Les nouvelles lois albertaines sur la protection des renseignements personnels sont maintenant en vigueur : ce que les organismes publics doivent savoir

Écrit par Stephen Burns, Sébastien Gittens et David Wainer

Le 11 juin 2025, deux nouvelles lois albertaines sont entrées en vigueur : 1) la Protection of Privacy Act; 2) la Access to Information Act. Ces deux lois, qui devraient avoir d’importantes répercussions sur les obligations du secteur public en matière de protection des renseignements personnels, ont été initialement présentées le 6 novembre 2024 par les projets de loi C-33¹ et C-34², respectivement.

Principaux changements aux termes de la Protection of Privacy Act³

La Protection of Privacy Act aura, entre autres, à l’égard de la législation en matière de protection de renseignements personnels dans le secteur public, une incidence sur la manière dont les organismes publics peuvent recueillir, utiliser et communiquer des renseignements personnels :

elle exige que la protection des renseignements personnels soit une considération primordiale dans la gestion de l’information et la conception des programmes et des services (une approche de « protection de la vie privée dès la conception »)⁴;
elle prévoit que, si un organisme public a l’intention d’utiliser des renseignements personnels dans un système automatisé afin de [traduction] « générer du contenu ou prendre des décisions, ou faire des recommandations ou des prédictions », cette intention soit divulguée;
elle précise les circonstances dans lesquelles un organisme public peut lier des renseignements entre deux ou plusieurs ensembles de données (couplage de données) et les règles qui régissent ce processus;
elle permet aux organismes publics de créer et d’utiliser des données non personnelles à certaines fins, notamment la recherche et l’analyse ou la planification, l’administration, la fourniture, la gestion, le contrôle ou l’évaluation d’un programme ou d’un service;
elle oblige tous les organismes publics à adopter un programme de gestion de la protection des renseignements personnels qui doit être mis à la disposition de toute personne qui en fait la demande;
elle interdit explicitement aux organismes publics de vendre des renseignements personnels;
elle crée un nouveau régime d’évaluation des facteurs relatifs à la vie privée.

En outre, la Protection of Privacy Act augmente les frais et les sanctions qui peuvent être imposés à ceux qui l’enfreignent. Certaines exemptions s’appliquent aux documents conservés par les tribunaux, ainsi qu’à un groupe restreint d’autres types de documents conservés par les organismes publics.

Principaux changements aux termes de la Access to Information Act⁵

La Access to Information Act modifiera les modalités d’accès des particuliers aux dossiers et renseignements conservés par les organismes publics. Voici une liste non exhaustive de ces changements primordiaux :

un organisme public aura le droit de ne pas tenir compte d’une demande de renseignements si celle-ci : 1) entrave de façon déraisonnable le fonctionnement de l’organisme public; 2) est abusive, menaçante, frivole ou vexatoire; 3) vise des renseignements qui ont déjà été communiqués à l’auteur de la demande ou rendus publics; 4) est trop générale ou incompréhensible;
le délai fixé pour la réponse est modifié, passant de 30 jours après la réception de la demande à 30 jours ouvrables et, dans certaines circonstances, l’organisme public a le droit de proroger le délai fixé pour la réponse à une demande pendant un [traduction] « délai supplémentaire raisonnable »;
la portée de l’exemption des [traduction] « renseignements confidentiels du cabinet et du Conseil du trésor » est élargie;
un organisme public ne peut pas présenter une demande d’accès à un dossier dont un autre organisme public a la garde ou le contrôle.

Comme dans le cas de la Protection of Privacy Act, l’objectif de la Access to Information Act est d’augmenter les frais et les sanctions qui peuvent être imposés à ceux qui l’enfreignent.

Modifications à la législation

Initialement, la Protection of Privacy Act imposait des règles strictes concernant le couplage de données, les données qui proviennent de renseignements personnels et les données non personnelles. Toutefois, aux termes de modifications qui ont reçu la sanction royale le 15 mai 2025, ces exigences ne s’appliquent plus à l’Office of Statistics and Information. Par exemple, avant les modifications, il était interdit à tous les organismes publics de recueillir des renseignements personnels directement auprès d’un particulier aux fins d’effectuer du couplage de données pour créer des données qui proviennent de renseignements personnels. Depuis les modifications, cette interdiction ne s’applique plus à l’Office of Statistics and Information. De même, certaines exigences en matière d’échéancier de destruction de données qui proviennent de renseignements personnels ne s’appliquent plus à l’Office of Statistics and Information, tout comme certaines exigences liées aux circonstances dans lesquelles un organisme public peut créer des données non personnelles.

À retenir

Nous nous attendons à ce que la Access to Information Act ait des répercussions importantes à l’égard de la manière dont les organismes publics :

répondent aux demandes d’accès, notamment en exigeant un niveau de détail plus élevé de la part des demandeurs;
prendre plus de temps pour répondre aux demandes d’accès;
utilisent les exemptions discrétionnaires afin de ne pas divulguer davantage de renseignements et/ou de dossiers dans le cadre de leurs réponses aux demandes d’accès. En outre, nous nous attendons à ce que la Protection of Privacy Act impose des exigences plus strictes sur la manière dont les organismes publics doivent protéger les renseignements personnels dont ils ont la garde ou le contrôle et la manière dont ils peuvent les utiliser.

Si vous souhaitez discuter des répercussions de la Protection Privacy Act et de la Access to Information Act sur votre organisation, nous vous invitons à communiquer avec les membres du groupe Protection des renseignements personnels et des données de Bennett Jones.

¹ Projet de loi C-33, Protection of Privacy Act, 1ʳᵉ session, 31ᵉ législature, Alberta, 2024 (première lecture : 6 novembre 2024).
² Projet de loi C-34, Access to Information Act, 1ʳᵉ session, 31ᵉ législature, Alberta, 2024 (première lecture : 6 novembre 2024).
³SA 2024, c P-28.5 [Protection of Privacy Act].
⁴Modernizing access to information for Alberta's digital age, [Internet], gouvernement de l’Alberta, le 23 janvier 2025.
⁵SA 2024, c A-1.4 [Access to Information Act].

Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.

Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.

Écrit par Stephen Burns, Sébastien Gittens et David Wainer

Principaux changements aux termes de la Protection of Privacy Act3

Principaux changements aux termes de la Access to Information Act5

Modifications à la législation

À retenir

Auteur(e)s

Liens connexes

Articles récents

Blogue

La Cour de l’Ontario confirme que la clause de mise [...]

Blogue

Questions et réponses sur la gestion de la croissance [...]

Blogue

Bennett Jones représente CPKC dans le cadre de l’octroi [...]

Blogue

Les investisseurs en capital-investissement et en [...]

Blogue

La Bourse de croissance TSX met à jour sa politique [...]

Principaux changements aux termes de la Protection of Privacy Act³

Principaux changements aux termes de la Access to Information Act⁵