Naviguer l’avenir de la protection de la vie privée dans le secteur public de l’Ontario

La Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) de l’Ontario est la pierre angulaire en matière de gouvernance de l’accès à l’information et la protection de la vie privée du secteur public ontarien. Vu notre paysage numérique en évolution rapide, même les lois fondamentales doivent être actualisées.

En mai 2024, le gouvernement de l’Ontario a présenté le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, visant à moderniser les lois encadrant la cybersécurité, l’intelligence artificielle et la protection de la vie privée du secteur public pour l’ère numérique.

Le projet de loi 194 édicte la nouvelle Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique, qui s’appliquera aux entités et institutions du secteur public, y compris les sociétés d’aide à l’enfance, les collèges, les universités, les conseils scolaires et les hôpitaux, ainsi que le secteur municipal. Le projet de loi apporte également des modifications importantes à la LAIPVP, qui ne s’appliquera qu’aux institutions du secteur public.

Le parcours du projet de loi à l’Assemblée législative de l’Ontario se poursuit. Il est actuellement en deuxième lecture, les débats ayant repris lors du retour en chambre des députés, le 21 octobre 2024 dernier.

Cet article analyse les mandats actuels de la LAIPVP en matière de protection de la vie privée, explore les changements proposés par le projet de loi 194 et propose une feuille de route aux institutions qui se préparent à cette éventuelle révision de la législation sur la protection de la vie privée.

Statu quo – Obligations actuelles en vertu de la LAIPVP

La LAIPVP est conçue pour défendre deux principes fondamentaux : le droit d’accès à l’information détenue par les entités et institutions publiques et la protection de la vie privée des individus en Ontario.  La loi établit un cadre de gouvernance pour la gestion, l’accès et la protection de l’information, en définissant des obligations claires pour les institutions publiques, tout en conciliant ces obligations avec la nécessité de protéger les informations personnelles.

Accès à l’information

La LAIPVP accorde aux individus le droit d’accéder aux documents ou une partie d’un document dont une institution du secteur public a la garde ou le contrôle, en mettant l’accent sur la transparence et la responsabilité. En vertu de l’article 10, toute personne peut demander l’accès à des documents, sous réserve (1) d’exemptions spécifiques qui s’appliquent, (2) la demande est frivole ou vexatoire, (3) le document est spécifiquement exclu, et (4) une autre loi prévaut. La Loi souligne également la nécessité pour les institutions de conserver les documents, en veillant à ce que les informations soient conservées de manière à pouvoir répondre aux demandes d’accès.

Exemptions de divulgation

Afin de concilier le droit d’accès et la nécessité de protéger les informations sensibles, la LAIPVP énumère plusieurs exceptions, dont certaines sont obligatoires et d’autres, discrétionnaires. Il est à noter que l’application d’une exception doit être limitée et spécifique. Voici quelques exemples d’exceptions à l’accès à l’information :

  • Les documents du conseil exécutif, qui protègent la confidentialité ses délibérations, ainsi que les documents qui révèlent les conseils ou recommandations au gouvernement.
  • Les documents relatifs à l’exécution de la loi qui, s’ils étaient divulgués, pourraient nuire aux efforts d’application de la loi ou aux procédures judiciaires.
  • Les informations susceptibles de nuire aux relations intergouvernementales ou à celles avec les communautés autochtones.
  • Les renseignements sur les tiers, et fournis à titre confidentiel, par exemple les documents qui contiennent des secrets industriels, des renseignements scientifiques, techniques, commerciaux ou financiers, dont la divulgation pourrait nuire à la position de concurrence de celui-ci.
  • Les intérêts économiques de l’Ontario, sauvegardés pour éviter tout préjudice dû à une divulgation prématurée d’informations économiquement sensibles.
  • La divulgation d’informations personnelles est généralement interdite, sauf dans des conditions spécifiques telles que si la divulgation est faite à l’individu concernée, le consentement de la personne a été reçu, dans des circonstances urgentes liées à la santé ou à la sécurité, pour des documents accessibles au public, ou en vertu d’une autorisation légale. Elle est également autorisée à des fins de recherche répondant à certains critères, ou lorsque la divulgation ne constitue pas une atteinte injustifiée à la vie privée. Les facteurs pris en compte pour évaluer les atteintes potentielles à la vie privée comprennent le caractère sensible des informations et le préjudice ou le bénéfice potentiel pour le public.

Le contexte dans son ensemble doit être examiné attentivement afin de garantir l’équilibre voulu entre la transparence, l’accès et la protection de l’intérêt public.

Procédure d’accès

La LAIPVP définit une procédure claire pour l’accès à l’information. Les personnes souhaitant accéder aux documents doivent soumettre une demande écrite formelle. Dès la réception, l’institution est tenue de transmettre la demande de manière appropriée si elle n’a pas la garde du document demandé. L’institution doit également répondre dans un délai prescrit, la loi prévoyant des dispositions permettant de prolonger ce délai dans des circonstances spécifiques. Si l’accès est refusé, l’institution doit fournir une notification détaillée du refus, expliquant les raisons qui appuient le refus et les exemptions appliquées, et informer le demandeur de son droit de faire appel de la décision. Cette approche structurée garantit la transparence de la procédure, et impose des étapes et des délais définis qui favorisent un traitement systématique et équitable des demandes d’information.

Protection de la vie privée

La partie III de la LAIPVP souligne l’engagement en faveur de la protection de la vie privée, en réglementant la collecte, la conservation, l’utilisation et la divulgation des renseignements personnels.

La loi stipule que les renseignements personnels ne peuvent être collectés qu’à des fins légales et expressément communiquées. Dans la mesure du possible, les renseignements personnels doivent être obtenus directement auprès des personnes concernées.

À quelques exceptions près, une obligation de notification s’applique : les institutions soumises à la LAIPVP doivent informer les personnes concernées qu’ils recueillent des renseignements personnels, de l’autorisation légale de la collecte, des finalités pour lesquelles les renseignements personnels sont nécessaires et des coordonnées d’un fonctionnaire à qui les questions peuvent être adressées.

Utilisation et divulgation

L’utilisation des renseignements personnels est limitée à des fins compatibles avec les raisons pour lesquelles ils ont été recueillis, lorsque les personnes consentent à l’utilisation et, pour les établissements d’enseignement et les hôpitaux, dans le cadre de leurs activités de collecte de fonds.  La loi donne le droit aux personnes de retirer leur consentement à l’utilisation de leurs données personnelles lorsque celles-ci sont utilisées à des fins de collecte de fonds.

La LAIPVP décrit également les circonstances dans lesquelles les renseignements personnels peuvent être divulgués, par exemple dans le cadre d’une demande d’accès tel que décrit à la partie II, lorsque les personnes ont donné leur consentement, lorsque la divulgation correspond à la finalité pour laquelle les données ont été recueillies, est exécutée dans le cadre des fonctions de l’institution, ainsi que dans des circonstances spécifiques où la divulgation est autorisée par la loi. Cela permet de s’assurer que les données personnelles ne sont pas utilisées à mauvais escient ou divulguées sans justification.

Liste des institutions et banques de renseignements personnels

En plus de ces dispositions, la LAIPVP exige la publication de banques de renseignements personnels, c’est-à-dire une liste de tous les renseignements personnels détenus par l’institution, ainsi qu’un répertoire de toutes ces banques de données. Ce répertoire doit indiquer, entre autres : les coordonnées de l’institution, les types de renseignements personnels détenus, les fins auxquelles ils sont utilisés, à qui les renseignements personnels sont divulgués, les catégories d’individus concernés par la collecte ainsi que les pratiques de conservation et de destruction des données. Cela renforce la transparence et permet aux individus d’examiner de près la façon dont leurs données personnelles sont traitées.

Modifications proposées par le projet de loi 194

Le projet de loi 194 propose plusieurs modifications à la LAIPVP, qui pourraient avoir des conséquences importantes sur le cadre de gouvernance des renseignements personnels par les institutions du secteur public. Parmi les principales modifications figurent :

  • l’obligation d’exécuter des évaluations des facteurs relatifs à la vie privée (ÉFVP),
  • de nouvelles exigences de notification au Commissaire et aux individus concernés en cas d’atteinte à la vie privée,
  • des exigences prescrites en matière de sécurité, et
  • de nouveaux pouvoirs d’ordonnance pour le Commissaire.

Évaluations des facteurs relatifs à la vie privée

En vertu des modifications proposées, les institutions soumises à la LAIPVP sont tenues de réaliser des évaluations de l’impact que pourraient avoir une nouvelle collecte de données personnelles sur la vie privée d’un particulier. Cette analyse doit être exécutée avant de commencer l’activité de recueillir ces informations à caractère personnel. Cette exigence vise à documenter la collecte, l’utilisation, la conservation et la divulgation des données à caractère personnel et à gérer les risques pour les personnes en cas d’atteinte à la vie privée.

Bien que le concept d’ÉFVP ne soit pas entièrement nouveau pour le secteur public en Ontario – le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPO) a publié les Lignes directrices de l’ÉFVP en 2015. Ces lignes directrices recommandent d’ailleurs que des ÉFVP soient effectuées principalement lorsque de nouvelles technologies ou de nouveaux systèmes traitant des données personnelles, sont susceptibles d’avoir une incidence accrue sur la vie privée des personnes. Le projet de loi 194 va plus loin en exigeant qu’une ÉFVP soit effectuée avant toute collecte de renseignements personnels.

Exigences détaillées de l’évaluation des incidences sur la vie privée

Le projet de loi 194 définit le contenu d’une ÉFVP, qui doit comprendre les éléments suivants :

  • Définir le(s) but(s) de la collecte, les utilisations et divulgations prévues, ainsi que les raisons pour lesquelles les renseignements personnels sont nécessaires pour atteindre le(s) but(s) énoncé(s).
  • Citer l’autorité légale qui autorise ou impose la collecte, l’utilisation et la divulgation de ces données.
  • Décrire les types de renseignements personnels touchés en plus des circonstances d’utilisation et de divulgation de ces informations.
  • Identifier les sources à partir desquelles les renseignements personnels seront obtenus.
  • Énumérer les titres des postes au sein de l’organisation qui auront accès à ces informations.
  • Indiquer les limites ou restrictions imposées à la collecte, l’utilisation et la divulgation des données.
  • Préciser la durée de conservation des renseignements personnels.
  • Décrire les mesures de sécurité administratives, technologiques et physiques misent en place afin de protéger les renseignements personnels de toutes atteintes à la vie privée.
  • Fournir un résumé des risques pour les individus en cas d’atteinte à la vie privée, y compris les mesures choisies visant à prévenir ou à atténuer ces risques.

Rapports et notifications en cas d’atteinte à la vie privée

Une autre modification importante proposée par le projet de loi 194 concerne le traitement et la notification des atteintes à la vie privée, ce qui n’est pas obligatoire à l’heure actuelle en vertu de la LAIPVP, mais qui toutefois constitue la norme en vertu d’autres lois sur la protection de la vie privée au niveau provincial, national et dans le monde entier. Les modifications proposées exigent que le responsable d’une institution du secteur public informe le Commissaire et les personnes concernées de tout vol, perte et utilisation ou divulgation non autorisée des renseignements personnels. Cette obligation ne s’applique que dans les cas où l’on peut raisonnablement penser que l’atteinte à la vie privée présente un risque réel de préjudice grave pour les personnes concernées, ou dans d’autres circonstances précises.

La notification aux personnes doit comprendre :

  • des informations sur leur droit de déposer une plainte auprès du Commissaire,
  • toute information supplémentaire prescrite par les règlements à venir, qui préciseront également la forme et les modalités de la notification.

Les notifications doivent être faites « dès que possible » une fois qu’il a été déterminé qu’une atteinte à la vie privée s’est produite. La définition du « risque réel de préjudice grave » englobe diverses conséquences négatives, telles que les dommages corporels, l’humiliation, l’atteinte à la réputation ou aux relations, les pertes financières, la perte de perspectives d’emploi, d’affaires ou professionnelles, le vol d’identité, etc. L’évaluation du risque implique de prendre en compte la sensibilité des renseignements personnels, la probabilité de leur utilisation abusive et les mesures d’atténuation qui peuvent être prises pour réduire le risque de préjudice.

En outre, les institutions sont tenues de tenir des registres détaillés de toutes les atteintes à la vie privée qui présentent un risque réel de préjudice grave, les procédures spécifiques de tenue des registres seront décrites dans un deuxième temps par l’entremise de réglementation et de guides. Pour l’instant, le projet de loi n’exige pas la tenue d’un registre de tous les incidents de données personnelles. Le projet de loi ne prescrit pas non plus de documenter les raisons pour lesquelles l’institution a déterminé qu’une atteinte à la vie privée ne présentait pas un risque réel de préjudice grave, comme l’exige la LPRPDE.

Mesures de sécurité clarifiées

Le projet de loi 194 ajoute une obligation expresse pour les institutions de prendre des mesures administratives, physiques et technologiques raisonnables pour protéger les renseignements personnels qu’elles traitent contre des incidents tels que le vol, la perte, l’utilisation et la divulgation non autorisées, en plus de la copie, de la modification ou de l’élimination non autorisées de ces données.

Pouvoirs renforcés pour le Commissaire

Enfin, le projet de loi 194 autorise le Commissaire à procéder à un examen des pratiques d’une institution en matière de traitement des renseignements personnels et de leur conformité aux obligations légales prévues par la loi, par suite de la réception d’une plainte. Le projet de loi décrit les mécanismes de résolution à l’amiable des différends, les pouvoirs de production de documents et de renseignements requis dans le cadre d’un examen et détenus par une institution ainsi que les pouvoirs d’ordonnance. Le projet de loi ajoute également une disposition relative à la dénonciation, avec des obligations de confidentialité pour le dénonciateur.

L’ensemble des modifications proposées dans le projet de loi 194 vise à renforcer les contrôles qui gouvernent la protection des données personnelles et de la vie privée des ontariens par les institutions publiques, à améliorer la transparence et la responsabilité et à procéder à une mise à niveau des pratiques en vertu de la protection des renseignements personnels.

Comment se préparer aux changements à venir

Les organisations assujetties à la LAIPVP devraient prendre des mesures proactives pour se préparer aux modifications proposées par le projet de loi 194. Voici une approche stratégique pour anticiper ces réformes à venir :

  1. Établir un cadre d’évaluation des facteurs relatifs à la vie privée : Élaborer un processus d’évaluation des facteurs relatifs à la vie privée qui peut être intégré à vos pratiques de collecte et de gestion des données. Ce processus devrait comprendre des modèles, des lignes directrices et une formation pour le personnel afin d’assurer des évaluations cohérentes et approfondies.
  2. Examiner les pratiques de collecte des données personnelles : Effectuez un audit des activités actuelles de collecte de données. Identifier les types de données recueillies, leurs sources, leurs utilisations et la base juridique de chaque activité. Cet inventaire servira de base aux futures ÉFVP.
  3. Renforcer les protocoles relatifs aux atteintes à la vie privée : Élaborer des plans d’intervention en cas d’incident, y compris des procédures spécifiques pour identifier, évaluer et signaler les incidents susceptibles de présenter un risque de préjudice grave. Élaborer des critères clairs pour déterminer quand une violation atteint le seuil de notification et documenter les violations dans un registre.
  4. Renforcer les mesures de sécurité : Renforcer les mesures administratives, techniques et physiques mises en place pour protéger les infrastructures informatiques et les données. Par exemple, considérer mettre à jour les technologies de sécurité, de réviser les contrôles d’accès et de mettre en œuvre des pratiques de cryptage des données plus rigoureuses.
  5. Conservation, anonymisation et destruction : Veillez à ce que les données personnelles ne soient conservées que le temps nécessaire pour atteindre les finalités pour lesquels elles ont été collectées. Envisager des techniques d’anonymisation, de dépersonnalisation et d’amélioration de la protection de la vie privée pour minimiser les risques. Détruire les renseignements personnels lorsqu’ils ne sont plus nécessaires ou utiles.
  6. Former le personnel : Livrer des formation complètes aux employés sur les nouvelles exigences légales, en mettant l’accent sur la réalisation d’ÉFVP et sur la détection des atteintes potentielles à la vie privée. Veiller à ce que le personnel comprenne l’importance de la protection de la vie privée et son rôle dans le maintien de la protection des données personnelles.

En prenant ces mesures, les institutions publiques peuvent se positionner pour effectuer une transition en douceur vers un cadre modernisé de protection de la vie privée tout en améliorant les pratiques de sécurité des données personnelles. Pour obtenir des conseils sur la façon de naviguer ces changements et de mettre en œuvre des mesures préparatoires, n’hésitez pas à communiquer avec Consultation Etika. Notre équipe de spécialistes peut vous accompagner afin que vous puissiez continuer à adopter des pratiques éprouvées et alignées au paysage en constante évolution de la protection de la vie privée.

25 octobre 2024

Auteures :
Bernadette Sarazin – PDG et Cheffe de la protection de la vie privée
Kathrin Gardhouse – Vice-présidente – Gouvernance des données et de l’IA

Blog (FR)

L’anonymisation des données à l’époque de l’IA

Un « renseignements personnel » est défini, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), article 2(1), « tout renseignement concernant un individu identifiable ». La

Read more
Blog (EN)

Data Anonymization in the Age of AI

Personal information is defined, under PIPEDA Section 2(1), as “information about an identifiable individual.” Similarly, Québec’s Law 25 defines personal information as “any information which relates to a natural person

Read more

Ottawa • Montreal • Toronto • London • Berlin

ETIKA-PRICACY-Logo-blanc-transparent.png
ETIKA-PRICACY-Logo-blanc-transparent.png

Canada head Office

53 Delong Drive
Ottawa ON K1J 7E4
Email: info@etikaprivacy.com

EUROPE head Office

124 City Road
London UK EC1V 2NX
Email: info@etikaprivacy.com

© Etika Privacy 2024