• Organisations du secteur privé collectant, utilisant ou divulguant des données personnelles dans le cadre d'activités commerciales (s.4(1)(a))
• Entreprises sous juridiction fédérale (banques, télécoms, transport interprovincial)
• Flux transfrontaliers depuis ou vers les provinces ne disposant pas d'une loi jugée « substantiellement similaire » (« substantially similar ») par le gouvernement fédéral (Alberta, BC, Québec ont leur loi)
Exemptions
• Organismes gouvernementaux fédéraux (couverts par le Privacy Act)
• Activités personnelles, domestiques ou journalistiques (s.4(2))
• Provinces avec loi jugée « substantiellement similaire » (« substantially similar », s.26(2)) pour traitements intra-provinciaux
Articles clés
10 articles documentés
Articles structurants documentés dans la cartographie ACF.
Schedule 1 - Principle 1
Accountability
Une organisation est responsable des données personnelles sous son contrôle. Désignation d'un ou plusieurs individus responsables (« Privacy Officer », équivalent canadien du DPO).
Obligations
• Désigner un délégué à la protection des données (« Privacy Officer » sous PIPEDA, point de contact OPC, plaintes, demandes)
• Mettre en place des politiques et pratiques internes de protection
• Encadrer les transferts à des tiers par contrat (« transfer for processing »)
Schedule 1 - Principle 2
Identifying purposes
Les finalités de collecte des données doivent être identifiées au moment de la collecte ou avant.
Obligations
• Identifier clairement chaque finalité avant la collecte
• Réidentifier toute nouvelle finalité et obtenir un nouveau consentement si nécessaire
Schedule 1 - Principle 3
Consent
Consentement informé nécessaire pour la collecte, l'utilisation et la divulgation. Consentement explicite pour données sensibles ; implicite acceptable selon contexte.
Obligations
• Recueillir un consentement valide (informé, donné par une personne ayant la capacité)
• Permettre le retrait du consentement, avec préavis si nécessaire
• Privilégier le consentement explicite pour données sensibles (santé, finance)
Schedule 1 - Principle 4
Limiting collection
La collecte doit être limitée à ce qui est nécessaire aux finalités identifiées. Collecte par des moyens loyaux et licites.
Obligations
• Documenter la nécessité de chaque donnée collectée
• Eviter la collecte trompeuse ou par moyens irréguliers
Schedule 1 - Principle 5
Limiting use, disclosure, and retention
L'utilisation, la divulgation et la conservation des données sont limitées aux finalités identifiées. Les données doivent être détruites/anonymisées une fois la finalité atteinte.
Obligations
• Définir des durées de conservation par catégorie de données
• Mettre en place une procédure de suppression/anonymisation à l'échéance
Schedule 1 - Principle 7
Safeguards
Mesures de sécurité proportionnées à la sensibilité des données : contrôles physiques, organisationnels et techniques.
Obligations
• Mettre en place contrôles d'accès, chiffrement, journalisation
• Sensibiliser le personnel à la sécurité des données
• Documenter les mesures et les revoir périodiquement
Schedule 1 - Principle 8
Openness
Information facilement accessible sur les politiques et pratiques de traitement des données personnelles.
Obligations
• Publier une politique de confidentialité claire
• Indiquer les coordonnées du délégué à la protection des données (« Privacy Officer » sous PIPEDA) et la procédure de plainte
Schedule 1 - Principle 9
Individual access
Droit pour l'individu d'obtenir confirmation, accès, et rectification de ses données personnelles, généralement sous 30 jours.
Obligations
• Répondre aux demandes d'accès sous 30 jours (extensible 30 jours, art. 8(4))
• Indiquer les motifs en cas de refus et les voies de recours
s. 10.1
Breach of security safeguards - reporting (Division 1.1)
Notification obligatoire à l'OPC et aux personnes concernées en cas de violation présentant un « real risk of significant harm » (RROSH - risque réel de préjudice significatif). Notification à tout tiers susceptible de réduire le risque.
Obligations
• Évaluer le risque réel de préjudice significatif (« RROSH ») selon les critères (sensibilité, probabilité de mauvaise utilisation)
• Notifier l'OPC et les personnes concernées sans délai raisonnable
• Tenir un registre de toutes les violations (notifiées ou non, conservation 24 mois)
s. 14
Plainte auprès du Commissaire à la protection de la vie privée (OPC)
Toute personne peut déposer une plainte auprès de l'OPC pour violation. L'OPC enquête, peut tenter une médiation, et peut saisir la Cour fédérale.
Obligations
• Coopérer avec les enquêtes OPC
• Mettre en œuvre les recommandations OPC ou se préparer aux audiences Cour fédérale
Limiter la collecte et la conservation aux finalités identifiées (Principles 4 et 5)
Processs. 12 · s. 14 · s. 17
Coopérer avec les enquêtes OPC (s. 12-17)
Sanctions
Montants maximaux applicables selon les articles fixés par le texte.
Base légale · s. 28
Jusqu'à 100 000 CAD par infraction (offense punissable sur déclaration de culpabilité par procédure sommaire ou mise en accusation)
Défaut de notification d'une violation présentant un risque réel de préjudice significatif (« RROSH », s. 10.1) ou de tenue de registres (s. 10.3)
Base légale · s. 28
Jusqu'à 100 000 CAD par infraction
Entrave à une enquête OPC, destruction de données pour éviter une demande, représailles contre un lanceur d'alerte
Base légale · s. 16
Pas de plafond légal — dommages réels + dommages pour souffrance morale
Recours civil en dommages-intérêts devant la Cour fédérale après rapport OPC
Articulation avec l'AI Act
PIPEDA reste la loi fédérale canadienne en attendant l'adoption du projet de loi C-27 (Digital Charter Implementation Act 2022) qui créerait : (a) la CPPA (Consumer Privacy Protection Act, remplaçant PIPEDA avec sanctions allant jusqu'à 5 % du CA mondial / 25 M CAD) et (b) l'AIDA (Artificial Intelligence and Data Act, première loi IA fédérale canadienne, déjà couverte par lib/ai-systems/jurisdictions/canada-aida.ts). Pour un acteur transversal IA + données au Canada : (1) PIPEDA s'applique aux données personnelles utilisées pour entraîner / faire fonctionner l'IA ; (2) une fois C-27 adoptée, l'AIDA s'ajoutera pour les systèmes à impact élevé ; (3) au niveau provincial : Loi 25 Québec (en vigueur depuis 2023, incluant AIPD et règles IA décisionnelle automatisée), PIPA Alberta et PIPA BC.