Écrit par Ruth Promislow, Sébastien Gittens and Carolin Jumaa

Les organisations qui exercent des activités en Ontario pourraient bientôt être assujetties à un tout nouveau régime provincial de protection de la vie privée qui pourrait imposer d’importantes obligations de conformité et imposer des pénalités importantes en cas de violation de ces obligations. 

Le 17 juin 2021, le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario (Ontario) a publié un livre blanc intitulé « Moderniser la protection de la vie privée en Ontario : autonomiser les Ontariennes et Ontariens et favoriser l’économie numérique ». À la suite d’un processus de consultation sur la réforme de la protection de la vie privée (dont nous avons déjà fait rapport dans L’Ontario promet de créer la première autorité provinciale de données du Canada), l’Ontario a cerné plusieurs enjeux clés en matière de protection de la vie privée et un projet de texte législatif correspondant pour régler ces problèmes. L’Ontario a demandé des soumissions en réponse au texte législatif qu’il propose.

Les principaux thèmes du Livre blanc de l’Ontario sont généralement harmonisés avec ceux qui sous-tendent le projet de loi C-11 (C-11) du gouvernement fédéral, à savoir : 

• les exigences relatives à l’obtention d’un consentement valable;
• l’obligation pour les organisations de mettre en œuvre un programme de gestion de la protection de la vie privée qui comprend leurs politiques et protocoles établissant comment elles se conforment aux obligations réglementaires;
• l’exposition à des pénalités en cas de violation des obligations;
• l’accroissement des droits individuels; et
• la transparence requise en ce qui concerne l’utilisation de l’intelligence artificielle.

Les propositions contenues dans le Livre blanc de l’Ontario sont résumées comme suit :

Proposition 1 : Approche de la protection de la vie privée fondée sur les droits

L’Ontario propose d’établir un droit fondamental à la vie privée « comme principe de base d’une loi provinciale sur la protection des renseignements personnels, garantissant que les Ontariennes et Ontariens sont protégés, peu importe leurs intérêts commerciaux ». En lien avec ce principe, l’Ontario propose les concepts suivants, qui sont généralement harmonisés avec le libellé proposé dans le projet de loi C-11 :

• Fins justes et appropriées : Les renseignements ne devraient être recueillis, utilisés et divulgués qu’à des fins auxquelles une personne pourrait raisonnablement s’attendre, quels que soient les motifs légitimes qui peuvent s’appliquer. 
• Limites à la collecte, à l’utilisation et à la communication des renseignements personnels : Les organisations devraient limiter leur collecte, leur utilisation et leur communication aux renseignements personnels nécessaires à la réalisation des fins prévues.
• Mobilité des données : Les personnes devraient avoir le droit d’obtenir et de transférer leurs propres renseignements personnels. 
• Droit de disposition (ou d’effacement) : Les personnes devraient pouvoir demander à une organisation de disposer de leurs renseignements personnels.
• Droit d’accès et de correction : Les personnes devraient avoir accès aux renseignements personnels sous la garde d’une organisation et être en mesure de les corriger

Proposition 2 : Prise de décisions automatisée

L’Ontario propose de réglementer l’utilisation de la prise de décisions automatisée en :

• donner aux personnes le droit de connaître l’utilisation de la prise de décisions automatisées en lien avec leurs renseignements personnels;
• exiger des organisations qu’elles répondent aux demandes de renseignements concernant les décisions prises au sujet des personnes au moyen d’un processus décisionnel automatisé;
• donner aux personnes le droit de commenter, de contester ou de demander une révision de la décision qui les concerne et qui est rendue au moyen de la prise de décisions automatisée; et
• interdire l’utilisation de la prise de décision automatisée dans les situations d’impact significatif.

Proposition 3 : Consentement valable 

L’Ontario propose de lutter contre l’effet de la « lassitude du consentement » (en vertu de laquelle les personnes accepteront tout avis juridique qui leur sera présenté sans en lire ni comprendre les modalités) et de prévoir un consentement valable en :

• exiger que certains renseignements soient fournis par les organisations lorsqu’elles demandent le consentement pour la collecte, l’utilisation ou la communication de renseignements personnels;
• accorder aux personnes le droit de retirer leur consentement;
• exiger des organisations qu’elles tiennent compte de la sensibilité des renseignements personnels à recueillir lorsqu’elles formulent le processus de consentement;  
• interdire aux organisations de faire du consentement une condition de service ou d’utiliser des moyens trompeurs ou duplicités pour obtenir le consentement; et
• permettre des circonstances de consentement implicite où les personnes s’attendraient raisonnablement à ce que leurs renseignements soient recueillis et utilisés. 

Proposition 4 : Transparence 

L’Ontario reconnaît que « des exigences de transparence plus strictes pourraient donner aux citoyens le droit de savoir quand et comment leurs données sont utilisées par les organisations, leur permettant de reprendre le contrôle et de participer de manière plus significative aux décisions qui ont une incidence sur leur bien-être ».

Dans le but d’améliorer les droits des personnes de savoir quand et comment leurs données sont utilisées, l’Ontario a présenté deux propositions à l’étude :

• les organisations doivent mettre en œuvre un cadre de gestion de la protection de la vie privée (politiques, pratiques et procédures internes en matière de protection de la vie privée) détaillant leur conformité aux obligations réglementaires; et
• les organisations doivent mettre à la disposition des personnes des renseignements sur leurs politiques, pratiques et procédures liées à la conformité. Ces renseignements, qui devraient être fournis dans un langage simple, indiqueraient l’utilisation des données par l’organisation, le fondement juridique sur lequel s’appuient de telles utilisations et la façon dont les individus peuvent exercer leurs droits en matière de données. 

Proposition 5 : Protéger les enfants et les jeunes

L’Ontario propose d’offrir des protections spéciales aux enfants à protéger en « introduisant un âge minimum de consentement valide et en interdisant aux organismes de surveiller les enfants dans le but d’influencer leurs décisions ou leur comportement ».

Proposition 6 : Pouvoirs accrus du commissaire à la protection de la vie privée de l’Ontario et pénalités

L’Ontario propose d’élargir le mandat du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) afin d’y inclure la surveillance réglementaire, les pouvoirs d’application de la loi et la prestation de soutien aux organisations dans le cadre du nouveau régime de protection de la vie privée.   

Conformément au libellé proposé, la CIB serait habilitée à :

• entreprendre et mener des enquêtes ou des vérifications;
• obliger les organisations à fournir de l’information;  
• émettre des ordonnances contraignantes aux organisations non conformes; et
• imposer des sanctions administratives pécuniaires à un maximum de 10 millions de dollars ou 3 % des revenus globaux bruts pour les organisations, et à un maximum de 50 000 $ pour les particuliers.

Proposition 7 : Soutenir les innovateurs de l’Ontario

L’Ontario propose de permettre l’utilisation de renseignements dépersonnalisés dans des circonstances précises pour appuyer l’innovation afin que les organisations puissent utiliser ces renseignements pour améliorer ou développer des technologies, des services ou des produits. L’Ontario propose de clarifier la signification des renseignements dépersonnalises, en les définissant comme suit : « les renseignements concernant une personne qui ne permettent plus à l’individu d’être identifié directement ou indirectement sans l’utilisation de renseignements supplémentaires.

L’Ontario a demandé des commentaires sur ses propositions aux organisations, aux intervenants touchés et au grand public d’ici le 3 août 2021. Le groupe Bennett Jones Privacy & Data Protection group est disponible pour aider les organisations à le faire et pour discuter de la façon dont ces progrès peuvent potentiellement affecter leurs pratiques, politiques et procédures.

Télécharger le PDF