L’Ontario publie l’ébauche de la loi sur la vie privée

Download Télécharger

Le gouvernement de l’Ontario vient de publier pour fins de consultation une ébauche de la Loi 2002 sur la protection des renseignements personnels (LPRP). Si la Loi est adoptée par l’assemblée législative avant 2004, elle aura préséance sur la loi fédérale qui s’appliquerait aux entreprises sous réglementation provinciale en Ontario (voir “La Loi sur la protection des renseignements personnels et les documents électroniques: effet sur les entreprises sous réglementation fédérale et leurs employés” sous la rubrique “Publications”).

La LPRP, comme son équivalente fédérale, vise a tenir compte des dix principes de protection de la vie privée élaborés par l’Association canadienne de normalisation. Cependant, elle differe de la loi fédérale en ce qu’elle comprend nombre de dispositions précises régissant les “dépositaires de renseignements personnels sur la santé”, définis pour inclure une large gamme de personnes et d’organisations dans le secteur de la santé, ainsi que des dispositions sur le caractere privé des renseignements personnels sur la santé, qu’ils soient détenus par des dépositaires de renseignements ou des organisations a l’extérieur du secteur de la santé. Le présent article traite surtout des aspects de la Loi qui ne sont pas liés au domaine de la santé.

APPLICATION

Alors que la loi fédérale s’applique a des entités sous réglementation fédérale engagées dans des activités commerciales, telles que les banques et les compagnies de télécommunications, la loi ontarienne s’appliquerait aux “organisations”, largement définies pour inclure les personnes, les associations incorporées ou non, les syndicats et les particuliers, sauf si le particulier agit “pour son compte et dans le cadre d’activités non commerciales”. Les organisations du secteur public provincial continueraient d’etre régies par la Loi sur l’acces a l’information et la protection de la vie privée (LAIPVP) et la Loi sur l’acces a l’information municipale et la protection de la vie privée (LAIMPVP).

DROITS DES PARTICULIERS

Tout comme la loi fédérale, la LPRP tente de trouver un juste milieu entre le droit a la vie privée et le besoin pour les organisations de recueillir, utiliser ou divulguer des renseignements personnels a des fins raisonnables. Les principaux droits a la vie privée que confere la Loi sont les suivants:

a) Donner ou refuser le consentement a la collecte, l’utilisation ou la divulgation des renseignements personnels.

Le consentement peut etre expres ou implicite. Cependant, le consentement a la collecte de renseignements personnels sur la santé par une organisation a l’extérieur du secteur de la santé doit etre expres. Le consentement a la collecte, l’utilisation ou la divulgation de renseignements personnels peut etre réputé seulement si les conditions suivantes sont remplies:

  • le but de la collecte, de l’utilisation ou de la divulgation est raisonnablement évident pour la personne concernée;
  • il est raisonnable de présumer que la personne consentirait; et
  • l’organisation n’utilise et ne divulgue les renseignements qu’aux fins auxquelles les renseignements ont été recueillis.

b) Etre informé de ses droits quant a la collecte, l’utilisation et la divulgation de ses renseignements personnels.

c) Avoir acces a ses propres renseignements personnels et pouvoir en contester l’exactitude et les lacunes.

Le droit d’avoir acces aux renseignements est sujet a plusieurs exceptions liées a la sécurité, a l’action policiere, aux privileges, a la vie privée d’une tierce partie et au secret commercial. Si les renseignements personnels ont déja été fournis a un gouvernement ou a un organisme d’enquete, ceux-ci ont le droit de s’opposer a sa divulgation. D’autres personnes dont les renseignements personnels seraient divulgués si les renseignements étaient dévoilés peuvent refuser de donner leur consentement a la divulgation.

La demande d’acces aux renseignements doit etre par écrit, et les organisations sont généralement tenues de répondre dans les trente jours. Si la personne qui veut obtenir les renseignements demande de l’aide pour présenter la demande, l’organisation doit la lui fournir. Une personne pourrait également demander des renseignements sur l’utilisation et la divulgation de renseignements personnels et si l’acces est accordé, ces renseignements doivent également etre donnés. Une personne dont la demande a été rejetée ou dont la demande n’a pas été traitée dans les délais prévus peut s’en plaindre au Commissaire a l’information et a la protection de la vie privée.

d) Avoir acces a un organisme de supervision équitable et indépendant chargé de traiter les plaintes relatives au respect de la Loi.

Le Commissaire a l’information et a la protection de la vie privée est chargé de superviser l’application de la Loi; il est aussi chargé d’administrer la LAIPVP et la LAIMPVP. Le Commissaire peut etre saisi d’une plainte alléguant violation de la Loi, ou le Commissaire peut prendre lui-meme l’initiative d’examiner la situation s’il est convaincu pour des motifs raisonnables qu’une violation a été commise ou est sur le point de l’etre.

Le Commissaire peut nommer des inspecteurs pour faire enquete sur les violations alléguées. Ces personnes ont le pouvoir de pénétrer dans les locaux et d’exiger la production de documents et de dossiers. Apres examen d’une plainte, le Commissaire peut rendre une ordonnance, y compris une ordonnance qui enjoint l’organisation, selon le cas,

  • de cesser de recueillir, d’utiliser ou de divulguer des renseignements personnels contrairement aux dispositions de la Loi;
  • de modifier, de cesser ou de ne pas entreprendre une pratique relative aux renseignements qui est contraire a la Loi;
  • d’éliminer les dossiers de renseignements personnels;
  • de mettre en oeuvre une pratique;
  • d’exécuter une obligation imposée par la Loi;
  • de donner acces a un particulier aux renseignements personnels demandés;
  • de corriger les renseignements personnels.

On peut interjeter appel de l’ordonnance aupres de la Cour divisionnaire, mais seulement sur des questions de droit, et non de fait. Une fois les droits d’appel épuisés, l’ordonnance du Commissaire peut etre déposée a la Cour; elle devient alors exécutoire au meme titre qu’une ordonnance judiciaire. Le particulier a l’égard duquel une ordonnance définitive a été rendue peut intenter une poursuite devant les tribunaux pour les dommages subis en raison de la violation de la Loi.

DEVOIRS DES ORGANISATIONS

L’objet de la Loi, qui est de régir la collecte, l’utilisation et la divulgation des renseignements personnels, se réalise au moyen des devoirs et obligations imposés aux organisations. Quelques exemples:

a) les organisations sont responsables des renseignements personnels sous leur garde ou leur contrôle; elles doivent désigner des personnes qui rendront compte de la conformité de l’organisation a la Loi.

Les organisations doivent avoir mis en place des pratiques relatives aux renseignements qui sont conformes a la Loi, et elles doivent suivre ces pratiques. Elles doivent publier par écrit un énoncé qui décrit leurs pratiques relatives aux renseignements, qui donne les coordonnées de la personne désignée responsable de la conformité, et qui indiquent aux intéressés comment avoir acces a leurs renseignements personnels et comment porter plainte pour non-conformité.

b) les organisations doivent également obtenir le consentement de l’intéressé avant de recueillir, d’utiliser ou de divulguer des renseignements personnels.

La Loi prévoit certaines circonstances ou le consentement pour recueillir les renseignements n’est pas requis, par exemple,

  • lorsque la collecte de renseignements est clairement dans l’intéret de l’intéressé et qu’il n’est pas possible d’obtenir le consentement en temps voulu. L’organisation doit alors aviser la personne intéressée par écrit du but de la collecte des renseignements et du fait que l’organisation recueille des renseignements sans son consentement en vertu de pouvoirs conférés par la Loi;
  • dans des contextes précis d’enquete ou d’enquete policiere; et
  • dans des situations d’urgence ayant trait a la santé, la sécurité ou la vie de la personne.

D’autres dispositions permettent la collecte et la divulgation de renseignements personnels sans le consentement des intéressés afin de faciliter la vente de l’actif d’une entreprise. Cependant, le consentement est encore requis si les renseignements personnels constituent la totalité ou presque la totalité de l’actif de l’entreprise ou si le propriétaire subséquent n’exercera pas des activités commerciales qui sont essentiellement les memes que celles du propriétaire précédent.

Les renseignements personnels peuvent également etre divulgués sans consentement si l’organisation les divulgue a une autre organisation ou a ses conseillers professionnels, si cette divulgation est nécessaire au bon fonctionnement de l’organisation, et si l’organisation ou les conseillers qui reçoivent les renseignements sont tenus d’en respecter le caractere confidentiel et de ne pas les utiliser a d’autres fins que celles de l’organisation qui divulgue les renseignements.

c) les organisations doivent

  • prendre toutes les mesures raisonnables pour assurer l’exactitude des dossiers de renseignements personnels;
  • ne pas mettre a jour les dossiers de renseignements personnels a moins que cette mise a jour ne soit nécessaire pour les fins auxquelles les renseignements ont été recueillis, que la personne y ait consenti ou qu’elle soit permise par la loi;
  • assurer la sécurité des renseignements personnels en prenant des mesures en fonction de leur caractere confidentiel, qui les protegent de toute utilisation, divulgation, reproduction, modification ou élimination non autorisée;
  • prendre note des cas d’utilisation et de divulgation des renseignements sans consentement préalable; et
  • sous réserve de certaines exceptions, ne pas conserver les renseignements personnels une fois accomplie la fin pour laquelle l’organisation les a recueilli.

La Loi prévoit également, en termes larges, des obligations imposées aux employeurs de ne pas recueillir, utiliser ou divulguer des renseignements personnels si d’autres renseignements peuvent servir aux memes fins, et de ne pas recueillir, utiliser ou divulguer plus de renseignements personnels que ce qui est raisonnablement nécessaire.

AUTRES DISPOSITIONS

Protection des dénonciateurs

Tout comme la loi fédérale, la LPRP comprend des dispositions qui interdisent aux organisations de prendre des mesures de représailles contre des personnes qui, de bonne foi et pour des motifs raisonnables, avise le Commissaire d’une violation, agissent pour prévenir une violation ou refusent de commettre une violation.

Infractions

La Loi prévoit des amendes maximales de $50 000 pour les particuliers et de $250 000 pour les personnes morales pour les infractions a la Loi, notamment les suivantes:

  • avoir recours a la supercherie ou a la coercition pour recueillir, utiliser ou divulguer des renseignements personnels;
  • obtenir des renseignements personnels en ayant des motifs de croire qu’on n’y a pas droit;
  • éliminer un dossier de renseignements personnels dans l’intention de se soustraire a une demande d’acces aux renseignements;
  • entraver le Commissaire dans l’exercice de ses fonctions;
  • faire sciemment une fausse déclaration au Commissaire ou l’induire sciemment en erreur;
  • ne pas se conformer a une ordonnance rendue par le Commissaire; et
  • prendre des mesures de représailles contre un employé qui a porté plainte au Commissaire.

Notre point de vue

Tout comme la loi fédérale, la loi ontarienne, si elle est promulguée, donnera aux employés le droit de poser des questions sur l’utilisation de leurs renseignements personnels. En outre, le Commissaire a l’information et a la protection de la vie privée, contrairement a son homologue fédéral, aura le pouvoir de rendre des ordonnances relatives aux plaintes des employés. Cela pourrait etre un facteur qui encourage les particuliers dont l’employeur est visé par la réglementation provinciale, par opposition a ceux dont l’employeur est sous le régime fédéral, a porter plainte en vertu de la Loi. La loi proposée est extremement complexe parce qu’elle englobe des dispositions générales sur la protection des renseignements personnels ainsi que des dispositions particulieres au secteur de la santé. Le Commissaire a l’information et a la protection de la vie privée a déja fait des commentaires sur la complexité de la structure de la loi proposée. La période de consultation se termine le 31 mars 2002. Nous tiendrons nos lecteurs au courant de l’évolution du projet de loi.

Pour de plus amples renseignements, veuillez communiquer avec Carole Piette au (613) 940-2733.