Lois sur la protection de la vie privée au canada : de nouvelles règles pour une nouvelle ère

Qu'est-ce que le projet de loi 22?

Le projet de loi 22 (PL 22) de la Colombie-Britannique, qui modifie la Freedom of Information and Protection of Privacy Act (FIPPA) de la province, a été adopté le 25 novembre 2021. En tant que loi provinciale sur la protection des renseignements personnels et l'accès à l'information dans le secteur public, la FIPPA régit les obligations incombant aux organismes publics en matière de protection de la vie privée et protège les droits dont disposent les individus lorsqu'il s'agit des renseignements (notamment les renseignements personnels) détenus par des organismes publics.

La majorité des dispositions du PL 22 sont entrées en vigueur lors de son adoption en date du 25 novembre 2021. Certaines dispositions additionnelles, toutefois, sont entrées en vigueur bien plus récemment, soit le 1^er février 2023.

Qui est touché par cette loi?

En tant que loi gouvernant le secteur public, la FIPPA, et plus précisément les obligations imposées dans le cadre du PL 22, vise uniquement les « organismes publics », notamment :

des ministères et institutions de gouvernements provinciaux et municipaux;
des hôpitaux publics;
des universités et commissions scolaires publiques;
certains corps professionnels;
des sociétés et organismes d'État désignés ainsi que des conseils désignés.

Point important toutefois, la FIPPA exige des organismes publics qu'ils protègent et fassent respecter les droits des individus en lien avec les renseignements personnels qu'ils détiennent. On pensera par exemple, au droit d'accéder à de tels renseignements et de les corriger.

Il convient également de noter que la FIPPA protège désormais certains droits individuels compte tenu de l'adoption du PL 22. À titre d'exemple, l'individu a maintenant le droit d'être avisé en cas d'atteinte à sa vie privée lorsqu'on pourrait raisonnablement s'attendre à ce qu'un tel incident lui cause un préjudice grave.

De plus, dans certaines circonstances précises, le PL 22 peut imposer des exigences et une responsabilité potentielle aux fournisseurs de services ainsi qu'à leurs employés et à leurs associés. Par exemple, les organisations liées par un contrat de prestation de services auprès d'un organisme public de la Colombie-Britannique sont assujetties à la loi et doivent donc prendre note des modifications introduites par le PL 22 et des obligations imposées par la loi en général.

Quelle est l'incidence du PL 22?

L'adoption du PL 22 en novembre 2021 a signifié l'entrée en vigueur immédiate de plusieurs modifications à la FIPPA, tant en matière de protection des renseignements personnels qu'en matière d'accès à l'information. Soulignons notamment les modifications suivantes :

Résidence des données : Le PL-22 permet aux organismes publics de communiquer des renseignements personnels sous leur garde et leur contrôle à des fournisseurs de services afin qu'ils soient stockés à l'extérieur du Canada, sous réserve du règlement d'accompagnement de la FIPPA (en anglais), lequel exige qu'une évaluation des facteurs relatifs à la vie privée soit réalisée.
Employés qui furètent : Le PL-22 empêche les employés de fureter en interdisant la collecte, l'utilisation ou la communication non autorisée de renseignements personnels par les employés, les dirigeants ou les administrateurs d'organismes publics ou par leurs fournisseurs de services.
Liaison de données : Le PL-22 jette les bases quant à la réglementation des programmes de « liaison de données » impliquant l'utilisation conjointe de plusieurs ensembles de données distincts. Les restrictions à imposer quant à ces programmes seront précisées par voie d'un règlement, qui jusqu'ici n'en est pas encore à l'étape du projet.
Atteintes à la vie privée : Le PL-22 introduit de nouvelles infractions en matière de protection des renseignements personnels qui impliquent l'imposition d'une responsabilité aux individus, aux fournisseurs de services et aux employés et associés de ces derniers. Un fournisseur de services sera réputé avoir commis une infraction lorsqu'une infraction est commise par l'un de ses employés ou associés (le cas échéant, le fournisseur de service peut se défendre en démontrant qu'il a fait preuve de diligence raisonnable). Dans le même ordre d'idées, les dirigeants, administrateurs et mandataires d'une société peuvent être réputés avoir commis une infraction s'ils autorisent ou permettent la commission d'une infraction par la société, ou s'ils y acquiescent, et ce, même si aucune poursuite n'est intentée contre la société. Ces nouvelles infractions peuvent entraîner des amendes allant jusqu'à cinquante mille dollars pour les personnes physiques et jusqu'à cinq cent mille dollars pour les personnes morales.

Entrées en vigueur le 1^erfévrier 2023, les dispositions restantes du PL 22 imposent aux organismes publics d'élaborer un programme de gestion de la protection de la vie privée et de respecter certaines exigences en matière de notification des atteintes à la vie privée :

Exigences quant à la notification

L'alinéa 11.1 (1) (b) (en anglais) du règlement intitulé Freedom of Information and Protection of Privacy Regulation prescrit le fond et la forme et le contenu de la notification devant être fournie aux individus concernés. La notification doit :

être présentée à l'écrit et transmise directement à chaque individu concerné, sous réserve de certaines exemptions;
inclure le nom de l'organisme public ainsi que les détails concernant l'occurrence et la découverte de l'incident d'atteinte à la vie privée;
inclure une description de la nature des renseignements personnels touchés par l'incident d'atteinte à la vie privée;
inclure une mention confirmant que le Commissaire à la protection de la vie privée a été avisé de l'incident ou le sera;
inclure les coordonnées d'une personne en mesure de répondre à des questions au sujet de l'incident d'atteinte à la vie privée;
énoncer les mesures que l'organisme public a prises ou prendra pour réduire le risque de préjudice ainsi que les mesures pouvant être prises par les individus concernés afin de réduire ce risque.

L'article 11.2 prescrit le fond et la forme de la notification devant être fournie au Commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique et reprend la plupart des exigences applicables à la notification à fournir aux individus.

Se renseigner davantage et se préparer convenablement

Lire le PL 22

Freedom of Information and Protection of Privacy Act (en anglais), RSBC 1996, c. 165
Modification du Freedom of Information and Protection of Privacy Regulation (en anglais), BC Reg 155/2012
Publication FOIPPA Policy & Procedures Manual (en anglais) du ministère des Services aux citoyens de la Colombie-Britannique fournissant des indications quant à la mise en œuvre des modifications introduites par le PL 22. Voir notamment :
- L'article 36.2 - Privacy management programs (en anglais)
- L'article 36.3 - Privacy breach notifications (en anglais)
- L'article 33.1 - Disclosure Outside of Canada (en anglais)
Corporate Information and Records Management Office, Privacy Management Program Guidance for B.C. Public Bodies (en anglais - décembre 2022)
Gouvernement de la Colombie-Britannique, Guidance on Mandatory Privacy Breach Notifications (en anglais)

Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, For Public Bodies: Tools for public agencies (en anglais). Voir notamment :
- Privacy breaches: tools and resources for public bodies (en anglais - février 2023)
- Accountable Privacy Management in BC's Public Sector (en anglais - ressource mise à jour en février 2023)
Pour l’historique législatif, voir :
- Déclaration (en anglais) du Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique du 18 octobre 2021, et lettre communiquée à la ministre des Services aux citoyens du 20 octobre 2021 (avant l’entrée en vigueur du PL 22) afin de passer en revue les modifications qu’on proposait alors d’apporter à la FIPPA et d’exprimer le soutien du Commissariat à l'information et à la protection de la vie privée à l’égard de diverses modifications.
- Débats du Hansard (en anglais)