Le 13 mai 2024, le gouvernement de l’Ontario (le « gouvernement ») a déposé le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (le « projet de loi 194 »). S’il est adopté, le projet de loi 194 apportera d’importantes modifications à la Loi sur l’accès à l’information et la protection de la vie privée (la « LAIPVP »), laquelle régit comment le gouvernement et les entités du secteur public visées par règlement (les « institutions ») peuvent recueillir, utiliser et divulguer les renseignements personnels. La LAIPVP prévoit également un droit d’accès général aux documents gouvernementaux.
Les modifications proposées à la LAIPVP dans le cadre du projet de loi 194 comprennent notamment l’obligation pour les institutions de signaler au commissaire à l’information et à la protection de la vie privée de l’Ontario (le « commissaire ») certaines atteintes à la vie privée, l’exigence pour les institutions d’effectuer une évaluation de l’impact sur la vie privée avant de recueillir des renseignements personnels, ainsi que l’élargissement des pouvoirs d’enquête du commissaire. Ces modifications rapprocheraient ainsi la LAIPVP des lois respectives du Québec et de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur public.
Le projet de loi 194 prévoit également l’établissement d’exigences et la prise possible de règlements relativement à l’utilisation des systèmes d’intelligence artificielle dans le secteur public de l’Ontario. Nous aborderons plus en détail ce volet du projet de loi 194 dans un Bulletin Blakes ultérieur.
Nouvelle exigence générale de protection des renseignements personnels
En sa version actuelle, la LAIPVP n’oblige pas expressément les institutions à protéger les renseignements personnels. Conformément au règlement 460 (dispositions générales) pris en vertu de la LAIPVP, les institutions doivent plutôt veiller à ce que des mesures raisonnables pour empêcher l’accès non autorisé aux documents qui s’y trouvent soient déterminées, documentées et appliquées en tenant compte du caractère des documents à protéger.
Si le projet de loi 194 est adopté, il introduira une nouvelle exigence générale de protection des renseignements personnels directement dans la LAIPVP. Les institutions seraient ainsi expressément tenues de prendre des mesures qui sont raisonnables dans les circonstances pour veiller à ce que les renseignements personnels dont elles ont la garde ou le contrôle soient protégés contre le vol, la perte et l’utilisation ou la divulgation non autorisée, ainsi que contre la modification ou l’élimination non autorisée.
Formalisation du processus d’évaluation de l’impact sur la vie privée
Le projet de loi 194 modifierait également la LAIPVP de manière à exiger que les institutions soient tenues, avant de recueillir des renseignements personnels, de s’assurer de la préparation d’une évaluation écrite tenant compte de divers éléments prescrits relativement à la collecte, à l’utilisation et à la divulgation de ces renseignements. Ces éléments comprendraient notamment les fins prévues par ces activités, l’autorité légale invoquée pour ces dernières, les limites et les restrictions auxquelles elles sont assujetties, ainsi que les mesures de précaution qui seraient utilisées pour protéger les renseignements recueillis. Les institutions seraient également tenues de s’assurer que les stratégies d’atténuation des risques prévues à l’évaluation écrite soient mises en œuvre avant de recueillir les renseignements personnels ou, si ce n’est pas possible, dans un délai raisonnable après avoir recueilli les renseignements personnels. De plus, le commissaire aurait l’autorité d’obliger une institution à lui remettre, sur demande, une copie de son évaluation écrite.
Déclaration obligatoire des atteintes
À l’instar des exigences de déclaration obligatoire des atteintes prévues aux lois respectives du Québec et de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur public, le projet de loi 194 modifierait la LAIPVP pour obliger les institutions à faire rapport au commissaire d’une manière prescrite de tout vol, de toute perte ou de toute utilisation ou divulgation non autorisée de renseignements personnels dont elles ont la garde ou le contrôle s’il est raisonnable dans les circonstances de croire qu’il existe un risque réel qu’un préjudice grave pour un particulier en résulte ou s’il existe d’autres circonstances prescrites. Un « préjudice grave » s’entendrait notamment de la blessure corporelle, de l’humiliation, de l’atteinte à la réputation ou aux relations, de la perte de perspectives d’emploi, d’affaires ou professionnelles, de la perte financière, du vol d’identité, d’un effet négatif sur le dossier de crédit, et des dommages aux biens ou leur perte.
Sauf interdiction contraire d’une règle de droit, une institution serait également tenue d’aviser les particuliers touchés par une atteinte et de les informer de leur droit de porter plainte au commissaire. Or, contrairement aux droits similaires en vigueur dans les autres provinces et territoires au Canada, le droit de porter plainte en vertu de la LAIPVP serait assujetti à un délai d’un an après que l’objet de la plainte serait porté pour la première fois à l’attention du plaignant ou après qu’il aurait dû raisonnablement être porté à son attention, selon le plus court de ces délais, sous réserve de certaines exceptions limitées pouvant être faites par le commissaire.
Les facteurs servant à établir l’existence d’un « risque réel de préjudice grave » comprendraient notamment :
- la nature délicate des renseignements personnels;
- la probabilité que les renseignements personnels aient été, sont ou seront mal utilisés;
- la disponibilité des mesures que pourrait prendre le particulier à l’une ou l’autre des fins suivantes :
- la réduction du risque qu’un préjudice se produise;
- l’atténuation du préjudice s’il se produit;
- toute directive, recommandation ou orientation fournie par le commissaire concernant ce qui constitue un risque réel de préjudice grave;
- les autres facteurs prescrits.
Les institutions seraient également tenues de conserver un document consignant tous les vols, toutes les pertes et toutes les utilisations ou divulgations non autorisées de renseignements personnels dont il est fait rapport au commissaire.
Nouveaux pouvoirs d’enquête du commissaire
Le projet de loi 194 prévoit aussi que le commissaire serait autorisé à examiner les pratiques relatives aux renseignements d’une institution s’il reçoit une plainte relative à une atteinte concernant cette institution ou s’il a des motifs de croire que cette dernière ne se conforme pas aux exigences prescrites. Avant d’effectuer un examen, le commissaire pourrait tenter de résoudre la question par la médiation, la conciliation ou tout autre moyen de règlement à l’amiable des différends qu’il estime approprié.
Si, après avoir donné à l’institution l’occasion d’être entendue, le commissaire établissait qu’une pratique relative aux renseignements contrevient aux obligations de cette institution en vertu de la LAIPVP, il pourrait ordonner à la personne responsable de l’institution de prendre l’une ou l’autre des mesures suivantes :
- cesser la pratique relative aux renseignements;
- modifier la pratique relative aux renseignements, selon les indications du commissaire;
- retourner, transférer ou détruire les renseignements personnels recueillis ou conservés dans le cadre de la pratique relative aux renseignements;
- mettre en œuvre une pratique relative aux renseignements différente, selon les indications du commissaire;
- faire une recommandation concernant la façon dont la pratique relative aux renseignements pourrait être améliorée.
Cependant, le commissaire ne pourrait ordonner que soient prises des mesures allant au-delà de ce qui est raisonnablement nécessaire pour se conformer aux obligations prévues à la LAIPVP.
Comme nous l’avons mentionné précédemment, ces modifications de la LAIPVP rapprocheraient cette dernière des lois respectives du Québec et de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur public, lesquelles ont également été modifiées récemment. Si le projet de loi 194 est adopté, il sera nécessaire pour les institutions partout en Ontario de passer en revue et de consolider leur cadre de gestion des renseignements personnels.
Pour en savoir davantage, communiquez avec :
ou un autre membre de nos groupes Protection de la vie privée et des données ou Cybersécurité.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.