Organisation de protection de la
vie privée et lois sur la protection de la vie privée |
Année à laquelle l’organisation a
acquis ses plus récents pouvoirs d’exécution en vertu d’une loi ou d’un
amendement |
Pouvoir de rendre des ordonnances
et responsabilité |
Dommages-intérêts d’origine
législative et sanctions |
Canada
CPVP
LPRPDE
|
2000 |
N’a pas le pouvoir de rendre des
ordonnances.
Peut ouvrir une enquête sur les
plaintes ou amorcer une vérification s’il existe des motifs raisonnables de
croire que l’organisation contrevient à la LPRPDE.
A le pouvoir de recueillir des
éléments de preuve et d’entrer sur les lieux. |
N’a pas le pouvoir d’imposer une
amende ni d’accorder des dommages-intérêts.
Doit se présenter devant la Cour
fédérale pour donner suite aux constatations. |
France
Commission nationale de l’informatique et des
libertés (CNIL)
Loi relative à l’informatique, aux
fichiers et aux libertés (LIL)
|
2004 |
Peut imposer une décision.
Doit informer l’entreprise avant
d’entrer sur les lieux et de commencer l’enquête.
Doit obtenir une autorisation de la
cour pour faire enquête si l’organisation s’y objecte au départ. |
Peut imposer une amende allant de
10 000 à 50 000 € si un manquement à la sécurité est constaté
après une évaluation de conformité.
En vertu du Code criminel, une
amende ne dépassant pas 300 000 € et une peine d’incarcération de 5 ans
dans le cas d’un particulier et une amende de 1 500 000 € dans
le cas d’une personne morale peut être imposée pour manque de protection. |
Allemagne
Commissaire fédéral à la protection des données et à l’accès à l’information
Loi fédérale sur la protection des
données d’Allemagne (BDSG)
|
2009 |
Le commissaire supervise les entreprises
de télécommunications et de services postaux. La surveillance de la
protection des données dans d’autres sphères du secteur privé incombe aux
États.
Avis de manquement à la sécurité
obligatoire
Peut ordonner aux organisations de
remédier aux manquements à l’observation. |
- A le pouvoir d’imposer une amende
de 300 000 € à une organisation pour non-observation des règles sur la
protection des données.
- Des amendes plus lourdes peuvent
être imposées si des bénéfices commerciaux ont été réalisés à la suite d’une
infraction.
|
Irlande
Commissaire à la protection des données
Data Protection Act (loi sur la protection des données)
|
2003 |
A le pouvoir d’obtenir des
renseignements.
A le pouvoir de faire observer.
Peut nommer un « agent
autorisé » chargé d’entrer sur les lieux d’une organisation et
d’effectuer un examen.
Peut introduire une instance et mener
des poursuites (procédure sommaire). |
A le pouvoir d’imposer une amende
maximale de 3 000 € sur déclaration de culpabilité par procédure
sommaire. Sur déclaration de culpabilité par mise en accusation, la sanction
maximale est une amende de 100 000 €. |
Espagne
Agence espagnole de protection des
données
Loi espagnole sur la protection
des données
|
2011 |
A le pouvoir de rendre des
ordonnances, y compris la destruction des données et du matériel
d’entreposage de données.
Aucune exigence en matière d’avis de
manquement. |
A le pouvoir d’imposer des sanctions
applicables à trois catégories d’infractions, soit mineure, grave et très
grave, pouvant faire l’objet d’amendes allant de 600 à 600 000 €. |
Royaume-Uni
Bureau du commissaire à l’information
Data Protection Act (loi sur la protection des données)
|
2010 |
A le pouvoir d’imposer des sanctions
pécuniaires et de produire des avis d’évaluation.
Peut effectuer des vérifications dans
le secteur privé mais seulement avec le consentement de l’organisation.
Dans le cadre de certaines enquêtes,
a le pouvoir d’entrer sur les lieux sans préavis, au besoin en vertu d’un
mandat judiciaire.
Peut mener ses propres poursuites
devant la cour pénale en Angleterre, au Pays de Galles et en Irlande du Nord. |
A le pouvoir d’imposer une amende
maximale de 500 000 £ aux organisations en cas de manquement grave
à la protection des données. |
États-Unis d’Amérique
Commission fédérale du commerce
Federal Trade Commission Act (loi sur la commission fédérale du commerce)
|
1938 (la loi sur la commission
fédérale du commerce de 1914 a été modifiée de manière à prévoir des amendes
administratives en cas de non‑respect des ordonnances rendues en vertu
de l’article 5) |
A le pouvoir d’assigner des témoins
et d’exiger la production de documents.
Peut exiger le dépôt de rapports
annuels ou spéciaux afin d’obtenir des renseignements sur une organisation,
des pratiques et la direction.
Peut tenir un procès administratif ou
porter l’affaire devant les tribunaux.
Peut prescrire des règles définissant
les pratiques déloyales ou trompeuses.
Peut demander réparation en cas de
préjudice causé au consommateur. |
Peut demander, avec l’aide des
tribunaux, des amendes administratives en cas de non‑observation d’une
ordonnance définitive de cesser et de s’abstenir à la suite d’un procès
administratif. |
Australie
Bureau du commissaire à l’information d’Australie
(ADOPTÉ MAIS ENTRERA EN VIGUEUR SEULEMENT EN MARS 2014)
Enhancing Privacy Protection (meilleure protection des renseignements personnels)
|
Le projet de loi modifie la Privacy
Act of 1988 (loi sur la protection des renseignements personnels de
1988). |
Le commissaire aura le pouvoir
d’effectuer des évaluations de la protection des renseignements personnels
dans les organisations du secteur privé et dans les organismes
gouvernementaux.
Le commissaire sera habilité à
prendre une décision exécutoire à la suite d’une enquête menée de sa propre
initiative.
Le commissaire pourra accepter un
engagement écrit de la part d’une entité dans lequel celle-ci s’engage à
prendre une mesure précise ou à s’en abstenir. |
Le commissaire pourra imposer une
amende administrative maximale de 1 100 000 $ en cas
d’ingérence grave ou d’ingérences répétées dans la vie privée.
Si le commissaire est d’avis qu’une
organisation n’a pas respecté un engagement, il peut demander à la cour une
ordonnance pour obliger celle-ci à respecter son engagement. |
Union européenne Commission européenne
(PROPOSÉ)
Règlement général sur la
protection des données |
Actuellement à l’étude |
Les autorités chargées de la
protection des données ont toutes le pouvoir d’émettre des ordonnances pour
faire cesser des activités précises, corriger des données, effacer des
données ou détruire des données et donner accès aux particuliers à leurs
renseignements personnels.
De même, elles seront habilitées à
faire enquête pour obtenir du responsable du contrôle ou du traitement :
(a) l’accès à toutes les données à
caractère personnel et à toutes les informations nécessaires à l’exercice de
ses fonctions;
(b) l’accès à tous les locaux, y
compris tous les équipements et moyens de traitement des données, s’il existe
un motif raisonnable de supposer que s’y exerce une activité en violation du
présent règlement. |
Le règlement précise que chaque
autorité de contrôle est habilitée à imposer des sanctions administratives, y
compris un avertissement lors d’un premier manquement non intentionnel au règlement et jusqu’à trois niveaux d’amendes :
une amende maximale de
250 000 € (dans le cas des organisations gouvernementales ou sans
but lucratif) ou une amende maximale équivalent à 0,5 % du chiffre
d’affaires annuel mondial de l’organisation (dans le cas des entreprises);
une amende maximale de
500 000 € (dans le cas des organisations gouvernementales ou sans
but lucratif) ou une amende maximale équivalent à 1% du chiffre d’affaires
annuel mondial (dans le cas des entreprises);
une amende maximale de
1 000 000 € (dans le cas des organisations gouvernementales ou sans
but lucratif) ou une amende maximale équivalent à 2 % du chiffre
d’affaires annuel mondial (dans le cas des entreprises). |