retranché;

b) aucune exigence de la présente loi ou du droit fédéral ou provincial ni aucune restriction contractuelle raisonnable ne l’en empêche.

[…]

(3) L’organisation qui procède au retrait des renseignements personnels d’un individu informe, dès que possible, de la demande de retrait tout fournisseur de services à qui elle a transféré les renseignements et confirme avec celui-ci qu’il a procédé à leur retrait.

61 Le fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels avise dès que possible l’organisation de laquelle ils relèvent.

62 (1) L’organisation rend facilement accessible, dans un langage clair, des renseignements sur les politiques et les pratiques qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.

(2) À cet égard, l’organisation rend accessibles les renseignements suivants :

[…]

d) le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;

76 (1) Au présent article et aux articles 77 à 81, entité s’entend notamment d’une organisation, que la présente loi s’applique à elle ou non, ou d’une institution gouvernementale.

(2) Toute entité peut, de la manière prévue par règlement, demander au commissaire d’approuver un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi.

(3) Le commissaire peut approuver le code de pratique s’il conclut que celui-ci est conforme aux critères prévus par règlement.

77 (1) Toute entité peut, de la manière prévue par règlement, demander au commissaire d’approuver un programme de certification comprenant les éléments suivants :

a) un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi;

b) des lignes directrices sur l’interprétation et la mise en œuvre du code de pratique;

c) un mécanisme par lequel l’entité qui gère le programme peut certifier une organisation conforme à ce code;

d) un mécanisme de vérification indépendante de la conformité d’une organisation à ce code;

e) des mesures disciplinaires en cas de non-conformité d’une organisation à ce code, notamment la révocation de la certification;

f) tout autre élément prévu par règlement.

(2) Le commissaire peut approuver le programme de certification s’il conclut que celui-ci est conforme aux critères prévus par règlement.

78 Le commissaire donne suite, par écrit, à la demande d’approbation mentionnée au paragraphe 76(2) ou 77(1) dans le délai précisé par règlement.

79 Le commissaire rend publique sa décision d’approuver un code de pratique ou un programme de certification.

80 Il est entendu que l’organisation n’est pas exemptée des obligations qui lui incombent sous le régime de la présente loi du fait qu’elle se conforme aux exigences d’un code de pratique ou d’un programme de certification.

81 Le commissaire peut :

a) demander à toute entité qui gère un programme de certification approuvé tout renseignement relatif à ce programme de certification;

b) dans l’exercice des attributions qui lui sont conférées en vertu de la présente loi, collaborer avec une entité qui gère un programme de certification approuvé;

c) dans les circonstances et selon les critères prévus par règlement, recommander, conformément aux règlements, à toute entité qui gère un programme de certification approuvé de retirer sa certification à une organisation, s’il est d’avis que cette organisation ne se conforme pas aux exigences de ce programme;

d) dans le cadre d’un accord ou d’une entente mentionnée à l’article 115, communiquer au commissaire de la concurrence tout renseignement relatif à une entité qui gère un programme de certification approuvé ou à une organisation certifiée en vertu d’un tel programme;

e) révoquer, conformément aux règlements, l’approbation d’un programme de certification dans les circonstances et selon les critères prévus par règlement;

f) consulter les institutions gouvernementales fédérales concernant les codes de pratique ou les programmes de certification.

109 Le commissaire :

[…]

b) élabore, en consultation avec les intéressés — notamment toute institution gouvernementale fédérale concernée —, du matériel d’orientation relatif à la conformité des organisations à la présente loi, notamment celui que le ministre demande;