Passer au contenu

ETHI Rapport du Comité

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

PDF

ANNEXE B — POUVOIRS D’EXÉCUTION EN VERTU DES LOIS INTERNATIONALES SUR LA PROTECTION DE LA VIE PRIVÉE*

Organisation de protection de la vie privée et lois sur la protection de la vie privée

Année à laquelle l’organisation a acquis ses plus récents pouvoirs d’exécution en vertu d’une loi ou d’un amendement

Pouvoir de rendre des ordonnances et responsabilité

Dommages-intérêts d’origine législative et sanctions

Canada
CPVP
LPRPDE

2000

N’a pas le pouvoir de rendre des ordonnances.

Peut ouvrir une enquête sur les plaintes ou amorcer une vérification s’il existe des motifs raisonnables de croire que l’organisation contrevient à la LPRPDE.

A le pouvoir de recueillir des éléments de preuve et d’entrer sur les lieux.

N’a pas le pouvoir d’imposer une amende ni d’accorder des dommages-intérêts.

Doit se présenter devant la Cour fédérale pour donner suite aux constatations.

France
Commission nationale de l’informatique et des libertés (CNIL)
Loi relative à l’informatique, aux fichiers et aux libertés (LIL)

2004

Peut imposer une décision[441].

Doit informer l’entreprise avant d’entrer sur les lieux et de commencer l’enquête.

Doit obtenir une autorisation de la cour pour faire enquête si l’organisation s’y objecte au départ.

Peut imposer une amende allant de 10 000 à 50 000 € si un manquement à la sécurité est constaté après une évaluation de conformité.

En vertu du Code criminel, une amende ne dépassant pas 300 000 € et une peine d’incarcération de 5 ans dans le cas d’un particulier et une amende de 1 500 000 € dans le cas d’une personne morale peut être imposée pour manque de protection.

Allemagne
Commissaire fédéral à la protection des données et à l’accès à l’information
Loi fédérale sur la protection des données d’Allemagne (BDSG)

 2009

Le commissaire supervise les entreprises de télécommunications et de services postaux. La surveillance de la protection des données dans d’autres sphères du secteur privé incombe aux États.

Avis de manquement à la sécurité obligatoire

Peut ordonner aux organisations de remédier aux manquements à l’observation.

  • A le pouvoir d’imposer une amende de 300 000 € à une organisation pour non-observation des règles sur la protection des données.
  • Des amendes plus lourdes peuvent être imposées si des bénéfices commerciaux ont été réalisés à la suite d’une infraction.

Irlande
Commissaire à la protection des données
Data Protection Act (loi sur la protection des données)

2003

A le pouvoir d’obtenir des renseignements.

A le pouvoir de faire observer.

Peut nommer un « agent autorisé » chargé d’entrer sur les lieux d’une organisation et d’effectuer un examen.

Peut introduire une instance et mener des poursuites (procédure sommaire).

A le pouvoir d’imposer une amende maximale de 3 000 € sur déclaration de culpabilité par procédure sommaire. Sur déclaration de culpabilité par mise en accusation, la sanction maximale est une amende de 100 000 €[442].

Espagne
Agence espagnole de protection des données
Loi espagnole sur la protection des données

2011

A le pouvoir de rendre des ordonnances, y compris la destruction des données et du matériel d’entreposage de données.

Aucune exigence en matière d’avis de manquement.

A le pouvoir d’imposer des sanctions applicables à trois catégories d’infractions, soit mineure, grave et très grave, pouvant faire l’objet d’amendes allant de 600 à 600 000 €.

Royaume-Uni
Bureau du commissaire à l’information
Data Protection Act (loi sur la protection des données)

2010

A le pouvoir d’imposer des sanctions pécuniaires et de produire des avis d’évaluation.

Peut effectuer des vérifications dans le secteur privé mais seulement avec le consentement de l’organisation.

Dans le cadre de certaines enquêtes, a le pouvoir d’entrer sur les lieux sans préavis, au besoin en vertu d’un mandat judiciaire.

Peut mener ses propres poursuites devant la cour pénale en Angleterre, au Pays de Galles et en Irlande du Nord.

A le pouvoir d’imposer une amende maximale de 500 000 £ aux organisations en cas de manquement grave à la protection des données.

États-Unis d’Amérique
Commission fédérale du commerce
Federal Trade Commission Act (loi sur la commission fédérale du commerce)

1938 (la loi sur la commission fédérale du commerce de 1914 a été modifiée de manière à prévoir des amendes administratives en cas de non‑respect des ordonnances rendues en vertu de l’article 5)[443]

A le pouvoir d’assigner des témoins et d’exiger la production de documents.

Peut exiger le dépôt de rapports annuels ou spéciaux afin d’obtenir des renseignements sur une organisation, des pratiques et la direction.

Peut tenir un procès administratif ou porter l’affaire devant les tribunaux.

Peut prescrire des règles définissant les pratiques déloyales ou trompeuses.

Peut demander réparation en cas de préjudice causé au consommateur.

Peut demander, avec l’aide des tribunaux, des amendes administratives en cas de non‑observation d’une ordonnance définitive de cesser et de s’abstenir à la suite d’un procès administratif.

Australie
Bureau du commissaire à l’information d’Australie (ADOPTÉ MAIS ENTRERA EN VIGUEUR SEULEMENT EN MARS 2014)
Enhancing Privacy Protection (meilleure protection des renseignements personnels)

Le projet de loi modifie la Privacy Act of 1988 (loi sur la protection des renseignements personnels de 1988).

Le commissaire aura le pouvoir d’effectuer des évaluations de la protection des renseignements personnels dans les organisations du secteur privé et dans les organismes gouvernementaux.

Le commissaire sera habilité à prendre une décision exécutoire à la suite d’une enquête menée de sa propre initiative.

Le commissaire pourra accepter un engagement écrit de la part d’une entité dans lequel celle-ci s’engage à prendre une mesure précise ou à s’en abstenir.

Le commissaire pourra imposer une amende administrative maximale de 1 100 000 $ en cas d’ingérence grave ou d’ingérences répétées dans la vie privée.

Si le commissaire est d’avis qu’une organisation n’a pas respecté un engagement, il peut demander à la cour une ordonnance pour obliger celle-ci à respecter son engagement[444].

Union européenne Commission européenne (PROPOSÉ)
Règlement général sur la protection des données

Actuellement à l’étude

Les autorités chargées de la protection des données ont toutes le pouvoir d’émettre des ordonnances pour faire cesser des activités précises, corriger des données, effacer des données ou détruire des données et donner accès aux particuliers à leurs renseignements personnels.

De même, elles seront habilitées à faire enquête pour obtenir du responsable du contrôle ou du traitement :

(a) l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’exercice de ses fonctions;

(b) l’accès à tous les locaux, y compris tous les équipements et moyens de traitement des données, s’il existe un motif raisonnable de supposer que s’y exerce une activité en violation du présent règlement.

Le règlement précise que chaque autorité de contrôle est habilitée à imposer des sanctions administratives, y compris un avertissement lors d’un premier manquement non intentionnel au règlement et jusqu’à trois niveaux d’amendes :

une amende maximale de 250 000 € (dans le cas des organisations gouvernementales ou sans but lucratif) ou une amende maximale équivalent à 0,5 % du chiffre d’affaires annuel mondial de l’organisation (dans le cas des entreprises);

une amende maximale de 500 000 € (dans le cas des organisations gouvernementales ou sans but lucratif) ou une amende maximale équivalent à 1% du chiffre d’affaires annuel mondial (dans le cas des entreprises);

une amende maximale de 1 000 000 € (dans le cas des organisations gouvernementales ou sans but lucratif) ou une amende maximale équivalent à 2 % du chiffre d’affaires annuel mondial (dans le cas des entreprises)[445].


*                  Le contenu de ce tableau est tiré en totalité (à moins d’indication contraire) de Baker et McKenzie, « Global Privacy Handbook 2011 », IAPP, 2011, 389 pages.

[441]            Site Web officiel de la CNIL.

[442]            Site Web officiel du commissaire à la protection des données d’Irlande.

[443]            Site Web officiel de la commission fédérale du commerce des États-Unis.

[444]            Site Web officiel du Bureau du commissaire à l’information d’Australie.

[445]            Site Web officiel de la Commission européenne.