Sauter la navigation

Mise à jour de la LPRPS (Ontario) : entrée en vigueur des pénalités administratives pécuniaires

5 janvier 2024

Depuis le 1er janvier 2024, le commissaire à l’information et à la protection de la vie privée de l’Ontario (le « CIPVP ») peut imposer des pénalités administratives pécuniaires (des « PAP ») en cas de contravention à la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (la « LPRPS »). La LPRPS régit la façon dont les dépositaires de renseignements sur la santé en Ontario, comme les praticiens de la santé et les institutions, peuvent recueillir, utiliser et divulguer des renseignements personnels sur la santé. Il s’agit actuellement de la seule loi sur la protection de la vie privée applicable en Ontario qui confère ce type de pouvoir accru en matière d’application de la loi.

Aux termes d’une modification apportée au Règl. de l'Ont. 329/04, soit le règlement d’application général en vertu de la LPRPS, le montant maximal que peut atteindre une PAP en vertu de la LPRPS est de 50 000 $ CA pour une personne physique et de 500 000 $ CA pour une autre entité juridique, y compris les sociétés médicales professionnelles et les exploitants de groupes de praticiens de la santé. Toutefois, le CIPVP peut augmenter le montant d’une PAP d’un montant équivalant à celui du bénéfice pécuniaire que la personne a acquis par suite de la contravention.

Pour établir le montant d’une PAP, le CIPVP doit prendre en considération les critères suivants ainsi que les autres critères qu’il estime pertinents :

  • la mesure dans laquelle les contraventions dérogent aux exigences de la LPRPS ou de ses règlements;
  • la mesure dans laquelle la personne aurait pu prendre des mesures pour empêcher la contravention;
  • l’étendue du préjudice ou du préjudice potentiel causé à des tiers par les contraventions;
  • la mesure dans laquelle la personne a tenté d’atténuer le préjudice ou le préjudice potentiel ou a pris d’autres mesures correctives;
  • le nombre de particuliers, de dépositaires de renseignements sur la santé et d’autres personnes touchés par la contravention;
  • la question de savoir si la personne a avisé le CIPVP et les particuliers dont les renseignements personnels sur la santé ont été touchés par la contravention;
  • la mesure dans laquelle la personne a tiré ou aurait pu raisonnablement s’attendre à tirer, directement ou indirectement, un bénéfice pécuniaire de la contravention;
  • la question de savoir si la personne a déjà contrevenu à la LPRPS ou à ses règlements.

Le CIPVP a publié des orientations au sujet de ces nouveaux pouvoirs et a indiqué qu’il n’aura pas recours aux PAP par défaut en cas de contravention à la LPRPS. En général, les PAP serviront uniquement de mesures d’application de la loi dans le cas des contraventions les plus graves et non dans le cas des erreurs commises par inadvertance et des contraventions ponctuelles.
 
Les exemples de situations où les PAP sont appropriées, lesquels sont fournis dans les orientations du CIPVP, comprennent de graves consultations sans autorisation de dossiers de patients; des contraventions visant à obtenir un bénéfice pécuniaire (comme le fait de vendre ou de concevoir des produits liés à la divulgation de renseignements personnels sur la santé sans autorisation); et le non-respect du droit d’accès d’un particulier aux renseignements personnels sur la santé de celui-ci.
 
Des dispositions existantes, mais rarement invoquées, relativement à des infractions en vertu de la LPRPS prévoient des amendes pouvant atteindre 1 M$ CA en cas de non-conformité à la loi, mais elles nécessitent un renvoi au procureur général de l’Ontario aux fins de poursuite. Ces nouveaux pouvoirs permettent au CIPVP d’imposer des PAP directement à l’issue d’un examen visant une contravention possible. Ils représentent donc une modification importante du risque en matière d’application de la loi pour les personnes assujetties à la LPRPS. Les dépositaires de renseignements sur la santé en Ontario devraient passer en revue leurs pratiques en la matière afin de s’assurer que celles-ci sont conformes aux exigences de la LPRPS et de ses règlements.
 
Pour en savoir davantage, communiquez avec :

ou un membre de notre groupe Protection de la vie privée et des données.

Plus de ressources