Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics

Statutory Review of the Personal Information Protection and Electronic Documents Act (PIPEDA)

Monsieur Tom Wappel, député

Minister of Industry of Minister Président Jim Prentice Jim Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique Chambre des communes Édifice de l’Est, bureau 115 Ottawa, Ontario K1A 0A6

Monsieur, Sincerely,

Conformément à l’article 109 du Règlement de la Chambre des communes, je suis heureux de répondre au nom du gouvernement du Canada aux recommandations du Comité permanent de l’accès à l’information,

world-class model for the protection of personal information in the private sector. sector. private the in information personal of protection the for model world-class de la protection des renseignements personnels et de l’éthique de la Chambre des communes dans son rapport

legislative improvements that will ensure that PIPEDA continues to merit its long-standing reputation as a as reputation long-standing its merit to continues PIPEDA that ensure will that improvements legislative sur l’examen, prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents

I look forward to consulting further on a number of issues raised during the Review, including the proposed the including Review, the during raised issues of number a on further consulting to forward look I électroniques (LPRPDE), déposé devant la Chambre le 2 mai 2007.

awareness of privacy protection among both individuals and businesses. businesses. and individuals both among protection privacy of awareness Le gouvernement du Canada exprime sa gratitude aux membres du Comité pour leur examen détaillé de la

improved. Of equal importance however, the Committee has highlighted the need for greater education and education greater for need the highlighted has Committee the however, importance equal Of improved. LPRPDE. Les recommandations judicieuses du Comité offrent un encadrement précieux aux efforts continus

change at this time. The Committee report usefully points to a few specific areas where the Act can be can Act the where areas specific few a to points usefully report Committee The time. this at change déployés par le gouvernement afin de s’assurer que les renseignements personnels sont protégés de manière

Overall, the government shares the Committee’s observation that PIPEDA is not in need of significant of need in not is PIPEDA that observation Committee’s the shares government the Overall, fidèle aux valeurs des Canadiens et aux besoins des entreprises à l’ère de l’information.

throughout its first five years of existence, and how its effectiveness can be improved going forward. forward. going improved be can effectiveness its how and existence, of years five first its throughout Le gouvernement tient aussi à faire part de sa reconnaissance aux nombreux intervenants, notamment le

The views expressed throughout the review offer valuable insight as to how PIPEDA has functioned functioned has PIPEDA how to as insight valuable offer review the throughout expressed views The commissaire à la protection de la vie privée du Canada, les organismes d’application de la loi, les groupes

and individual businesses who appeared as witnesses and provided written submissions to the Committee. Committee. the to submissions written provided and witnesses as appeared who businesses individual and d’aide aux victimes, les associations industrielles et les entreprises qui ont témoigné et présenté des mémoires

Commissioner of Canada, privacy advocates, law enforcement and victim groups, industry associations associations industry groups, victim and enforcement law advocates, privacy Canada, of Commissioner par écrit au Comité. Les opinions exprimées dans l’examen offrent une perspective éclairée sur le mode de

The government would also like to express its appreciation to the many stakeholders, including the Privacy the including stakeholders, many the to appreciation its express to like also would government The fonctionnement de la LPRPDE au cours des cinq premières années de son entrée en vigueur et sur la façon

dont on peut améliorer son efficacité à l’avenir. individual Canadians, as well as the needs of business in the information age. age. information the in business of needs the as well as Canadians, individual

ment continues to ensure that personal information is protected in a manner that reflects both the values of values the both reflects that manner a in protected is information personal that ensure to continues ment Dans l’ensemble, le gouvernement abonde dans le sens du Comité pour dire que la LPRPDE ne nécessite

review of PIPEDA. The Committee’s thoughtful recommendations provide valuable guidance as the govern- the as guidance valuable provide recommendations thoughtful Committee’s The PIPEDA. of review aucune modification importante pour l’instant. Le rapport du Comité met en évidence, de façon pratique,

The Government of Canada extends its gratitude to the members of the Committee for their comprehensive their for Committee the of members the to gratitude its extends Canada of Government The quelques aspects particuliers où la Loi pourrait être améliorée. Autre élément tout aussi important, le Comité

a souligné la nécessité d’éduquer et de sensibiliser davantage les personnes et les entreprises à propos de la (PIPEDA), tabled in the House on May 2, 2007. 2007. 2, May on House the in tabled (PIPEDA),

Protection and Electronic Documents Act Documents Electronic and Protection protection des renseignements personnels. Access to Information, Privacy and Ethics in its report on the Statutory Review of the the of Review Statutory the on report its in Ethics and Privacy Information, to Access Personal Information Personal

Government of Canada to the recommendations made by the House of Commons Standing Committee on Committee Standing Commons of House the by made recommendations the to Canada of Government J’attends avec impatience de procéder à d’autres consultations sur plusieurs questions soulevées durant Standing Order 109 of the House of Commons of House the of 109 Order Standing to Pursuant

, I am pleased to respond on behalf of the of behalf on respond to pleased am I , l’examen, entre autres les améliorations législatives proposées qui veilleront à ce que la LPRPDE préserve la réputation qu’elle s’est taillée depuis longue date, soit celle d’un modèle de calibre mondial pour la protection

Dear Mr. Wappel: Mr. Dear des renseignements personnels dans le secteur privé.

Je vous prie d’agréer, Monsieur, l’expression de mes sentiments les meilleurs.

Le ministre de l’Industrie,

Ottawa, Ontario K1A 0A6 K1A Ontario Ottawa,

East Block, Room 115 Room Block, East

House of Commons of House

Standing Committee on Access to Information, Privacy and Ethics and Privacy Information, to Access on Committee Standing

Chair Mr. Tom Wappel, M.P. Wappel, Tom Mr. Jim Prentice

1 Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics and Privacy Information to Access on Committee Standing the of Report Fourth the to Response Government

governments. Consequently, more than ever than more Consequently, governments. Réponse du gouvernement au ce qui pose de nouveaux défis tant pour l’industrie creating new challenges for both industry and and industry both for challenges new creating

privacy regulation and oversight. and regulation privacy Quatrième Rapport du Comité que pour les gouvernements. En conséquence, les and process large quantities of personal information, personal of quantities large process and

• maintain a flexible, “light-handed” approach to to approach “light-handed” flexible, a maintain • permanent de l’accès à consommateurs et les entreprises peuvent, plus que greatly enlarged the capacity to collect, transfer, transfer, collect, to capacity the enlarged greatly

businesses; and businesses; l’information, de la protection jamais, profiter des mesures de protection claires et $49.9 billion. These developments have thus thus have developments These billion. $49.9

Canadians and organizations, especially small small especially organizations, and Canadians des renseignements personnels efficaces destinées à assurer la confidentialité des value of online commerce in Canada in 2006 was 2006 in Canada in commerce online of value

protection measures among individual individual among measures protection données personnelles, surtout en ce qui concerne

online. According to Statistics Canada, the total the Canada, Statistics to According online. • increase education and awareness of privacy privacy of awareness and education increase • et de l’éthique

les affaires en ligne et le commerce électronique. more than 82% of Canadian businesses are now are businesses Canadian of 82% than more

key definitions and provisions in the Act; the in provisions and definitions key n mai 2007, le Comité permanent de As of 2005, 68% of Canadians use the Internet, and Internet, the use Canadians of 68% 2005, of As • improve clarity and certainty with respect to to respect with certainty and clarity improve • Le Canada a réussi à relever ces défis. Sur la scène

l’accès à l’information, de la protection des emergence of the Internet and online commerce. commerce. online and Internet the of emergence internationale, le régime canadien de protection des

renseignements personnels et de l’éthique

has dramatically increased in recent years with the the with years recent in increased dramatically has

especially designed to: designed especially E renseignements personnels est reconnu comme l’un

(« le Comité ») a mené à bien son examen de la Loi sur

Moreover, the importance of privacy protection protection privacy of importance the Moreover, commends those recommendations that are are that recommendations those commends des meilleurs au monde. En 2001, la Commission

la protection des renseignements personnels et les are extremely helpful. In particular, the government the particular, In helpful. extremely are européenne a reconnu la LPRPDE comme une loi

documents électroniques (« LPRPDE »), en vertu de

qui offre une protection « adéquate » en matière de information-driven global economy. economy. global information-driven

for selective legislative changes and other actions other and changes legislative selective for l’article 29 de la Loi. Durant le processus de l’examen,

renseignements personnels selon les critères de la

business, trade and commerce in a modern, modern, a in commerce and trade business,

Canada. In this respect, the Committee’s proposals Committee’s the respect, this In Canada. le Comité a entendu 67 témoins et reçu 34 mémoires

Direction de l’UE sur la protection des données,

personal data is crucial to the conduct of of conduct the to crucial is data personal

the overall effectiveness of privacy protection in protection privacy of effectiveness overall the de particuliers et d’organismes canadiens. Dans son

permettant ainsi le transfert des renseignements

Canadians, and the management and use of of use and management the and Canadians,

and its implementation in a manner that strengthens that manner a in implementation its and rapport, le Comité présente au gouvernement 25

personnels au sujet des Européens vers le Canada,

out, privacy represents a fundamental value for value fundamental a represents privacy out,

on the need and value of “fine tuning” the legislation the tuning” “fine of value and need the on recommandations, qui portent sur les principales

sans aucune restriction. Dans une étude menée en

information in Canada. As the Committee points Committee the As Canada. in information

government further agrees with the Committee Committee the with agrees further government questions soulevées durant l’examen. Le gouverne-

2006 par Privacy International, un groupe militant de

legal framework for the protection of personal personal of protection the for framework legal of time the Act has been fully in force. The The force. in fully been has Act the time of ment a tenu pleinement compte du rapport du Comité

la vie privée situé en Grande-Bretagne, le régime de

underlined the critical importance of an effective an of importance critical the underlined especially in light of the relatively short period period short relatively the of light in especially et de ses recommandations, ainsi que de la vaste protection des renseignements personnels du Canada

gamme d’opinions présentées dans le cadre de consistent with the submissions it received, has received, it submissions the with consistent to the legislation are not warranted at this time, time, this at warranted not are legislation the to s’est classé au deuxième rang, derrière l’Allemagne,

l’examen parlementaire, pour déterminer les mesures The Report of the Parliamentary Committee, Committee, Parliamentary the of Report The We agree with the Committee that radical changes changes radical that Committee the with agree We dans le cadre d’une enquête auprès de 37 pays.

à prendre à l’égard de la Loi et de sa mise en œuvre.

Plus particulièrement, la LPRPDE, de pair avec les lois

and its implementation. implementation. its and of information in a business environment. environment. business a in information of fédérales et provinciales connexes, a atteint un équili-

Le rapport du Comité parlementaire, qui est conforme

what actions might be taken in relation to the Act the to relation in taken be might actions what protection and the efficient management and use use and management efficient the and protection bre approprié entre la protection des renseignements

aux mémoires reçus, met en évidence l’importance

personnels et la gestion et l’utilisation efficaces de as part of the Parliamentary Review, in considering in Review, Parliamentary the of part as

achieved an appropriate balance between privacy between balance appropriate an achieved essentielle d’un cadre juridique efficace pour la

l’information dans un contexte d’affaires.

tions, as well as the full range of opinion presented opinion of range full the as well as tions,

related federal and provincial legislation, has legislation, provincial and federal related protection des renseignements personnels au

of the Committee’s Report and its recommenda- its and Report Committee’s the of

37 countries. In particular, PIPEDA, alongside alongside PIPEDA, particular, In countries. 37 Canada. Comme l’indique le Comité, la protection

Nous sommes d’accord avec le Comité pour dire que

the review. The government has taken full account full taken has government The review. the

ranked second only to Germany in a survey of of survey a in Germany to only second ranked des renseignements personnels représente une valeur

la loi en question ne nécessite aucune modification

government, addressing key issues raised during raised issues key addressing government,

in Great Britain, Canada’s privacy regime was regime privacy Canada’s Britain, Great in fondamentale pour les Canadiens, sans oublier que la

radicale pour l’instant, surtout compte tenu de la

Committee presented 25 recommendations to the to recommendations 25 presented Committee

International, a privacy advocacy group located located group advocacy privacy a International, gestion et l’utilisation des données personnelles sont

courte période de temps depuis son entrée en vigueur.

Canadian organizations. In its Report, the Report, its In organizations. Canadian restrictions. In a 2006 study by Privacy by study 2006 a In restrictions. cruciales aux affaires et au commerce dans une

Le gouvernement est également d’accord avec le

submissions from individual Canadians and Canadians individual from submissions of Europeans to enter into Canada without without Canada into enter to Europeans of économie mondiale moderne axée sur l’information.

Comité sur la nécessité et la valeur d’« ajuster » la loi

heard from 67 witnesses and considered 34 34 considered and witnesses 67 from heard

Directive, thereby allowing the personal information personal the allowing thereby Directive, et sa mise en œuvre de manière à renforcer l’efficacité

During the process of the review, the Committee the review, the of process the During

for the purposes of the EU Data Protection Data EU the of purposes the for De plus, l’importance de la protection des renseigne- globale de la protection des renseignements person-

(“PIPEDA”), pursuant to section 29 of the Act. the of 29 section to pursuant (“PIPEDA”), Act PIPEDA as providing “adequate” privacy protections privacy “adequate” providing as PIPEDA ments personnels s’est accentuée de façon radicale nels au Canada. À cet égard, les propositions du

Information Protection and Electronic Documents Electronic and Protection Information

In 2001, the European Commission recognized recognized Commission European the 2001, In au cours des dernières années avec l’émergence Comité concernant des modifications législatives

I

Committee”) concluded its review of the the of review its concluded Committee”) Personal recognized as one of the best in the world. world. the in best the of one as recognized d’Internet et du commerce électronique. Depuis 2005, sélectives et d’autres mesures sont extrêmement

68 p. 100 des Canadiens utilisent Internet et plus de utiles. En particulier, le gouvernement prise les Access to Information, Privacy and Ethics (“the Ethics and Privacy Information, to Access

Internationally, Canada’s privacy regime is is regime privacy Canada’s Internationally, 82 p. 100 des entreprises canadiennes ont maintenant recommandations qui visent surtout à : n May 2007, the Standing Committee on on Committee Standing the 2007, May n

Canada has responded well to these challenges. these to well responded has Canada une présence en ligne. Selon Statistique Canada, en

2006, la valeur totale du commerce électronique au • améliorer la clarté et la certitude quant aux

to online business and electronic commerce. commerce. electronic and business online to

and Ethics and Canada s’élevait à 49,9 milliards de dollars. Ces principales définitions et dispositions dans la Loi;

and securing personal data, especially in relation relation in especially data, personal securing and

on Access to Information Privacy Information to Access on technologies ont donc beaucoup augmenté la • accroître les connaissances et la sensibilisation

from clear and effective safeguards for protecting for safeguards effective and clear from

Report of the Standing Committee Standing the of Report capacité de recueillir, de transférer et de traiter des particuliers et des organismes canadiens,

before, consumers and businesses can benefit benefit can businesses and consumers before, Government Response to the Fourth the to Response Government d’énormes quantités de renseignements personnels, surtout des petites entreprises, à propos des

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique 1

2

de la protection des renseignements personnels et de l’éthique de et personnels renseignements des protection la de

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, l’information, à l’accès de permanent Comité du Rapport Quatrième au gouvernement du Réponse

des entreprises », qui inclurait le courriel d’affaires et le et d’affaires courriel le inclurait qui », entreprises des des conséquences négatives non voulues sur la la sur voulues non négatives conséquences des

convient qu’une définition modifiée des « coordonnées « des modifiée définition qu’une convient

The government is committed to protecting the certainty about the business use of this type of data sujet au d’autres par et privée vie la de protection la à

d’affaires à l’ère de l’information. Le gouvernement Le l’information. de l’ère à d’affaires

privacy of Canadians and, in concert with other without detracting from the protections given to commissaire la par exprimées préoccupations les vue

convient pas aux exigences des communications communications des exigences aux pas convient

interested parties, will take whatever steps are other types of personal information. de perdre pas doit ne gouvernement le Parallèlement,

necessary to ensure Canada’s laws and policies ne qu’elle conséquent, par et, restreinte trop est » es actuelle par rapport aux « coordonnées des entrepris- des coordonnées « aux rapport par actuelle

are meeting the highest possible standard of privacy In this regard, the government will explore ways in Loi. la à conformer se à efforts généralisé exprimé au Comité selon lequel l’approche lequel selon Comité au exprimé généralisé

protection. To this end, the government has which the protections established in the Alberta leurs dans aider les et entreprises des planification Cette recommandation s’inspire du point de vue de point du s’inspire recommandation Cette

reviewed the Committee’s general findings and Personal Information Protection Act for business la faciliter pour aspect cet à relativement LPRPDE en vue de fournir plus de clarté et de certitude à la à certitude de et clarté de plus fournir de vue en

Réponse each individual recommendation of the Committee, contact information can be incorporated into privé secteur du intéressées parties les par fait l’appel

noting below those which it believes merit priority PIPEDA in such a way as to ensure that business reconnu a Comité le rapport, son Dans intervenants.

du travail revêt une grande importance à plusieurs à importance grande une revêt travail du attention in future work. contact information is excluded only if collected, » l’Alberta. de personnels renseignements des tion

Le gouvernement reconnaît que la question du produit du question la que reconnaît gouvernement Le

used or disclosed for the purposes of contacting protec- la sur Loi la dans trouvent se qui connexe

an individual in their business capacity. limitative disposition la et définition la fin, cette à

Réponse

Response to Recommendations considération, en prises soient que et LPRPDE

coordonnées des entreprises soit ajoutée à la à ajoutée soit entreprises des coordonnées

« Le Comité recommande qu’une définition des définition qu’une recommande Comité Le « »

he following section addresses each of the Work Product Information professionnels. de

Committee’s recommendations individually, Recommendation 2 personnels renseignements des l’égard à privé

Recommandation 1 Recommandation

pointing to where the government agrees secteur le dans personnels renseignements des

Coordonnées des entreprises entreprises des Coordonnées Loi sur la protection la sur Loi T la dans Québec au adoptée with the Committee’s conclusions either in whole “The Committee recommends that PIPEDA

or in part, and to those issues where further work be amended to include a definition of ‘work l’approche de et Canada IMS par Comité

or consultation is required. product’ that is explicitly recognized as not au proposée définition la de Colombie-Britannique, ou des consultations plus poussés. plus consultations des ou de la de personnels renseignements des protection

Comité et ceux pour lesquels il faut des travaux travaux des faut il lesquels pour ceux et Comité Loi sur la sur Loi constituting personal information for the la dans contenue ” travail du produit le

accepte, en tout ou en partie, les conclusions du conclusions les partie, en ou tout en accepte,

purposes of the Act. In formulating this sur renseignements “ des définition la de s’inspirer

L

dossiers pour lesquels le gouvernement le lesquels pour dossiers Business Contact Information definition, reference should be made to the devrait définition La Loi. la de fins aux personnels

recommandations du Comité et indique les indique et Comité du recommandations

Recommendation 1 definition of ‘work product information’ in renseignements des pas constitue ne dernier ce

a présente section examine chacune des chacune examine section présente a

the British Columbia Personal Information que explicitement précise qui ” travail du produit “

“The Committee recommends that a definition Protection Act, the definition proposed to this du définition une inclure y pour modifiée

Réponse aux recommandations aux Réponse of ‘business contact information’ be added to Committee by IMS Canada, and the approach soit LPRPDE la que recommande Comité Le «

PIPEDA, and that the definition and relevant taken to professional information in Quebec’s

restrictive provision found in the Alberta An Act Respecting the Protection of Personal 2 Recommandation

prioritaire dans les travaux futurs. travaux les dans prioritaire Personal Information Protection Act be travail du Produit

Information in the Private Sector.” considered for this purpose.” attention une méritent gouvernement, du l’avis de qui,

Response domaines les présentent suivantes pages Les Comité. du Comité et chacune des recommandations du recommandations des chacune et Comité du

Response d’affaires. fonction sa en personne gouvernement a examiné les constatations générales constatations les examiné a gouvernement communiquées en vue de communiquer avec une une avec communiquer de vue en communiquées

élevée possible dans ce domaine. À cette fin, le le fin, cette À domaine. ce dans possible élevée The government recognizes that the issue of work ou utilisées recueillies, sont s’elles uniquement exclues

les politiques du Canada respectent la norme la plus la norme la respectent Canada du politiques les This recommendation reflects the widespread product information is of great significance to a soient entreprises des coordonnées les que s’assurer

ménagera aucun effort pour s’assurer que les lois et lois les que s’assurer pour effort aucun ménagera view expressed to the Committee that the current number of stakeholders. In its Report, the à manière de l’Alberta de personnels renseignements

concert avec les autres parties intéressées, il ne il intéressées, parties autres les avec concert approach to “business contact information” in Committee has acknowledged the call from private des protection de matière en loi la dans établies

renseignements personnels des Canadiens. De De Canadiens. des personnels renseignements

PIPEDA is too narrow and is, therefore, inadequate sector interests to provide more clarity and certainty protection de mesures les LPRPDE, la dans d’intégrer,

Le gouvernement est déterminé à protéger les les protéger à déterminé est gouvernement Le in meeting the requirements for business to PIPEDA in this area in order to facilitate business moyens des étudiera gouvernement le égard, cet À

communications in the information age. The planning and to assist them in their efforts to

personnels. personnels.

government agrees that an amended definition of comply with the Act. personnels. renseignements de types autres aux

domaine de la protection des renseignements renseignements des protection la de domaine

“business contact information”, which is inclusive réservées protection de mesures aux nuire sans nées,

pour la réglementation et la surveillance dans le le dans surveillance la et réglementation la pour

of business email and fax numbers, and which is At the same time, the government must don- de type ce de commerciale l’utilisation à quant • maintenir une approche flexible et « sans lourdeur » lourdeur sans « et flexible approche une maintenir •

sufficiently broad to account for changes in consider the concerns expressed by the Privacy certitude de plus fournir pourrait communications, personnels; personnels;

communications technologies, could provide more Commissioner and others regarding the risk of any des technologies les dans changements des compte mesures de protection des renseignements renseignements des protection de mesures numéro de télécopie et qui est assez large pour tenir pour large assez est qui et télécopie de numéro

Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics 2

3

Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics and Privacy Information to Access on Committee Standing the of Report Fourth the to Response Government this area. area. this

can provide organizations with further clarity in in clarity further with organizations provide can protection des renseignements personnels à cause secteur privé et les autres intervenants afin de mettre

and with other stakeholders to develop tools that tools develop to stakeholders other with and d’une exclusion du produit du travail. au point des outils qui offriront plus de clarté sur cet

The government will work with the private sector private the with work will government The aspect à l’intention des organisations.

in accordance with PIPEDA’s existing requirements. existing PIPEDA’s with accordance in Pour demeurer fidèle à l’approche générale de la

organizations in disposing of personal information information personal of disposing in organizations LPRPDE, il est important d’établir un équilibre entre un

non-legislative guidance to further assist assist further to guidance non-legislative régime de protection des renseignements personnels Consentement : principes généraux Consequently, it may be sufficient to develop develop to sufficient be may it Consequently, propice aux entreprises et le besoin de maintenir le Recommandation 4

niveau de protection actuellement prévu par la Loi.

pertaining to the destruction of personal information. information. personal of destruction the to pertaining Pour ce motif, le gouvernement prendra l’engagement « Le Comité recommande d’envisager de

already exist within PIPEDA that provide direction provide that PIPEDA within exist already de mener d’autres consultations et d’examiner modifier la LPRPDE pour y préciser les exigences

greater clarity in this area, a variety of provisions of variety a area, this in clarity greater comment on peut répondre au besoin des organisa- applicables à la forme et à la conformité du

“destruction” in PIPEDA. Recognizing a need for need a Recognizing PIPEDA. in “destruction” tions en matière de collecte, d’utilisation et de consentement et établir une distinction entre les

recommendation to include a definition of of definition a include to recommendation counterparts in these and similar efforts. efforts. similar and these in counterparts communication des renseignements sur le produit différentes formes de consentement : explicite,

du travail d’une manière qui pose le moins de risque implicite et présumé/refusé. Il conviendrait, à cet The government notes the Committee’s Committee’s the notes government The

Privacy Commissioner of Canada and her provincial her and Canada of Commissioner Privacy pour la protection des renseignements personnels. égard, de se reporter aux Lois de l’Alberta et de la

government would welcome the participation of the of participation the welcome would government Colombie-Britannique en matière de protection des Response

necessary, and develop tools in this respect. The The respect. this in tools develop and necessary, Comme le propose le Comité, le gouvernement tiendra renseignements personnels. »

possible areas where further guidance may be be may guidance further where areas possible compte des diverses approches, y compris celles

commits to consulting with stakeholders to identify identify to stakeholders with consulting to commits

to PIPEDA.” to proposées dans les mémoires au Comité et celles Réponse

To supplement these valuable tools, the government the tools, valuable these supplement To

paper records and electronic media be added added be media electronic and records paper contenues dans les lois provinciales en matière de

organizations on how to properly destroy both destroy properly to how on organizations protection des renseignements personnels. Le gouvernement du Canada reconnaît sans réserve

implementing PIPEDA’s consent requirements. consent PIPEDA’s implementing

of ‘destruction’ that would provide guidance to to guidance provide would that ‘destruction’ of l’importance d’un consentement judicieux pour une

to assist organizations in better understanding and understanding better in organizations assist to

“The Committee recommends that a definition definition a that recommends Committee “The protection efficace des renseignements personnels.

Canada has produced guidance material that aims that material guidance produced has Canada Destruction de données À cette fin, la LPRPDE établit une approche législative

Recommendation 3 Recommendation Act and its purposes, the Privacy Commissioner of Commissioner Privacy the purposes, its and Act Recommandation 3 flexible qui tient compte des pratiques et besoins

information products to educate the public on the on public the educate to products information Destruction of Data of Destruction divergents des nombreuses organisations qui en In accordance with her mandate to develop develop to mandate her with accordance In « Le Comité recommande qu’une définition de sont assujetties. “ destruction ” soit ajoutée à la LPRPDE afin

de guider les organisations sur la façon de bien Conformément à son mandat d’élaborer des produits those contained in provincial privacy laws. privacy provincial in contained those

the many organizations it captures. captures. it organizations many the détruire les documents papier et les fichiers d’information pour éduquer le public au sujet de la proposed in submissions to the Committee and Committee the to submissions in proposed

account the divergent needs and practices of of practices and needs divergent the account électroniques. » Loi et de ses objectifs, la commissaire à la protection

be given to various approaches, including those including approaches, various to given be

a flexible legislative approach that takes into takes that approach legislative flexible a de la vie privée du Canada a produit un document

As proposed by the Committee, consideration will consideration Committee, the by proposed As

privacy protection. To this end, PIPEDA establishes PIPEDA end, this To protection. privacy Réponse d’orientation qui vise à aider les organisations à mieux

the importance of meaningful consent to effective effective to consent meaningful of importance the comprendre et mettre en œuvre les exigences de

degree of risk to privacy protection. protection. privacy to risk of degree

The Government of Canada fully acknowledges acknowledges fully Canada of Government The Le gouvernement prend note de la recommandation consentement prévues par la LPRPDE.

accommodated in a manner that poses the least the poses that manner a in accommodated du Comité visant à inclure une définition du terme

Response

and disclosure of work product information can be can information product work of disclosure and « destruction » dans la LPRPDE. Conscient de la En guise de complément à ces outils précieux, le

organizational needs respecting collection, use, use, collection, respecting needs organizational nécessité de clarifier davantage cet aspect, le gouvernement s’engage à consulter les intervenants

consult further and consider how consider and further consult to commit will Information Protection Acts Protection Information .” gouvernement note qu’il existe déjà une variété afin de cerner des domaines possibles qui pourraient

provided by the Act. In light of this, the the this, of light In Act. the by provided government Alberta and British Columbia Columbia British and Alberta Personal de dispositions dans la LPRPDE qui offrent une nécessiter plus d’orientation et d’élaborer des outils à

the existing level of privacy protection currently currently protection privacy of level existing the Reference should be made in this regard to the to regard this in made be should Reference orientation liée à la destruction des renseignements cet égard. Le gouvernement serait heureux d’avoir la

personnels. participation de la commissaire à la protection de la vie friendly privacy regime with the need for maintaining for need the with regime privacy friendly

express, implied and deemed/opt-out consent. deemed/opt-out and implied express, privée du Canada et de ses homologues provinciaux à it is important to balance the need for a business- a for need the balance to important is it

consent required by it, distinguishing between distinguishing it, by required consent Par conséquent, il suffirait peut-être d’élaborer une ces efforts et d’autres dans la même veine. In keeping with the general approach of PIPEDA, PIPEDA, of approach general the with keeping In

amended to clarify the form and adequacy of of adequacy and form the clarify to amended directive non législative pour aider davantage les

“The Committee recommends that PIPEDA be PIPEDA that recommends Committee “The organisations à se débarrasser des renseignements

information. information. personnels conformément aux exigences actuelles

Recommendation 4 Recommendation

may result from an exemption of work product product work of exemption an from result may de la LPRPDE. Le gouvernement travaillera avec le

unintended negative consequences to privacy that privacy to consequences negative unintended Consent: General Principles Principles General Consent:

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique 3

4

de la protection des renseignements personnels et de l’éthique de et personnels renseignements des protection la de Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, l’information, à l’accès de permanent Comité du Rapport Quatrième au gouvernement du Réponse

Consent: Employee/Employer Relationship Response

Recommendation 5

The government recognizes that the current process » d’enquête. fins aux “The Committee recommends that the Quebec, for designating investigative bodies has proven to intéressé, principal du consentement le sans nels

Alberta and British Columbia private sector data be lengthy and cumbersome for applicants who person- renseignements de communication la et

protection legislation be considered for the need this designation under the Act to conduct l’utilisation collecte, la prévoit qui personnels,

purposes of developing and incorporating into investigations. The government also agrees with renseignements des protection de matière en les Lois de l’Alberta et de la Colombie-Britannique la de et l’Alberta de Lois les

PIPEDA an amendment to address the unique the Committee that the lack of consistency in s. 7 dans énoncée celle à semblable ”, enquête “ terme

context experienced by federally regulated of PIPEDA with respect to exemptions for collection, du définition une par ” d’enquête organismes “

employers and employees.” use and disclosure of personal information is a des désignation de processus le remplacer pour

secteur privé. secteur

source of frustration for some organizations in their LPRPDE la modifier de recommande Comité Le «

Response efforts to detect and prevent fraud, particularly du d’enquête activités les concerne qui ce en Loi

Recommandation 6 Recommandation

within the financial sector. However, consideration la de dispositions les optimale façon de rationaliser

plus poussée la question de déterminer comment déterminer de question la poussée plus

The government agrees with the Committee’s must also be given to the support expressed by the d’enquête Organismes

recommendation and with a number of stakehold- Privacy Commissioner and privacy advocates for façon de examinera gouvernement le conséquent, Par

ers, including the Privacy Commissioner of Canada, the transparency of the current process, which provinces. des législation la avec accrue harmonisation

protégés en vertu de la LPRPDE. la de vertu en protégés

regarding the need to better account for the provides for a public listing of designated une permettrait approche cette Canada, du droits à la vie privée des employés continuent d’être continuent employés des privée vie la à droits

unique circumstances regarding consent in organizations. gouvernement du paperasserie la de fardeau du protection de la vie privée, pour faire en sorte que les que sorte en faire pour privée, vie la de protection

employee/employer relationships. d’allégement l’Initiative à conformément processus, ainsi que les recommandations de la commissaire à la à commissaire la de recommandations les que ainsi

However, further consideration is required on the du l’efficacité d’accroître plus En d’enquête. fins du Québec, de la Colombie-Britannique et de l’Alberta, de et Colombie-Britannique la de Québec, du sans le consentement du principal intéressé aux aux intéressé principal du consentement le sans

prendre en considération les dispositions dans les lois les dans dispositions les considération en prendre In studying privacy protection for employees of best alternative to the current process of designa- personnels renseignements de communication la et

assujetties à la réglementation fédérale, il faudrait faudrait il fédérale, réglementation la à assujetties federally regulated organizations, consideration tion. The government agrees that there is merit in l’utilisation collecte, la permettent qui et » enquête «

personnels concernant les employés d’organisations employés les concernant personnels should be given to the provisions in the laws of examining the approaches taken by Alberta and terme le définissent qui Colombie-Britannique, la et

Au moment d’étudier la protection des renseignements des protection la d’étudier moment Au

Quebec, British Columbia and Alberta, as well as British Columbia, which define the term l’Alberta par adoptées approches les d’examiner utile

the recommendations of the Privacy Commissioner, “investigation” and allows collection, use and est qu’il dire pour d’accord est gouvernement Le tion.

relations entre employeurs et employés. employés. et employeurs entre relations to ensure that the privacy rights of employees disclosure without consent for that purpose. désigna- de actuel processus au rechange de solution

tenir compte des circonstances uniques liées aux aux liées uniques circonstances des compte tenir

continue to be protected under PIPEDA. In addition to making the process more efficient, meilleure la davantage examiner faut il Cependant,

and in accordance with the Government of mieux de nécessité la concerne qui ce en Canada,

commissaire à la protection de la vie privée du privée vie la de protection la à commissaire

Canada’s Paperwork Burden Reduction Initiative, désignées.

Comité et de plusieurs intervenants, y compris la la compris y intervenants, plusieurs de et Comité

Investigative Bodies this approach would allow greater harmonization organisations des publique liste une prévoit qui actuel, Le gouvernement appuie la recommandation du recommandation la appuie gouvernement Le

Recommendation 6 with the provinces. Therefore, the government will processus du transparence la de l’égard à privée vie

give further consideration the issue of how best to la de défenseurs les et privée vie la de protection Réponse

“The Committee recommends that PIPEDA be streamline the Act’s provisions in respect of private la à commissaire la par exprimés d’appuis compte secteur financier. Toutefois, il faut également tenir également faut il Toutefois, financier. secteur

et à prévenir la fraude, particulièrement au sein du sein au particulièrement fraude, la prévenir à et amended to replace the ‘investigative bodies’ sector investigative activity. » fédérales. lois des par

certaines organisations dans leurs efforts à détecter détecter à efforts leurs dans organisations certaines designation process with a definition of régis employés les et employeurs les évoluent

ments personnels est une source de frustration pour frustration de source une est personnels ments ‘investigation’ similar to that found in the lequel dans particulier contexte du compte

collecte, l’utilisation et la communication de renseigne- de communication la et l’utilisation collecte,

Alberta and British Columbia Personal tenir pour LPRPDE, la à intégrée être pourrait qui

7 de la LPRPDE relativement aux exceptions pour la pour exceptions aux relativement LPRPDE la de 7

Information Protection Acts thereby allowing modification une d’élaborer but le dans compte

Comité pour dire que le manque d’uniformité à l’article à d’uniformité manque le que dire pour Comité for the collection, use and disclosure of personal en prises soient privé secteur le dans personnels

enquêtes. Le gouvernement est d’accord avec le avec d’accord est gouvernement Le enquêtes. information without consent for that purpose.” renseignements des protection de matière

cette désignation en vertu de la Loi afin de mener des mener de afin Loi la de vertu en désignation cette de l’Alberta et de la Colombie-Britannique en Colombie-Britannique la de et l’Alberta de

long et fastidieux pour les requérants qui ont besoin de besoin ont qui requérants les pour fastidieux et long « Le Comité recommande que les lois du Québec, du lois les que recommande Comité Le «

de désignation des organismes d’enquête s’est révélé s’est d’enquête organismes des désignation de

Recommandation 5 Recommandation Le gouvernement reconnaît que le processus actuel actuel processus le que reconnaît gouvernement Le

et employés employés et

Réponse Consentement : relations entre employeurs employeurs entre relations : Consentement

Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics 4

5 Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics and Privacy Information to Access on Committee Standing the of Report Fourth the to Response Government

Transactions commerciales Réponse Recommandation 7 Conscient de l’observation du Comité selon laquelle

« Le Comité recommande que la LPRPDE soit l’application de la LPRPDE semble créer une confusion

amendment.” modifiée par l’ajout d’une disposition habilitant dans les situations où des organisations engagent

should be made with respect to such an an such to respect with made be should les organisations à recueillir, à utiliser et à un tiers pour des activités qui nécessitent la collecte,

Personal Information Protection Act Protection Information Personal

Columbia Columbia communiquer des renseignements personnels l’utilisation et la communication de renseignements

ships. Reference to section 12(2) of the British the of 12(2) section to Reference ships. sans consentement, aux fins de transactions personnels, le gouvernement propose que l’éducation

address the issue of principal-agent relation- principal-agent of issue the address commerciales. Cette modification pourra s’inspirer et l’encadrement soient des solutions de rechange

amendment to PIPEDA be considered to considered be PIPEDA to amendment de la disposition contenue dans la Loi sur la aux modifications législatives. Par conséquent, le “The Committee recommends that an an that recommends Committee “The protection des renseignements personnels gouvernement travaillera avec la commissaire à la

de l’Alberta et comprendre les améliorations protection de la vie privée et les autres intervenants

Recommendation 8 Recommendation necessary at this time. time. this at necessary recommandées par la commissaire à la protection pour mettre au point des outils destinés à préciser

de la vie privée du Canada. » cette question. Committee’s view that such an amendment is is amendment an such that view Committee’s Principal-Agent Relationships Relationships Principal-Agent

However, the government does not share the share not does government the However, Réponse

PIPEDA does not impede litigation procedures. litigation impede not does PIPEDA Procédure et instance judiciaires

be protected. be

stakeholders regarding the need to ensure that ensure to need the regarding stakeholders Le gouvernement appuie la recommandation, qui tient Recommandation 9

individuals’ personal information continues to to continues information personal individuals’

made in response to concerns expressed by certain certain by expressed concerns to response in made compte d’un consensus général parmi les témoins

business transactions while ensuring that that ensuring while transactions business

recommendation and acknowledges that it was it that acknowledges and recommendation qui ont comparu devant le Comité, au sujet de la « Le Comité recommande que la LPRPDE soit

information needs of organizations engaged in in engaged organizations of needs information

The government notes the Committee’s Committee’s the notes government The nécessité de modifier la LPRPDE pour permettre aux modifiée de façon à créer une exception –

that can be drawn upon to accommodate the the accommodate to upon drawn be can that organisations de recueillir, d’utiliser et de communiquer essentiellement comme celle que prévoient les

Response provide models models provide

Information Protection Acts Protection Information des renseignements personnels pour les transactions Lois sur la protection des renseignements de

Personal

The Alberta and British Columbia Columbia British and Alberta The commerciales telles que les fusions et les acquisitions. l’Alberta et de la Colombie-Britannique – pour se

.” Acts Protection Information Personal Columbia Columbia soustraire à l’obligation d’obtenir un consentement

mergers and acquisitions. acquisitions. and mergers to the provisions of the Alberta and British and Alberta the of provisions the to Les lois en matière de protection des renseignements pour les renseignements auxquels une partie à

for the conduct of business transactions, such as such transactions, business of conduct the for party to a legal proceeding, in a manner similar manner a in proceeding, legal a to party personnels de l’Alberta et de la Colombie-Britannique une instance a légitimement accès. »

offrent des modèles dont on pourra s’inspirer pour use and disclose personal information as necessary as information personal disclose and use

requirement for information legally available to a to available legally information for requirement répondre aux besoins d’information des organisations Réponse should be modified to allow organizations to collect, to organizations allow to modified be should

amended to create an exception to the consent the to exception an create to amended qui participent à des transactions commerciales, tout who appeared before the Committee that PIPEDA that Committee the before appeared who

“The Committee recommends that PIPEDA be PIPEDA that recommends Committee “The en veillant à ce que les renseignements personnels Le gouvernement prend note de la recommandation

which reflects a general consensus among those among consensus general a reflects which des particuliers continuent d’être protégés. du Comité et reconnaît qu’elle a été faite en

Recommendation 9 Recommendation

The government agrees with the recommendation, the with agrees government The réponse aux préoccupations exprimées par certains

Litigation Process / Legal Proceedings Proceedings Legal / Process Litigation intervenants en ce qui concerne la nécessité de Response Relation mandant-agent s’assurer que la LPRPDE n’entrave pas la procédure

Recommandation 8 de contestation. Toutefois, le gouvernement n’appuie

tools to provide further clarity on this matter. this on clarity further provide to tools

by the Privacy Commissioner of Canada.” Canada.” of Commissioner Privacy the by pas le point de vue du Comité selon lequel une telle

Commissioner and other stakeholders to develop to stakeholders other and Commissioner

conjunction with enhancements recommended enhancements with conjunction « Le Comité recommande que l’on envisage de modification est nécessaire pour l’instant.

Therefore, the government will work with the Privacy the with work will government the Therefore, Personal Information Protection Act Act Protection Information Personal in in modifier la LPRPDE en ce qui concerne la relation

as an alternative to legislative amendments. amendments. legislative to alternative an as amendment should be modelled on the Alberta the on modelled be should amendment entre mandants et agents. Il conviendrait de se

government proposes education and guidance guidance and education proposes government purposes of a business transaction. This transaction. business a of purposes reporter au paragraphe 12(2) de la Loi sur la

protection des renseignements personnels de use and disclosure of personal information, the the information, personal of disclosure and use

personal information without consent, for the for consent, without information personal la Colombie-Britannique pour formuler cette third parties for activities that involve the collection, the involve that activities for parties third

organizations to collect, use and disclose disclose and use collect, to organizations modification. » of PIPEDA to situations where organizations engage organizations where situations to PIPEDA of be amended to include a provision permitting permitting provision a include to amended be

there may be confusion regarding the application application the regarding confusion be may there “The Committee recommends that PIPEDA PIPEDA that recommends Committee “The

Recognizing the Committee’s observation that that observation Committee’s the Recognizing

Recommendation 7 Recommendation

Response Business Transactions Transactions Business

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique 5

6

de la protection des renseignements personnels et de l’éthique de et personnels renseignements des protection la de

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, l’information, à l’accès de permanent Comité du Rapport Quatrième au gouvernement du Réponse

l’intérêt de maintenir une protection solide des des solide protection une maintenir de l’intérêt

Witness Statements In considering options, the government will study la de protection la de militants les par exprimées

et d’autres circonstances semblables. Toutefois, dans Toutefois, semblables. circonstances d’autres et

Recommendation 10 the approaches taken in the Alberta and British préoccupations les reconnaît gouvernement Le

Columbia Personal Information Protection Acts, as âgées personnes des d’abus naturelles, catastrophes

tion de renseignements personnels dans les cas de cas les dans personnels renseignements de tion

“The Committee recommends that the govern- well as Quebec’s legislation, An Act Respecting the LPRPDE. la avec conformité en agissent disposition, par les intervenants en ce qui concerne la communica- la concerne qui ce en intervenants les par

ment consult with the Privacy Commissioner Protection of Personal Information in the Private cette de exigences aux conformément nationale, justifiées afin de régler les préoccupations exprimées préoccupations les régler de afin justifiées

of Canada with respect to determining whether Sector. sécurité de et loi la de d’application organismes les de consentement de la LPRPDE pourraient être être pourraient LPRPDE la de consentement de

there is a need for further amendments to compris y gouvernementales, institutions les avec savoir que certaines exceptions limitées aux exigences aux limitées exceptions certaines que savoir Les organisations qui partagent des renseignements des partagent qui organisations Les

Le gouvernement appuie le point de vue du Comité, à Comité, du vue de point le appuie gouvernement Le PIPEDA to address the issue of witness tribunaux. des ordonnance une ou mandat un tion,

statements and the rights of persons whose Law Enforcement / National Security Interests assigna- une nécessiter sans nationale, sécurité de et

Réponse personal information is contained therein.” Recommendation 12 loi la de d’application organismes les avec collaborer

7(3)c.1) a pour objet de permettre aux organisations de organisations aux permettre de objet pour a 7(3)c.1)

Le gouvernement souhaite confirmer que l’alinéa que confirmer souhaite gouvernement Le

Response Recommendation 12 contains two related, but » privé. secteur le

distinct, proposals for legislative amendment. dans personnels renseignements des protection

en respectant le droit à la vie privée des Canadiens. des privée vie la à droit le respectant en

The government agrees with the Committee’s The first pertains to the definition of lawful la sur respectives lois leurs dans Britannique

organismes d’application de la loi et de sécurité, tout sécurité, de et loi la de d’application organismes

recommendation to consult with the Privacy authority, and the second pertains to s. 7(3) and Colombie- la et l’Alberta Québec, le par adoptées

possible de répondre aux besoins d’information des d’information besoins aux répondre de possible

Commissioner, the legal community, as well as its exceptions from consent for disclosures of celles avec fédérale l’approche harmoniser à façon

Pour atteindre cet objectif, il croit fermement qu’il est qu’il fermement croit il objectif, cet atteindre Pour

other relevant stakeholders, to determine whether personal information. de public, d’intérêt et familiales personnelles, fins citoyens canadiens revêt une importance primordiale. importance une revêt canadiens citoyens

an amendment to PIPEDA is needed to address des à renseignements de collecte la permettre Le gouvernement considère que la sécurité des sécurité la que considère gouvernement Le

issues of witness statements. “The Committee recommends that consideration pour consentement de matière en exigences

be given to clarifying what is meant by ‘lawful aux exceptions nouvelles de l’ajout par modifiée Réponse

authority’ in section 7(3)(c.1) of PIPEDA[.]” soit LPRPDE la que recommande Comité Le «

Recommandation 11 Recommandation Individual, Family and Public Interest Exceptions » LPRPDE[.] la de 7(3)(c.1) l’alinéa à

public public rité légitime ” légitime rité Recommendation 11 Response auto “ par entend l’on que ce préciser

à des fins personnelles, familiales et d’intérêt d’intérêt et familiales personnelles, fins des à « Le Comité recommande que l’on envisage de envisage l’on que recommande Comité Le «

“The Committee recommends that PIPEDA The government considers the safety and security renseignements de collecte la pour consentement

Exceptions aux exigences en matière de de matière en exigences aux Exceptions

be amended to add other individual, family of Canadian citizens to be of utmost importance. personnels. renseignements

or public interest exemptions in order to In meeting this objective, it firmly believes that the de communication la pour consentement

harmonize its approach with that taken by the information needs of law enforcement and security de l’obligation à exceptions ses et LPRPDE

questions liées aux déclarations de témoins. de déclarations aux liées questions

Quebec, Alberta and British Columbia private agencies can be met while respecting the right of la de 7(3) l’article (b) et »; légitime autorité «

une modification à la LPRPDE pour régler les les régler pour LPRPDE la à modification une

sector data protection Acts.” privacy of Canadians. d’une définition la (a) : législative modification

intervenants afin de déterminer s’il y a lieu d’apporter lieu a y s’il déterminer de afin intervenants propositions connexes, quoique distinctes, de distinctes, quoique connexes, propositions de la vie privée, le milieu juridique ainsi que les autres les que ainsi juridique milieu le privée, vie la de

Response The government wishes to confirm that the purpose deux comporte 12 recommandation La

of s. 7(3)(c.1) is to allow organizations to collaborate protection la à commissaire la consulter de Comité Recommandation 12 Recommandation Le gouvernement appuie la recommandation du recommandation la appuie gouvernement Le

The government agrees with the Committee’s view with law enforcement and national security agencies nationale sécurité et loi la de Application that certain limited exceptions to PIPEDA’s consent without a subpoena, warrant or court order. Réponse

requirements may be warranted in order to address Organizations who share information with

du Québec. du privé secteur the concerns expressed by stakeholders regarding government institutions, including law enforcement » déclarations. ces dans contenus sont

protection des renseignements personnels dans le dans personnels renseignements des protection the disclosure of personal information in cases of and national security agencies, in accordance with personnels renseignements les dont personnes

Loi sur la sur Loi la que ainsi Colombie-Britannique la de et natural disasters, elder abuse and other similar the requirements of this provision, are doing so in des droits des et témoins de déclarations des

protection des renseignements personnels de l’Alberta de personnels renseignements des protection

circumstances. However, in the interest of maintain- compliance with PIPEDA. question la régler pour LPRPDE la à modifications

étudiera les approches adoptées dans les lois sur la sur lois les dans adoptées approches les étudiera

ing strong privacy protection, any amendment to d’autres apporter faut s’il déterminer de afin privée

Au moment d’examiner les options, le gouvernement le options, les d’examiner moment Au

PIPEDA should be narrowly defined to ensure that The government acknowledges the concerns vie la de protection la à commissaire la consulte it will be used only for the intended purposes. expressed by those engaged in protecting the safe- gouvernement le que recommande Comité Le «

ty of Canadians, regarding the current interpretation prévues. fins qu’aux servira ne disposition Recommandation 10 Recommandation

of s. 7(3)(c.1) by the certain private sector organiza- la que s’assurer pour étroite façon de définie être renseignements personnels, toute modification devrait modification toute personnels, renseignements

tions, and the challenges that this has at times témoins de Déclarations

Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics 6

7 Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics and Privacy Information to Access on Committee Standing the of Report Fourth the to Response Government

sécurité des Canadiens, en ce qui concerne Réponse l’interprétation actuelle de l’alinéa 7(3)c.1) par certaines organisations du secteur privé et les défis que cela Conscient des avantages de clarifier l’expression

pose parfois pour les enquêtes et la prévention « institution gouvernementale », le gouvernement

territorial, federal and non-Canadian entities.” non-Canadian and federal territorial, d’activités criminelles au Canada. fait remarquer que la LPRPDE comporte déjà une

intended to encompass municipal, provincial, municipal, encompass to intended disposition destinée à conférer au gouverneur en

(d) be clarified in PIPEDA to specify whether it is it whether specify to PIPEDA in clarified be (d) Le gouvernement est donc d’accord avec le Comité conseil le pouvoir de prendre des règlements sur

‘government institution’ in sections 7(3)(c.1) and 7(3)(c.1) sections in institution’ ‘government pour dire qu’il est nécessaire de clarifier le concept ces questions. À ce titre, il sera possible de définir “The committee recommends that the term the that recommends committee “The d’« autorité légitime » aux fins de l’alinéa 7(3)c.1) de l’expression « institution gouvernementale » dans la

la Loi. Loi dans le cadre d’un règlement.

Recommendation 13 Recommendation Definition of “Government Institution” Institution” “Government of Definition “ [Le Comité recommande] que la formule Industrie Canada examinera la possibilité de procéder introductive du paragraphe 7(3) soit modifiée pour à une réglementation qui précisera la définition de se lire comme suit : “ Pour l’application de l’article l’expression « institution gouvernementale » pour les

from PIPEDA at this time. this at PIPEDA from 4.3 de l’annexe 1 et malgré la note afférente, fins de la Loi. recommendation. recommendation.

government is not prepared to remove s. 7(1)(e) 7(1)(e) s. remove to prepared not is government l’organisation doit communiquer des renseigne- implement this aspect of the Committee’s Committee’s the of aspect this implement

safety interests it is designed to address, the the address, to designed is it interests safety ments personnels à l’insu de l’intéressé et sans

reason, the government does not propose to to propose not does government the reason,

of Canadians. However, given the important public important the given However, Canadians. of son consentement dans les cas suivants :[...] ”. Alinéa 7(1)e)

is not well-suited to such a requirement. For this this For requirement. a such to well-suited not is

the potential impact of this provision on the privacy privacy the on provision this of impact potential the Recommandation 14

to implement, given that the purpose of PIPEDA PIPEDA of purpose the that given implement, to

by the Privacy Commissioner and others respecting respecting others and Commissioner Privacy the by Réponse

to disclose personal information would be difficult difficult be would information personal disclose to

(s.7(1e)), and acknowledges the concerns expressed concerns the acknowledges and (s.7(1e)), « Le Comité recommande que l’alinéa 7(1)e) soit

a further provision designed to require organizations require to designed provision further a Public Safety Act, 2002 Act, Safety Public

of PIPEDA arising from the the from arising PIPEDA of Comme on l’a mentionné précédemment, grâce à retiré de la LPRPDE. »

national security. The proposal to include in PIPEDA in include to proposal The security. national

The Government of Canada notes the recommendation the notes Canada of Government The une définition plus précise et à une meilleure

information for the purpose of law enforcement or enforcement law of purpose the for information compréhension de ce qu’on entend par « autorité Réponse

Response tions’ right under PIPEDA to disclose personal personal disclose to PIPEDA under right tions’ légitime », il sera possible de régler l’ambiguïté qui

address the current ambiguity regarding organiza- regarding ambiguity current the address existe actuellement en ce qui concerne le droit des Le gouvernement du Canada prend note de la

standing of what constitutes “lawful authority” would authority” “lawful constitutes what of standing section 7(1)(e) from PIPEDA.” from 7(1)(e) section organisations en vertu de la LPRPDE de communiquer recommandation du Comité visant à retirer les

des renseignements personnels aux fins d’application modifications apportées à la LPRPDE à cause de la As noted above, a clearer definition and under- and definition clearer a above, noted As

“The Committee recommends the removal of removal the recommends Committee “The de la loi ou de sécurité nationale. La proposition Loi de 2002 sur la sécurité publique, (alinéa 7(1)e)), et

d’inclure, dans la LPRPDE, une autre disposition reconnaît les préoccupations exprimées par la commis- Response

Recommendation 14 Recommendation conçue pour obliger les organisations à communiquer saire à la protection de la vie privée et d’autres au sujet

Section 7(1)(e) Section des renseignements personnels serait difficile à mettre de l’impact potentiel de cette disposition sur la protection

if the disclosure is [...]’” is disclosure the if en œuvre, car l’objet de la LPRPDE ne convient pas à des renseignements personnels des Canadiens. Toutefois,

knowledge or consent of the individual but only but individual the of consent or knowledge une telle exigence. Pour ce motif, le gouvernement ne en raison des intérêts importants en matière de sécurité

of the Act. the of

shall disclose personal information without the without information personal disclose shall propose pas de mettre en œuvre cet aspect de la publique que cet alinéa vise à traiter, le gouvernement

the term “government institution” for the purposes purposes the for institution” “government term the

accompanies that clause, an organization organization an clause, that accompanies recommandation du Comité. n’est pas prêt à retirer l’alinéa 7(1)e) de la LPRPDE

proceeding with a regulation that will further define define further will that regulation a with proceeding

Schedule 1, and despite the note that that note the despite and 1, Schedule pour l’instant.

Industry Canada will examine the possibility of of possibility the examine will Canada Industry as follows: ‘For the purpose of clause 4.3 of 4.3 clause of purpose the ‘For follows: as

paragraph of section 7(3) be amended to read to amended be 7(3) section of paragraph Définition d’« institution gouvernementale »

institution” in the Act through regulation. regulation. through Act the in institution” “[The Committee recommends that] the opening opening the that] recommends Committee “[The Recommandation 13

such, it would be possible to define “government define to possible be would it such, « Le Comité recommande que l’expression of s.7(3)(c.1) of the Act. Act. the of s.7(3)(c.1) of

to make regulations in relation to such matters. As matters. such to relation in regulations make to “ institution gouvernementale ” aux alinéas 7(3)c.1) concept of “lawful authority” for the purposes purposes the for authority” “lawful of concept

PIPEDA to grant the Governor-in-Council the power the Governor-in-Council the grant to PIPEDA et d) de la LPRPDE soit éclaircie afin de préciser Committee that there is a need to clarify the the clarify to need a is there that Committee

tions” and notes that a provision already exists in exists already provision a that notes and tions” si elle comprend les entités municipales,

The government therefore agrees with the with agrees therefore government The

providing clarity on the term “government institu- “government term the on clarity providing provinciales, territoriales, fédérales et non

The government recognizes the benefits of of benefits the recognizes government The canadiennes. »

criminal activity in Canada. Canada. in activity criminal

Response caused to the investigation and prevention of of prevention and investigation the to caused

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique 7

8

de la protection des renseignements personnels et de l’éthique de et personnels renseignements des protection la de

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, l’information, à l’accès de permanent Comité du Rapport Quatrième au gouvernement du Réponse

Personal Information of Minors continues to be actively engaged in cooperative de personnels renseignements des protection de cadre

Recommendation 15 efforts to develop cross-border privacy rules in d’un l’élaboration à participé a Canada le récemment,

compliance with the Framework. Finally, the Plus 1980. en adoptées été ont qui économiques,

“The Committee recommends that the govern- government is currently working with Mexico and développement de et coopération de l’Organisation de

ment examine the issue of consent by minors the United States to address issues of transborder personnel caractère de données de transfrontières

with respect to the collection, use and data flows in a North American context through flux les et privée vie la de protection la régissant Lignes directrices directrices Lignes

disclosure of their personal information in a the Security and Prosperity Partnership (SPP). des conception la à participé régler ces questions. Par exemple, le Canada avait Canada le exemple, Par questions. ces régler

commercial context with a view to amendments pour internationaux homologues ses avec longtemps

to PIPEDA in this regard.” depuis travaille gouvernement le titre, ce À tionale.

Personal Health Information interna- coopération une à grâce défis ces relever de

Response Recommendation 17 l’importance et données de transfrontalière circulation

protection des renseignements personnels que pose la pose que personnels renseignements des protection

The government recognizes that the privacy of “The Committee recommends that the govern- de matière en préoccupations les reconnaître de

ne soit nécessaire. Or, il est également important important également est il Or, nécessaire. soit ne

minors can be vulnerable, particularly in an online ment consult with members of the health care officiel. plus caractère un document

du Comité voulant qu’aucune modification législative modification qu’aucune voulant Comité du

environment. In support of the Committee’s recom- sector, as well as the Privacy Commissioner au attribuer pour possibles options des discuter

Le gouvernement appuie certes la recommandation recommandation la certes appuie gouvernement Le

mendation, the government will consult with relevant of Canada, to determine the extent to which de afin territoriaux et provinciaux gouvernements

stakeholders to examine the issue of consent by elements contained in the PIPEDA Awareness les et santé de soins des milieu le Canada, Réponse

minors, and to consider the necessity and feasibility Raising Tools document may be set out in du privée vie la de protection la à commissaire

of amending PIPEDA in this respect. legislative form.” la Canada, Santé avec travaillera Canada Industrie la LPRPDE. Fidèle à la recommandation du Comité, du recommandation la à Fidèle LPRPDE. la personnels. » personnels.

l’égard du document sur les outils de sensibilisation à sensibilisation de outils les sur document du l’égard la circulation transfrontalière de renseignements de transfrontalière circulation la

le milieu des soins de santé et d’autres intervenants à intervenants d’autres et santé de soins des milieu le Response concerne qui ce en LPRPDE la à apportée soit ne

Le gouvernement est heureux de l’appui exprimé par exprimé l’appui de heureux est gouvernement Le Transborder Data Flows modification qu’aucune recommande Comité Le «

Recommendation 16 The government welcomes the support

Réponse

expressed by the health care community and 16 Recommandation

“The Committee recommends that no amend- other stakeholders for the PIPEDA Awareness données de transfrontalière Circulation

ments be made to PIPEDA with respect to Raising Tools (PARTs) document. In concurrence » législative. forme sous énoncés

transborder flows of personal information.” with the Committee’s recommendation, Industry être pourraient LPRPDE la à sensibilisation

de modifier la LPRPDE à cet égard. égard. cet à LPRPDE la modifier de

Canada will work with Health Canada, the Privacy de outils les sur document du éléments

mineurs et de déterminer s’il est nécessaire et faisable et nécessaire est s’il déterminer de et mineurs

Response Commissioner of Canada, the health care quels déterminer de afin Canada du privée vie

afin d’examiner la question de consentement par des par consentement de question la d’examiner afin

community, as well as provincial and territorial la de protection la à Commissariat le et santé gouvernement consultera les intervenants pertinents intervenants les consultera gouvernement

While the government agrees with the Committee’s governments to discuss the possible options for de soins des secteur du membres les consulte ligne. À l’appui de la recommandation du Comité, le Comité, du recommandation la de l’appui À ligne.

recommendation that legislative amendments are according the PARTs document more formal status. gouvernement le que recommande Comité Le «

not necessary, it is also important to recognize the en environnement un dans particulièrement vulnérable, Recommandation 17 Recommandation renseignements personnels sur des mineurs peut être peut mineurs des sur personnels renseignements

Le gouvernement reconnaît que la protection des des protection la que reconnaît gouvernement Le privacy concerns raised by transborder data flows santé la sur personnels Renseignements

and the importance of addressing these challenges

through international cooperation. As such, the Réponse

government has long been committed to working (PSP).

biais du Partenariat de la sécurité et de la prospérité la de et sécurité la de Partenariat du biais with its international counterparts on these matters, » égard. cet à LPRPDE

de données dans le contexte nord-américain, par le par nord-américain, contexte le dans données de and continues to do so. For example, Canada was la modifier de vue en commercial, contexte un

pour régler les questions de circulation transfrontalière circulation de questions les régler pour

involved in the conception of the Organisation for dans personnels renseignements leurs de cation

travaille actuellement avec le Mexique et les États-Unis les et Mexique le avec actuellement travaille

Economic Co-operation and Development communi- la et l’utilisation collecte, la concernant

conformément à ce cadre. Enfin, le gouvernement gouvernement le Enfin, cadre. ce à conformément

Guidelines on the Protection of Privacy and mineurs des consentement du question la examine

transfrontalière des renseignements personnels personnels renseignements des transfrontalière Transborder Flows of Personal Data, adopted in gouvernement le que recommande Comité Le «

1980. More recently, Canada participated in the protection de règles des élaborer pour coopération Recommandation 15 Recommandation

development of the Asia-Pacific Economic de efforts les dans actif rôle un jouer de continue et la Coopération économique Asie-Pacifique (APEC) (APEC) Asie-Pacifique économique Coopération la

Cooperation (APEC) Privacy Framework and mineurs des sur personnels Renseignements

Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics 8

9 Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics and Privacy Information to Access on Committee Standing the of Report Fourth the to Response Government

Pacific Economic Cooperation (APEC) and the and (APEC) Cooperation Economic Pacific Pouvoirs de rendre des ordonnances Partage d’information avec d’autres autorités

Co-operation and Development (OECD), the Asia- the (OECD), Development and Co-operation Recommandation 18 responsables de données

ongoing work within the Organisation for Economic for Organisation the within work ongoing Recommandations 20 et 21

Committee recommendation is directly related to related directly is recommendation Committee « Le Comité recommande qu’aucun pouvoir de

this power. this

of the purposes for which it is shared. This shared. is it which for purposes the of rendre des ordonnances ne soit octroyé pour Recommandation 20

determine when it is in the public interest to use use to interest public the in is it when determine

stipulate that information only be used in fulfilment in used be only information that stipulate l’instant à la commissaire fédérale à la protection

complaints, and should retain the discretion to discretion the retain should and complaints, authorities should include appropriate constraints to constraints appropriate include should authorities de la vie privée. » « Le Comité recommande qu’en vertu de la

publicly name organizations that are subject to subject are that organizations name publicly any agreements to share information with foreign with information share to agreements any LPRPDE, la commissaire fédérale à la protection

currently possesses the ability under PIPEDA to PIPEDA under ability the possesses currently ability to work effectively in this manner. However, manner. this in effectively work to ability Réponse de la vie privée soit habilitée à partager des

required in this regard. The Privacy Commissioner Privacy The regard. this in required parts is too limited and therefore constrains her her constrains therefore and limited too is parts renseignements personnels et à coopérer, dans

recommendation that no legislative change is change legislative no that recommendation current power to share information with her counter- her with information share to power current Le gouvernement convient qu’aucun pouvoir de rendre le cadre d’enquêtes d’intérêt mutuel, avec ses

The government agrees with the Committee’s Committee’s the with agrees government The It further agrees that the Privacy Commissioner’s Commissioner’s Privacy the that agrees further It des ordonnances ne devrait être octroyé pour l’instant à la homologues des provinces où il n’y a pas de lois commissaire à la protection de la vie privée. Cette position essentiellement similaires à la loi fédérale pour le

est appuyée par le point de vue général exprimé dans secteur privé, ainsi qu’avec les instances respons- Response

her mandate under PIPEDA. PIPEDA. under mandate her l’ensemble des témoignages et des mémoires présentés ables de la protection des données à l’étranger. »

tion, both in Canada and abroad, in order to fulfill to order in abroad, and Canada in both tion, au Comité, à savoir que la LPRPDE fonctionne assez bien. responsible for the protection of personal informa- personal of protection the for responsible

organizations in the public interest.” public the in organizations De plus, comme la Loi est entrée en vigueur depuis peu, Recommandation 21

Commissioner be able to work with other authorities other with work to able be Commissioner

discretionary power to publicly name name publicly to power discretionary il faut adopter une approche prudente pour ce qui est

the modern economy requires that the Privacy the that requires economy modern the

with respect to the Privacy Commissioner’s Commissioner’s Privacy the to respect with d’apporter des modifications importantes aux pouvoirs « Le Comité recommande que les renseignements

jurisdictional investigations. The global nature of of nature global The investigations. jurisdictional

amendment be made to section 20(2) of PIPEDA of 20(2) section to made be amendment d’application de la commissaire à la protection de la vie partagés avec d’autres pays, particulièrement les

Privacy Commissioner to cooperate in multi- in cooperate to Commissioner Privacy

“The Committee recommends that no no that recommends Committee “The privée. On devrait plutôt donner à la commissaire plus de États-Unis, soient dûment protégés de façon à

The government agrees with the need for the for need the with agrees government The temps pour utiliser pleinement les pouvoirs d’application ne pas être divulgués à un tribunal étranger ou

Recommendation 19 Recommendation dont elle dispose maintenant. à une autre instance gouvernementale à des fins

(to Recommendations 20 and 21) and 20 Recommendations (to

Naming Names Names Naming autres que celles pour lesquelles ils ont été Response Response communiqués. »

Divulgation de l’identité des contrevenants

her disposal. her than those for which it was shared.” was it which for those than Recommandation 19 Réponse (aux recommandations 20 et 21) full use of the enforcement powers that are currently at currently are that powers enforcement the of use full

other government authority for purposes other purposes for authority government other « Le Comité recommande qu’aucune modification Le gouvernement est d’accord pour dire que la Commissioner should be given additional time to make to time additional given be should Commissioner

protected from disclosure to a foreign court or court foreign a to disclosure from protected ne soit apportée au paragraphe 20(2) de la commissaire à la protection de la vie privée doit powers of the Privacy Commissioner. Rather, the Rather, Commissioner. Privacy the of powers

particularly to the United States, be adequately be States, United the to particularly LPRPDE en ce qui concerne le pouvoir coopérer dans les enquêtes avec d’autres pays. En

making significant amendments to the enforcement the to amendments significant making

extra-jurisdictional information sharing, sharing, information extra-jurisdictional discrétionnaire de la commissaire à la protection raison de la nature mondiale de l’économie moderne,

been in existence warrants a cautionary approach to approach cautionary a warrants existence in been

“The Committee recommends that any any that recommends Committee “The de la vie privée de divulguer l’identité d’une la commissaire à la protection de la vie privée doit

addition, the relatively short time for which the Act has Act the which for time short relatively the addition, organisation dans l’intérêt public. » être en mesure de travailler avec d’autres autorités

Recommendation 21 Recommendation

the Committee that PIPEDA is working quite well. In well. quite working is PIPEDA that Committee the responsables de la protection des renseignements

expressed throughout oral and written submissions to submissions written and oral throughout expressed Réponse personnels, tant au Canada qu’à l’étranger, afin de

time. This position is supported by the general view general the by supported is position This time. well as international data protection authorities.” protection data international as well remplir son mandat en vertu de la LPRPDE.

should not be granted order-making powers at this at powers order-making granted be not should substantially similar private sector legislation, as legislation, sector private similar substantially Le gouvernement appuie la recommandation du

The government agrees that the Privacy Commissioner Privacy the that agrees government The with provincial counterparts that do not have have not do that counterparts provincial with Comité voulant qu’aucune modification ne soit Le gouvernement convient aussi que le pouvoir actuel

cooperate in investigations of mutual interest interest mutual of investigations in cooperate nécessaire relativement à cette question. En vertu de la commissaire à la protection de la vie privée en

Response under PIPEDA to share personal information and information personal share to PIPEDA under de la LPRPDE, la commissaire à la protection de ce qui concerne le partage d’information avec ses la vie privée a la capacité de rendre public le nom des homologues est limité, ce qui restreint sa capacité de

Privacy Commissioner be granted the authority the granted be Commissioner Privacy organisations qui font l’objet de plaintes; elle devrait bien travailler en collaboration. Toutefois, il est reconnu making powers at this time.” this at powers making

“The Committee recommends that the Federal the that recommends Committee “The donc conserver ce pouvoir discrétionnaire lorsqu’il est que toute entente de partage d’information avec des

Privacy Commissioner not be granted order- granted be not Commissioner Privacy dans l’intérêt public d’utiliser ce pouvoir. autorités étrangères devrait inclure des contraintes

Recommendation 20 Recommendation “The Committee recommends that the Federal the that recommends Committee “The appropriées pour stipuler que les renseignements ne

seront utilisés que pour les fins prévues.

Recommendation 18 Recommendation Recommendations 20 and 21 and 20 Recommendations

Order-Making Powers Order-Making Sharing Information with Other Data Authorities Authorities Data Other with Information Sharing

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique 9

10

de la protection des renseignements personnels et de l’éthique de et personnels renseignements des protection la de

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, l’information, à l’accès de permanent Comité du Rapport Quatrième au gouvernement du Réponse

Security and Prosperity Partnership (SPP) directed Data Breach Notification aux ou personnes aux importante nuisance de

at improving cross-border enforcement of privacy Recommendations 23, 24 and 25 élevé risque un existe il où définies, données de rules. The federal government and the Privacy fuites certaines de cas les dans conséquent, Par

Commissioner of Canada are both actively involved Recommendation 23 »). fatigue « la de entraîne qui excessive notification Cour suprême dans cette affaire. affaire. cette dans suprême Cour

in these initiatives. une (par public du yeux aux valeur sa diminuer son client. Le gouvernement attendra la décision de la de décision la attendra gouvernement Le client. son

“The Committee recommends that PIPEDA be même pourrait et organisations les pour coûteuse et la question du secret professionnel liant un avocat à avocat un liant professionnel secret du question la

amended to include a breach notification fastidieuse serait cas les tous dans public avis d’un l’instant de prendre une mesure législative pour régler pour législative mesure une prendre de l’instant aux renseignements personnels des gens, l’obligation gens, des personnels renseignements aux

le gouvernement juge qu’il ne conviendrait pas pour pas conviendrait ne qu’il juge gouvernement le Solicitor-Client Privilege provision requiring organizations to report réelle menace aucune posent ne données de fuites

d’interjeter appel devant la Cour suprême du Canada, du suprême Cour la devant appel d’interjeter Recommendation 22 certain defined breaches of their personal nombreuses de comme Toutefois, nuisance. de risque

protection de la vie privée a reçu l’autorisation l’autorisation reçu a privée vie la de protection information holdings to the Privacy leur d’atténuer afin mesures des prendre puissent

donné qu’en mars 2007, la commissaire à la la à commissaire la 2007, mars qu’en donné

“The Committee recommends that PIPEDA be Commissioner.” qu’elles pour incident tel un par touchées sont qui

. Étant . Canada du privée vie la de protection la à amended to permit the Privacy Commissioner organisations aux ou personnes aux avis un stances,

Blood Tribe Department of Health c. Commissaire Commissaire c. Health of Department Tribe Blood to apply to the Federal Court for an expedited Response circon- certaines dans émettre, faut qu’il admis ment

fédérale a rendu une décision sur cette question question cette sur décision une rendu a fédérale review of a claim of solicitor-client privilege in générale- est Il particuliers. les et organisations les sur

également qu’en octobre 2006, la Cour d’appel Cour la 2006, octobre qu’en également

respect of the denial of access to personal The government recognizes that identity theft is répercussions d’importantes a qui complexe question

liant un avocat à son client. Le gouvernement note gouvernement Le client. son à avocat un liant

information (s.9(3)(a)) where the Commissioner a significant and growing problem and that the une est données des sécurité la à atteinte d’une public

de vérifier les allégations de secret professionnel professionnel secret de allégations les vérifier de has sought, and been denied, production of the increasing frequency of large data breaches l’avis rapport, son dans Comité le reconnaît le Comme

information in the course of an investigation.” involving personal information is a contributing Canada du privée vie la de protection la à commissaire du Comité en ce qui concerne la capacité de la la de capacité la concerne qui ce en Comité du

factor. It is also recognized that the majority of données. des sécurité la sérieux au Le gouvernement reconnaît la recommandation recommandation la reconnaît gouvernement Le

Response businesses act in good faith, and notify those prendre à organisations les toutes encouragerait et une approche uniforme dans l’ensemble du marché marché du l’ensemble dans uniforme approche une

Réponse affected in the event of breaches as a matter of établirait données des sécurité la à d’atteinte avis un

The government acknowledges the Committee’s course. Some, however, do not. In this light, the obliger pour LPRPDE la à modification qu’une Comité

perspective, le gouvernement est d’accord avec le avec d’accord est gouvernement le perspective, recommendation in respect of the ability of the government agrees with the Committee that a enquête. d’une cadre le dans d’information

données, alors que d’autres ne le font pas. Dans cette Dans pas. font le ne d’autres que alors données,

Privacy Commissioner of Canada to verify claims of legislative requirement for notification of data production la refuser fait s’est commissaire la

les personnes touchées dans un incident de fuites de fuites de incident un dans touchées personnes les solicitor-client privilege. The government also notes breaches would establish a consistent approach lorsque 9(3)a)), (alinéa personnels renseignements

et que certaines d’entre elles avisent automatiquement avisent elles d’entre certaines que et that in October 2006, the Federal Court of Appeal across the marketplace and encourage all des à l’accès refuser pour invoquée client son à

que la plupart des entreprises agissent de bonne foi foi bonne de agissent entreprises des plupart la que

ruled on this matter in Blood Tribe Department of organizations to take the security of personal avocat un liant professionnel secret de allégation

qui contribue à ce problème. Il est également admis également est Il problème. ce à contribue qui

Health v. the Privacy Commissioner of Canada. information seriously. d’une accéléré examen un Canada du fédérale

liées aux renseignements personnels est un facteur un est personnels renseignements aux liées

Given that in March 2007, the Privacy Cour la à demander à habilitée soit privée vie la de

la fréquence accrue d’importantes fuites de données de fuites d’importantes accrue fréquence la

Commissioner was granted leave to appeal before As the Committee’s Report acknowledges, public protection la à commissaire la que afin modifiée un problème de taille qui ne cesse de croître et que que et croître de cesse ne qui taille de problème un

the Supreme Court of Canada, the government notification of data breaches is a complex issue soit LPRPDE la que recommande Comité Le «

would submit that any legislative action to address with significant implications for organizations and est d’identité vol le que reconnaît gouvernement Le

the issue of solicitor-client privilege would be individuals. There is a general recognition of the 22 Recommandation Réponse

inappropriate at this time and that it will await need in certain circumstances for notification to client un à avocat un liant professionnel Secret

the decision of the Supreme Court on the matter. individuals or organizations who are impacted by a » privée. vie la de protection

Canada participent activement à ces initiatives. ces à activement participent Canada breach so that they can take steps to mitigate their la à commissaire la à personnels renseignements

et la commissaire à la protection de la vie privée du privée vie la de protection la à commissaire la et

risk of harm. However, as many breaches pose no de fonds leurs de confidentialité la de précises

renseignements personnels. Le gouvernement fédéral gouvernement Le personnels. renseignements

real threat to the personal information of individuals, violations certaines signaler à organisations les

transfrontalière des règles sur la protection des des protection la sur règles des transfrontalière

a requirement for public notification in all cases obligeant disposition d’une l’ajout par modifiée

prospérité (PSP), en vue d’améliorer l’application l’application d’améliorer vue en (PSP), prospérité

would be burdensome and costly to organizations soit LPRPDE la que recommande Comité Le «

and might even diminish its value to the public la et sécurité la pour Partenariat du et (APEC)

Recommandation 23 Recommandation

(through notification “fatigue”). Therefore, in the Asie-Pacifique économique Coopération la de (OCDE),

case of certain defined breaches, where a high risk économiques développement de et coopération Recommandations 23, 24 et 25 et 24 23, Recommandations

of significant harm to individuals or organizations de l’Organisation de contexte le dans Canada du travaux continus avec les partenaires internationaux internationaux partenaires les avec continus travaux

exists, the government supports a legislative personnels Cette recommandation est directement liée aux liée directement est recommandation Cette

requirement for the prompt notification of those renseignements des sécurité la à d’atteinte Avis affected by the loss or theft of personal information. Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics 10

11 Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics and Privacy Information to Access on Committee Standing the of Report Fourth the to Response Government

organisations, le gouvernement appuie une obligation privée la responsabilité de décider s’il faut aviser ou

perspective. législative d’émettre rapidement un avis à ceux qui non les autres, serait une solution de rechange moins

burdensome for that Office from a resource resource a from Office that for burdensome sont touchés par la perte ou le vol de renseignements efficace et plus fastidieuse pour le Commissariat du

be a less effective alternative, as well as more more as well as alternative, effective less a be personnels. point de vue des ressources.

notification, as proposed by the Committee, would would Committee, the by proposed as notification,

Commissioner the responsibility to decide on on decide to responsibility the Commissioner De plus, comme le recommande le Comité, l’exigence

and/or the general public. Assigning the Privacy the Assigning public. general the and/or de déclarer tous les incidents de vol ou de perte de Recommandation 25

notification of their customers, business partners, partners, business customers, their of notification renseignements personnels à la commissaire à la

regarding whether and how to proceed with with proceed to how and whether regarding protection de la vie privée dans un délai précis, ainsi « Le Comité recommande qu’au moment de

involved and to make a prompt determination prompt a make to and involved que les détails de l’incident et les mesures prises décider des détails d’un modèle d’avis adapté à la

positioned to understand and assess the risks the assess and understand to positioned par l’organisation pour aviser les personnes (ou une LPRPDE, il faudra aussi prendre en considération

the organization experiencing the breach is well is breach the experiencing organization the notification assessments. notification justification si elle ne les avise pas), pourrait permettre le moment et la façon de signaler les atteintes, les

oversight by the Privacy Commissioner of Canada, of Commissioner Privacy the by oversight may lack the internal resources necessary to make to necessary resources internal the lack may une surveillance des pratiques organisationnelles. Cela sanctions en cas de défaut d’aviser, et la nécessité

permettra à la commissaire à la protection de la vie de prévoir un pouvoir d’aviser “ sans consente- on a case-by-case basis. Assuming appropriate Assuming basis. case-by-case a on

standards would be particularly useful to SMEs that SMEs to useful particularly be would standards privée d’avoir l’occasion de surveiller le volume et la ment ” les agences d’évaluation du crédit afin be based on an analysis of the level of risk of harm of risk of level the of analysis an on based be

Clearly defined, industry-wide guidelines and and guidelines industry-wide defined, Clearly nature des fuites de données et les mesures prises d’aider à protéger les consommateurs contre notification is required in the event of a breach must breach a of event the in required is notification

notified in addition to the Privacy Commissioner. Privacy the to addition in notified par les organisations qui respectent le processus le vol d’identité et la fraude. »

The decision as to whether or not individual individual not or whether to as decision The

organizations, such as credit bureaus, should be be should bureaus, credit as such organizations, d’avis, au besoin. Cette approche serait particulière-

individuals, and in addition, identification of which which of identification addition, in and individuals, ment utile pour les petites et moyennes entreprises Réponse

Response

the timing, form, content and mode of notification to notification of mode and content form, timing, the (PME) qui pourraient ne pas disposer de ressources

are appropriate. The issues considered will include will considered issues The appropriate. are internes suffisantes pour effectuer des évaluations Le gouvernement reconnaît que le fait de déterminer

purpose of determining whether specific offences specific whether determining of purpose

manner.” d’avis. les paramètres précis du modèle, y compris les

practical notification parameters as well as for the the for as well as parameters notification practical

others should be notified and if so, in what what in so, if and notified be should others « éléments déclencheurs » et les « seuils » de

specifics for the purpose of developing effective and effective developing of purpose the for specifics

as to whether or not affected individuals and and individuals affected not or whether to as notification (pour la commissaire à la protection de la

An important part of consultations will pertain to pertain will consultations of part important An Commissioner shall make a determination determination a make shall Commissioner Recommandation 24 vie privée et les personnes touchées) sera un élément

personal information holdings, the Privacy the holdings, information personal essentiel dans la disposition en matière de notification.

to arrive at the best model for Canada. Canada. for model best the at arrive to being notified of a breach of an organization’s organization’s an of breach a of notified being « Le Comité recommande que, dès qu’une Il faudra effectuer des recherches, des analyses et des

organisation lui signale une atteinte à la consultations pour aboutir au meilleur modèle pour Research, analysis and consultation will be required required be will consultation and analysis Research,

“The Committee recommends that upon upon that recommends Committee “The confidentialité de son fonds de renseignements le Canada.

critical element in the breach notification provision. notification breach the in element critical personnels, la commissaire à la protection de la Recommendation 24 Recommendation

Commissioner and affected individuals) will be a a be will individuals) affected and Commissioner vie privée décide s’il y a lieu ou non d’en informer Une partie importante des consultations concernera

and “thresholds” for notification (to both the Privacy the both (to notification for “thresholds” and les personnes concernées ainsi que d’autres les détails pour élaborer des paramètres de notification

notification assessments. notification

of the specifics of the model, including “triggers” “triggers” including model, the of specifics the of personnes et, dans l’affirmative, détermine la efficaces et pratiques et pour déterminer si des

may lack the internal resources necessary to make make to necessary resources internal the lack may

The government recognizes that the determination determination the that recognizes government The façon de procéder à cette fin. » infractions particulières sont pertinentes. Parmi les

to small and medium-size enterprises (SMEs) that (SMEs) enterprises medium-size and small to questions examinées, on comptera l’échéance, la

Response

when required. This would be particularly useful useful particularly be would This required. when Réponse forme, le contenu et le mode de notification des

organizations respecting the notification process notification the respecting organizations personnes, en plus de l’identification des organisa-

and nature of breaches, and the steps taken by by taken steps the and breaches, of nature and identity theft and fraud.” and theft identity La décision d’aviser ou non les personnes en cas tions, telles que les organismes d’évaluation du crédit,

Commissioner an opportunity to track the volume volume the track to opportunity an Commissioner bureaus in order to help protect consumers from consumers protect help to order in bureaus d’une atteinte à la sécurité des données doit reposer à la commissaire à la protection de la vie privée. Des

organizational practices. This will allow the Privacy the allow will This practices. organizational for a ‘without consent’ power to notify credit notify to power consent’ ‘without a for sur une analyse du niveau de risque de nuisance au lignes directrices et des normes clairement définies à

for not doing so), would allow for oversight of of oversight for allow would so), doing not for tion, penalties for failure to notify, and the need the and notify, to failure for penalties tion, cas par cas. Dans l’hypothèse d’une surveillance l’échelle de l’industrie seraient particulièrement utiles

appropriée par la commissaire à la protection de la vie pour les petites et moyennes entreprises (PME) qui organization to notify individuals (or justification justification (or individuals notify to organization

given to questions of timing, manner of notifica- of manner timing, of questions to given privée du Canada, les organisations qui connaissent pourraient ne pas disposer de ressources internes the details of the incident and steps taken by the the by taken steps and incident the of details the

notification model, consideration should be should consideration model, notification une telle expérience sont bien placées pour compren- suffisantes pour effectuer des évaluations d’avis. of Canada within a specified time-frame, including including time-frame, specified a within Canada of

determining the specifics of an appropriate appropriate an of specifics the determining dre et évaluer les risques en jeu et pour prendre une

personal information to the Privacy Commissioner Commissioner Privacy the to information personal

“The Committee recommends that in in that recommends Committee “The décision rapide sur la nécessité et la façon d’aviser

requirement to report any major loss or theft of of theft or loss major any report to requirement leurs clients, leurs partenaires commerciaux et/ou le

Recommendation 25 Recommendation In addition, as the Committee recommends, a a recommends, Committee the as addition, In grand public. La proposition du Comité, selon laquelle on confierait à la commissaire à la protection de la vie

Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique 11

12

de la protection des renseignements personnels et de l’éthique de et personnels renseignements des protection la de Réponse du gouvernement au Quatrième Rapport du Comité permanent de l’accès à l’information, l’information, à l’accès de permanent Comité du Rapport Quatrième au gouvernement du Réponse

Conclusions and Next Steps

n a modern, information-based economy, a solid, Further consultations will help establish a consensus efficient regime for the protection of personal with respect to issues where disagreement exists. Iinformation is vitally important for both In areas where a general consensus exists, consumers and businesses. For this reason, consultations can help determine how they could be the government is committed to ensuring that most effectively implemented. This process will also Canadians continue to benefit from one of the provide a final opportunity to raise any issues not highest standards of privacy protection in the world. reflected in the Committee’s Report, and seek to

It further recognizes the valuable role of PIPEDA address concerns expressed by law enforcement

in meeting this objective, and the importance of and national security agencies with respect to privée. vie la de protection la à fédérale commissaire

fine-tuning the Act where necessary. provisions in PIPEDA designed to protect their la de vue de points aux particulière attention une prêter

investigations. de plus en territoriaux, et provinciaux gouvernements

The ETHI Report underlines the complexity and les fédéraux, organismes et ministères d’autres dien, sensitivity surrounding many of the issues that relate Lastly, the public consultations will allow provincial cana- public le consultera gouvernement Le possible.

to Canada’s laws and policies for the protection of and territorial governments to provide input into the efficace plus la soit œuvre en mise sa à et LPRPDE

personal information. The government appreciates review process, as changes to PIPEDA will have la à apportée modification toute que s’assurer de

the efforts of the Committee in developing implications for the protection of privacy in all afin poussées plus consultations des mener de donc

proposals for consideration which will significantly provinces and territories. envisage gouvernement le étape, prochaine Comme

advance the goal of improving the legislation and its parlementaire. examen pour stratégiques

une gamme complète de propositions législatives et législatives propositions de complète gamme une implementation. While stating its position on many On the basis of the views received, the government autres. et législatives

les domaines essentiels, avant de pouvoir présenter pouvoir de avant essentiels, domaines les of the ETHI recommendations, the government will return to Parliament in the near future with mesures de précises propositions des avec avenir

qu’il faut mener d’autres travaux et consultations dans consultations et travaux d’autres mener faut qu’il

believes further work and consultation is needed in specific proposals for both legislative and non- proche un dans Parlement le devant comparaîtra

des recommandations de l’ETHI, le gouvernement juge gouvernement le l’ETHI, de recommandations des

several critical areas before a full range of legislative legislative action. gouvernement le reçues, opinions des lumière la À

and policy proposals can be presented for partie bonne d’une l’égard à position sa énoncé a s’il

l’objectif d’améliorer la Loi et sa mise en œuvre. Même œuvre. en mise sa et Loi la d’améliorer l’objectif

parliamentary consideration. territoires. des et provinces des l’ensemble

élaborer des propositions qui feront nettement avancer nettement feront qui propositions des élaborer sur la protection des renseignements personnels dans personnels renseignements des protection la sur

reconnaissant des efforts déployés par le Comité pour Comité le par déployés efforts des reconnaissant

In moving forward, the government intends to répercussions des auront LPRPDE la à modifications renseignements personnels. Le gouvernement est gouvernement Le personnels. renseignements

conduct further consultations to ensure that any les que donné étant d’examen, processus au apport lois et politiques du Canada pour la protection des des protection la pour Canada du politiques et lois

changes to PIPEDA and its implementation are the un fournir de territoriaux et provinciaux gouvernements délicate des nombreuses questions qui sont liées aux liées sont qui questions nombreuses des délicate

most effective possible. The government will aux permettront publiques consultations les Enfin,

consult with the Canadian public, other government nature la et complexité la souligne l’ETHI de rapport Le enquêtes. enquêtes.

nécessaire. nécessaire. departments and agencies, as well as provincial and leurs protéger à destinées LPRPDE la de dispositions

objectif et l’importance de l’ajuster lorsque cela s’avère cela lorsque l’ajuster de l’importance et objectif territorial governments, and will take special note of les concerne qui ce en nationale sécurité de et loi la

rôle précieux que joue la LPRPDE pour atteindre cet atteindre pour LPRPDE la joue que précieux rôle the views of the federal Privacy Commissioner. de d’application organismes les par exprimées tions

renseignements personnels. Il reconnaît également le également reconnaît Il personnels. renseignements dans le rapport du Comité et de régler les préoccupa- les régler de et Comité du rapport le dans

élevées au monde en matière de protection des des protection de matière en monde au élevées questions qui n’avaient pas été prises en considération en prises été pas n’avaient qui questions

continuent de profiter de l’une des normes les plus les normes des l’une de profiter de continuent également une dernière occasion de soulever des soulever de occasion dernière une également

ment est déterminé à s’assurer que les Canadiens Canadiens les que s’assurer à déterminé est ment efficace des propositions. Ce processus donnera processus Ce propositions. des efficace

teurs que les entreprises. C’est pourquoi le gouverne- le pourquoi C’est entreprises. les que teurs déterminer comment assurer une mise en œuvre plus œuvre en mise une assurer comment déterminer

est d’une importance vitale, tant pour les consomma- les pour tant vitale, importance d’une est consensus général, les consultations peuvent aider à aider peuvent consultations les général, consensus

D

la protection des renseignements personnels renseignements des protection la existe un désaccord. Dans les dossiers où il existe un existe il où dossiers les Dans désaccord. un existe

l’information, un régime efficace et solide pour solide et efficace régime un l’information, possible d’établir un consensus dans les dossiers où il où dossiers les dans consensus un d’établir possible

ans une économie moderne, basée sur sur basée moderne, économie une ans Grâce à des consultations plus poussées, il sera sera il poussées, plus consultations des à Grâce Conclusions et prochaines étapes prochaines et Conclusions

Government Response to the Fourth Report of the Standing Committee on Access to Information Privacy and Ethics 12