Lois sur la protection de la vie privée au Canada : de nouvelles règles pour une nouvelle ère

Accéder à C.-B. Loi 22 contenu

Qu'est-ce que le projet de loi 22?

Le projet de loi 22 (PL 22) de la Colombie-Britannique, qui modifie la Freedom of Information and Protection of Privacy Act (FIPPA) de la province, a été adopté le 25 novembre 2021. En tant que loi provinciale sur la protection des renseignements personnels et l'accès à l'information dans le secteur public, la FIPPA régit les obligations incombant aux organismes publics en matière de protection de la vie privée et protège les droits dont disposent les individus lorsqu'il s'agit des renseignements (notamment les renseignements personnels) détenus par des organismes publics.

La majorité des dispositions du PL 22 sont entrées en vigueur lors de son adoption en date du 25 novembre 2021. Certaines dispositions additionnelles, toutefois, sont entrées en vigueur bien plus récemment, soit le 1er février 2023.

Qui est touché par cette loi?

En tant que loi gouvernant le secteur public, la FIPPA, et plus précisément les obligations imposées dans le cadre du PL 22, vise uniquement les « organismes publics », notamment :  

  • des ministères et institutions de gouvernements provinciaux et municipaux;
  • des hôpitaux publics;
  • des universités et commissions scolaires publiques;
  • certains corps professionnels;
  • des sociétés et organismes d'État désignés ainsi que des conseils désignés.

Point important toutefois, la FIPPA exige des organismes publics qu'ils protègent et fassent respecter les droits des individus en lien avec les renseignements personnels qu'ils détiennent. On pensera par exemple, au droit d'accéder à de tels renseignements et de les corriger.

Il convient également de noter que la FIPPA protège désormais certains droits individuels compte tenu de l'adoption du PL 22. À titre d'exemple, l'individu a maintenant le droit d'être avisé en cas d'atteinte à sa vie privée lorsqu'on pourrait raisonnablement s'attendre à ce qu'un tel incident lui cause un préjudice grave.

De plus, dans certaines circonstances précises, le PL 22 peut imposer des exigences et une responsabilité potentielle aux fournisseurs de services ainsi qu'à leurs employés et à leurs associés. Par exemple, les organisations liées par un contrat de prestation de services auprès d'un organisme public de la Colombie-Britannique sont assujetties à la loi et doivent donc prendre note des modifications introduites par le PL 22 et des obligations imposées par la loi en général.

Quelle est l'incidence du PL 22?

L'adoption du PL 22 en novembre 2021 a signifié l'entrée en vigueur immédiate de plusieurs modifications à la FIPPA, tant en matière de protection des renseignements personnels qu'en matière d'accès à l'information. Soulignons notamment les modifications suivantes :

  • Résidence des données : Le PL-22 permet aux organismes publics de communiquer des renseignements personnels sous leur garde et leur contrôle à des fournisseurs de services afin qu'ils soient stockés à l'extérieur du Canada, sous réserve du règlement d'accompagnement de la FIPPA (en anglais), lequel exige qu'une évaluation des facteurs relatifs à la vie privée soit réalisée.
  • Employés qui furètent : Le PL-22 empêche les employés de fureter en interdisant la collecte, l'utilisation ou la communication non autorisée de renseignements personnels par les employés, les dirigeants ou les administrateurs d'organismes publics ou par leurs fournisseurs de services.
  • Liaison de données : Le PL-22 jette les bases quant à la réglementation des programmes de « liaison de données » impliquant l'utilisation conjointe de plusieurs ensembles de données distincts. Les restrictions à imposer quant à ces programmes seront précisées par voie d'un règlement, qui jusqu'ici n'en est pas encore à l'étape du projet.
  • Atteintes à la vie privée : Le PL-22 introduit de nouvelles infractions en matière de protection des renseignements personnels qui impliquent l'imposition d'une responsabilité aux individus, aux fournisseurs de services et aux employés et associés de ces derniers. Un fournisseur de services sera réputé avoir commis une infraction lorsqu'une infraction est commise par l'un de ses employés ou associés (le cas échéant, le fournisseur de service peut se défendre en démontrant qu'il a fait preuve de diligence raisonnable). Dans le même ordre d'idées, les dirigeants, administrateurs et mandataires d'une société peuvent être réputés avoir commis une infraction s'ils autorisent ou permettent la commission d'une infraction par la société, ou s'ils y acquiescent, et ce, même si aucune poursuite n'est intentée contre la société. Ces nouvelles infractions peuvent entraîner des amendes allant jusqu'à cinquante mille dollars pour les personnes physiques et jusqu'à cinq cent mille dollars pour les personnes morales.

Entrées en vigueur le 1er février 2023, les dispositions restantes du PL 22 imposent aux organismes publics d'élaborer un programme de gestion de la protection de la vie privée et de respecter certaines exigences en matière de notification des atteintes à la vie privée :

Programmes de gestion de la protection de la vie privée

En vertu de l'article 36.2 de la FIPPA, les organismes publics sont désormais tenus d'élaborer un programme de gestion de la protection de la vie privée (PGVP) en respectant les instructions fournies par la ministre des Services aux citoyens dans le document intitulé Privacy Management Program Direction (en anglais). Celui-ci énonce les éléments devant obligatoirement faire partie du PGVP d'un organisme public ainsi que les exigences à respecter à cet égard :

  • Désigner une personne-ressource en matière de protection des renseignements personnels.
  • Mettre en œuvre des processus visant la réalisation et la consignation des évaluations des facteurs relatifs à la vie privée (EFPV) et des Ententes d'échange de renseignements (EER).  
  • Consigner les processus à suivre pour réagir en cas d'atteinte à la vie privée ou de plaintes relatives à la protection des renseignements personnels.
  • Sensibiliser et former les employés en matière de protection des renseignements personnels.
  • Adopter des politiques de confidentialité et consigner les processus à la disposition des employés et du public.
  • Informer les fournisseurs de services de leurs obligations en matière de protection des renseignements personnels.
  • Effectuer un suivi régulier à l'égard du programme de gestion de la protection de la vie privée et le mettre à jour lorsque nécessaire.

Notification obligatoire en cas d'atteinte à la vie privée

Lorsque survient une atteinte à la vie privée dont on pourrait raisonnablement s'attendre à ce qu'elle cause un préjudice grave à des individus, l'article 36.3 de la FIPPA oblige maintenant les organismes publics à en aviser les individus concernés, ainsi que le Commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique.

La définition du terme « atteinte à la vie privée » est assez large et fait référence au vol, à la perte ou à la collecte, l'utilisation ou la communication non autorisée de renseignements personnels étant sous la garde ou le contrôle d'un organisme public. En cas d'atteinte à la vie privée, les individus concernés doivent en être informés sans délai injustifié.

C'est le contexte qui permet de déterminer si l'on aurait raisonnablement pu s'attendre à ce qu'une atteinte à la vie privée cause un préjudice grave et donne ainsi naissance aux obligations de notification. Selon la FIPPA, de tels préjudices comprennent notamment :

  • le vol d'identité;
  • les lésions corporelles importantes;
  • l'humiliation;
  • le dommage à la réputation ou aux relations;
  • la perte de possibilités d'emploi ou d'occasions d'affaires ou d'activités professionnelles;
  • la perte financière;
  • l'effet négatif sur le dossier de crédit;
  • le dommage aux biens ou leur perte.

Mentionnons que le gouvernement a fourni des indications (en anglais) quant à l'évaluation du risque d'atteinte à la vie privée.

Exigences quant à la notification

L'alinéa 11.1 (1) (b) (en anglais) du règlement intitulé Freedom of Information and Protection of Privacy Regulation prescrit le fond et la forme et le contenu de la notification devant être fournie aux individus concernés. La notification doit :

  • être présentée à l'écrit et transmise directement à chaque individu concerné, sous réserve de certaines exemptions;
  • inclure le nom de l'organisme public ainsi que les détails concernant l'occurrence et la découverte de l'incident d'atteinte à la vie privée;
  • inclure une description de la nature des renseignements personnels touchés par l'incident d'atteinte à la vie privée;
  • inclure une mention confirmant que le Commissaire à la protection de la vie privée a été avisé de l'incident ou le sera;
  • inclure les coordonnées d'une personne en mesure de répondre à des questions au sujet de l'incident d'atteinte à la vie privée;
  • énoncer les mesures que l'organisme public a prises ou prendra pour réduire le risque de préjudice ainsi que les mesures pouvant être prises par les individus concernés afin de réduire ce risque.  

L'article 11.2 prescrit le fond et la forme de la notification devant être fournie au Commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique et reprend la plupart des exigences applicables à la notification à fournir aux individus.

 
Se renseigner davantage et se préparer convenablement

Lire le PL 22

  • Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, For Public Bodies: Tools for public agencies (en anglais). Voir notamment :

  • Pour l’historique législatif, voir :

    • Déclaration (en anglais) du Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique du 18 octobre 2021, et lettre communiquée à la ministre des Services aux citoyens du 20 octobre 2021 (avant l’entrée en vigueur du PL 22) afin de passer en revue les modifications qu’on proposait alors d’apporter à la FIPPA et d’exprimer le soutien du Commissariat à l'information et à la protection de la vie privée à l’égard de diverses modifications.

    • Débats du Hansard (en anglais)