Sanctions administratives pécuniaires en matière de protection des renseignements personnels
Cet article autorise une personne désignée par la Commission, qui n'est pas membre de l'une de ses sections, à imposer une sanction administrative pécuniaire à quiconque commet certains manquements à la loi, notamment le défaut d'informer les personnes concernées (art. 7 et 8), la collecte, l'utilisation, la communication, la conservation ou la destruction illégale de renseignements personnels, le défaut de déclarer un incident de confidentialité, le défaut de prendre les mesures de sécurité requises (art. 10), le non-respect des obligations liées aux décisions automatisées (art. 12.1) ou, pour un agent de renseignements personnels, la contravention à divers articles énumérés. À la suite d'un tel manquement, une personne peut en tout temps s'engager auprès de la Commission à prendre les mesures nécessaires pour y remédier ou en atténuer les conséquences; cet engagement précise les actes ou omissions en cause et les dispositions concernées, et peut inclure des conditions ou le paiement d'une somme. Si l'engagement est accepté par la Commission et respecté, l'entreprise ne peut faire l'objet d'une sanction administrative pécuniaire à l'égard des actes ou omissions visés.
L'engagement accepté et respecté constitue un moyen d'éviter la sanction pour les manquements visés. La personne qui impose la sanction est distincte des membres des sections de la Commission, ce qui marque une séparation des fonctions. Distinguer cette sanction administrative pécuniaire des sanctions pénales prévues ailleurs dans la loi.
Une sanction administrative pécuniaire peut être imposée par une personne désignée par la Commission, mais qui n’est pas membre de l’une de ses sections, à quiconque:
1° n’informe pas les personnes concernées conformément aux articles 7 et 8;
2° recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la loi;
3° ne déclare pas à la Commission ou aux personnes concernées, lorsqu’il y est tenu, un incident de confidentialité;
4° ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 10;
5° n’informe pas la personne concernée par une décision fondée exclusivement sur un traitement automatisé ou ne lui donne pas l’occasion de présenter ses observations, et ce, en contravention à l’article 12.1;
6° s’il est un agent de renseignements personnels, contrevient aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1.
À la suite d’un manquement visé au premier alinéa, une personne peut, en tout temps, s’engager auprès de la Commission à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences. Cet engagement doit énoncer les actes ou les omissions qui constituent un manquement et les dispositions en cause. Celui-ci peut également inclure les conditions que la Commission estime nécessaires et il peut prévoir l’obligation de payer une somme d’argent.
Si l’engagement est accepté par la Commission et qu’il est respecté, la personne qui exploite une entreprise ne peut faire l’objet d’une sanction administrative pécuniaire à l’égard des actes ou des omissions mentionnés dans l’engagement.