L’Ontario va de l’avant avec une proposition de réforme législative en matière de protection de la vie privée

L'Ontario a fait un pas important vers l’adoption d'une loi provinciale de protection de la vie privée dans le secteur privé.

Le 17 juin dernier, le gouvernement de l’Ontario a déposé un livre blanc intitulé Modernisation de la protection de la vie privée en Ontario qui contient plusieurs propositions pour l’adoption d’une nouvelle loi. Avec ce livre blanc, la province vise à mettre en place des protections plus importantes que celles introduites par le gouvernement fédéral dans sa réforme de la législation en matière de protection de la vie privée, le projet de loi C-11. Si le modèle proposé par la province devient loi, il mettra en place un nouveau régime strict de conformité et d'application de la loi ainsi qu’une réglementation entièrement nouvelle en matière de protection de la vie privée en milieu de travail. Il accentuera également la fragmentation du régime juridique canadien de protection de la vie privée applicable au secteur privé.

Le contexte de cette réforme

En Ontario, c’est présentement la législation fédérale qui encadre la protection de la vie privée dans le secteur privé. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) a imposé un ensemble d'exigences en matière de protection de la vie privée qui sont fondées sur les principes relatifs à l’équité dans le traitement de l’information qui sont à la base des lois de protection de la vie privée à l'échelle mondiale.

La LPRPDÉ comporte toutefois trois limites fondamentales :

• Premièrement, elle manque certains éléments qui sont désormais communs aux lois plus exigeantes en matière de protection de la vie privée telles que le Règlement général sur la protection des données (RGPD) de l'Union européenne et le California Consumer Protection Act of 2018 aux États-Unis.
• Deuxièmement, l'application de la LPRPDÉ repose sur un modèle d'ombudsman de sorte que l'organisme de réglementation, le Commissariat à la protection de la vie privée du Canada, n'a pas le pouvoir de rendre des ordonnances exécutoires ou d'imposer des amendes.
• Troisièmement, la LPRPDÉ ne s'applique qu'à une petite portion d’employeurs ontariens – soit les banques, les compagnies aériennes et les autres employeurs sous réglementation fédérale. La grande majorité des employeurs de l'Ontario n'ont donc aucune obligation en vertu d'une loi spécifique de protection de la vie privée.

En raison de préoccupations relatives aux limites de la LPRPDÉ et à la nécessité de maintenir un « statut d'adéquation » qui facilite le transfert de renseignements personnels à l'extérieur de l'Espace économique européen en vertu du RGPD, le Canada a connu une vague de réformes des lois sur la protection de la vie privée qui donnent lieu à une quasi-concurrence pour établir la nouvelle législation de référence en matière de la protection de la vie privée au Canada.

Le Québec a été la première province à se lancer avec un ensemble de réformes consolidées dans le projet de loi n° 64 qui a de bonnes chances d’être adopté d’ici la fin de l’année 2021.

Le gouvernement fédéral a emboîté le pas avec le projet de loi C-11 qui propose de remplacer la LPRPDÉ par la nouvelle Loi sur la protection des renseignements personnels des consommateurs. Le projet de loi C-11 a fait l'objet de critiques importantes de la part des plusieurs groupes et du Commissariat à la protection de la vie privée du Canada, ce qui crée de l’incertitude quant à son avenir.

Le nouveau régime strict proposé par l'Ontario

L'Ontario a vraisemblablement tenu compte des critiques formulées à l'égard du projet de loi C-11 dans sa proposition de nouveau régime en matière de protection de la vie privée. Dans une lettre publiée en même temps que le livre blanc, la ministre Lisa Thompson a déclaré ce qui suit :

Récemment, le gouvernement fédéral a déposé le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique, afin de mettre à jour la LPRPDÉ. Bien que le projet de loi semble viser à moderniser une loi désuète, il a éliminé des mesures de protection clés auxquelles les Canadiennes et les Canadiens s’attendent et a été reconnu comme un « pas en arrière » par le Commissariat à la protection de la vie privée du Canada.

Même si un régime national exhaustif et harmonisé de protection de la vie privée constituerait un résultat optimal pour les Ontariennes et Ontariens, le projet de loi fédéral est fondamentalement imparfait et, de la façon dont il est rédigé actuellement, il n’assurera pas la sécurité de notre population.

Par conséquent, mon ministère envisage la possibilité d’adopter une loi provinciale qui régirait les données des citoyens, établirait une référence nationale absolue en matière de protection de la vie privée et corrigerait les déséquilibres systémiques du pouvoir qui ont émergé entre les particuliers et les organisations qui recueillent et utilisent leurs données.

Dans son livre blanc, le gouvernement ontarien s’inspire largement de la critique du projet de loi C-11 faite par le Commissariat à la protection de la vie privée du Canada et des propositions de réforme présentées par le Commissaire à l'information et à la protection de la vie privée de l'Ontario. Bien que la province semble avoir emprunté plusieurs libellés se trouvant dans le projet de loi C-11, la rigueur du régime proposé se rapproche davantage du projet de loi n° 64 au Québec.

Le tableau suivant décrit les principaux éléments du régime proposé par l'Ontario.

Élément	Caractéristiques	Commentaires
Champ d’application	Activités commerciales Relations d’emploi dans la province Organismes sans but lucratif Syndicats	L'Ontario propose de remplacer le régime de la LPRPDÉ en ce qui concerne les activités commerciales et d'élargir le champ d'application de la législation en matière de protection de la vie privée en Ontario à un large éventail d'activités actuellement non réglementées, y compris l'activité principale des organisations sans but lucratif et des organismes de bienfaisance. Les employeurs ontariens deviendraient également assujettis à la législation en matière de protection de la vie privée.
Objet	Établir un « droit fondamental au respect de la vie privée » Trois principes : proportionnalité, équité et adéquation	L'Ontario propose de modifier l'équilibre consacré par la LPRPDÉ et le projet de loi C-11, qui reconnaissent tous deux que le droit au respect de la vie privée n'est pas absolu et qu'il doit être mis en balance avec le « besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».
Exigences et restrictions en matière de traitement	Critère des « Fins acceptables » avec : Certains facteurs à considérer; Un test de nécessité; et Certaines « zones interdites » incluant des finalités de traitement qui pourraient être déterminées par règlement.	Les restrictions en matière de traitement de renseignements personnels sont une composante essentielle des lois de protection de la vie privée. La proposition de la province est assez stricte à cet égard. Entre autres choses, la province s'inspire du Commissariat à la protection de la vie privée du Canada en proposant certaines fins inacceptables ou « zones interdites ». Plus particulièrement, l'Ontario vise à interdire le traitement de renseignements personnels à des fins qui « causent, ou qui sont susceptibles de causer, un préjudice grave aux particuliers ou à des groupes de particuliers ».
Renseignements dépersonnalisés	Règlementés tant qu’ils ne sont pas « anonymisés » Obligation d’utiliser des protocoles de dépersonnalisation « proportionnels » à la sensibilité des renseignements Interdiction de réidentifier les renseignements Si les renseignements ont été dépersonnalisés, les organisations ne seraient pas tenues de répondre à une demande d’accès, d’ajout, de transfert ou de suppression de renseignements	À l'instar du projet de loi 64 et du RGPD, l'approche ontarienne exclut les renseignements véritablement anonymisés du champ d'application de la loi. Le gouvernement de l’Ontario affirme que cette proposition vise à encourager la dépersonnalisation et l'anonymisation comme moyen de soutenir l'innovation axée sur l’analyse des données. La province reconnaît que certaines exigences du régime de protection de la vie privée ne sont ni souhaitables ni réalisables dans le contexte des renseignements dépersonnalisés. Par exemple, le livre blanc propose que les organisations ne soient pas tenues de répondre à une demande d'accès si les renseignements personnels ont été dépersonnalisés.
Droits individuels	Accès et rectification Droit à la suppression Droit à la portabilité balisé par des normes sectorielles Droit à la désindexation des résultats de recherche (décrit comme étant sous étude)	Les droits à la suppression et à la portabilité des renseignements personnels sont des droits qui peuvent entrer en conflit avec les besoins opérationnels des entreprises et qui doivent donc avoir une portée limitée et bien définie. La proposition de la province contient la même limite que celle des « restrictions contractuelles raisonnables » figurant dans le projet de loi C-11, et la province semble avoir l'intention de limiter le droit à la portabilité pour permettre uniquement les communications effectuées en vertu d'un cadre de mobilité. La question de savoir si l’Ontario va effectivement aller de l’avant avec un droit à la désindexation (droit à l'oubli), à l’instar du législateur québécois, est d'une importance majeure.
Prise de décision automatisée	Exigence de transparence pour l’utilisation de systèmes décisionnels automatisés (SDA) Interdiction d’utiliser un SDA pour prendre une décision qui « aurait des conséquences importantes » pour l’individu sauf si Nécessaire pour conclure ou exécuter un contrat; Consentement exprès; ou Décision autorisée par la loi.	La proposition de l'Ontario est sans doute plus stricte que les exigences prévues dans le projet de loi C-11 et le projet de loi 64 dans la mesure où elle vise à interdire certaines décisions automatisées et à créer un véritable droit de contester une décision automatisée. Étant donné que le livre blanc reprend la définition large de la notion de "système décisionnel automatisé" du projet de loi C-11, le régime proposé a de quoi susciter des inquiétudes pour les entreprises qui utilisent ce type de technologies.
Consentement	Préserve l'exigence du consentement et propose de nombreuses alternatives au consentement pour résoudre le fameux problème de « lassitude du consentement » (consent fatigue).	L'Ontario a calqué sa liste d'exceptions au consentement sur celle du projet de loi C-11, mais la province les présente plutôt comme des « catégories autorisées de collecte, d'utilisation et de communication » et elle ne retient pas l'exception prévue par le projet de loi C-11 lorsque l’organisation n’a pas de relation directe avec l’individu qui a suscité plusieurs critiques. La province a expressément proposé d'inclure les syndicats dans le champ d'application de la législation de protection de la vie privée et elle propose donc une exception au consentement pour un traitement de renseignements personnels « nécessaire » à diverses activités liées aux mandats de représentation des syndicats.
Transparence et gouvernance	Programme de gestion de la vie privée Exigence de transparence renforcée, via l’obligation d’avoir des politiques en langage clair et conditions précises pour l’obtention d’un consentement valide Évaluations des facteurs relatifs à la vie privée (décrit comme étant sous étude)	La législation sur la protection de la vie privée a évolué pour exiger des organisations qu'elles fournissent aux individus davantage d’information sur le traitement qu’elles font des renseignements personnels. La proposition de l'Ontario s'inspire largement du projet de loi C-11, et la province s'est aussi montrée ouverte à une exigence similaire à celle prévue par le projet de loi n° 64 en matière d’évaluations des facteurs relatifs à la vie privée obligatoires.
Enfants	Pas de surveillance ou de profilage d’une personne âgée de moins de 16 ans; Obligation d'obtenir le consentement des parents ou du tuteur pour les personnes âgées de moins de 16 ans, avec des dispositions permettant de traiter les mineurs matures qui s'opposent au contrôle parental	La LPRPDÉ ne comporte aucune disposition spécifique visant à protéger la vie privée des enfants et ne fixe pas d'âge à partir duquel le consentement parental est requis. Certaines indications sont toutefois tirées de la politique du Commissariat à la protection de la vie privée du Canada, qui a souligné la sensibilité des renseignements personnels des enfants et le fardeau accru que représente l'obtention d'un consentement valable dans un tel contexte. La proposition de l'Ontario a le potentiel d'apporter de la clarté à ce chapitre. En revanche, le projet de loi n° 64 prévoit que le consentement d'un mineur de moins de 14 ans doit être donné par la personne ayant l'autorité parentale et que le consentement d'un mineur de 14 ans ou plus peut être donné soit par le mineur, soit par la personne ayant l'autorité parentale.
Application de la loi	Certification et « codes de pratiques » Pouvoirs d’émettre des ordonnances Sanctions administratives pécuniaires (10 millions ou 3% du revenu global brut selon le montant le plus élevé) Infractions Possibilité d’un régime d’indemnisation en cas d’atteinte à la vie privée (décrit comme étant sous étude)	La proposition de l'Ontario est semblable au projet de loi C-11, mais elle donnerait au Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP) le pouvoir (direct) d'imposer des sanctions administratives pécuniaires. La loi ontarienne en matière de protection de la vie privée dans le domaine de la santé prévoit un mécanisme de dédommagement, mais celui-ci nécessite une demande au tribunal. Un mécanisme par lequel les personnes pourraient demander une indemnisation au CIPVP lui-même serait nouveau, ce qui soulève la question de savoir s'il devrait s'agir d'un recours exclusif (c.-à-d. une alternative aux demandes pour atteintes à la vie privée déposées devant les tribunaux).

 

Conclusion

Si la proposition ontarienne finissait par devenir une loi qui supplanterait la législation fédérale en matière de protection de la vie privée en Ontario, le paysage législatif en matière de protection de la vie privée au Canada se retrouverait bouleversé. Environ 87 % de la population canadienne serait alors assujettie à une loi provinciale en matière de protection de la vie privée dans le secteur privé, ce qui contribuerait à marginaliser le Commissariat à la protection de la vie privée du Canada et à introduire un nouvel organisme provincial de réglementation doté de pouvoirs et d'une influence considérables. Une telle fragmentation ne serait pas à l'avantage des entreprises et des secteurs d'activité entièrement nouveaux en Ontario seraient désormais réglementés, à savoir l'emploi et les activités sans but lucratif.

Même si la proposition de l'Ontario n'est pas adoptée, celle-ci participe à un jeu d'influence qui semble pousser le régime juridique en matière de protection de la vie privée à s'élever au plus haut dénominateur commun. L'Ontario présente son modèle comme une solution de rechange plus stricte au projet de loi C-11, ce qui pourrait susciter une réaction fédérale, sans parler d'une éventuelle réaction de la Colombie-Britannique et de l'Alberta.

La date limite pour soumettre des commentaires à la province est le 3 août. Nous serions heureux de vous aider à examiner la proposition et à préparer une soumission. Veuillez communiquer avec votre avocat de BLG ou avec l'une des personnes-ressources ci-dessous pour obtenir de plus amples renseignements.