Digital Brain
digital brain
digital brain

Modifications proposées à la FIPPA : deux pas en avant, un pas en arrière

5 novembre 2021 Bulletin sur la protection de la vie privée Lecture de 4 min

Le 18 octobre dernier, le gouvernement de la Colombie-Britannique a déposé un projet de loi (le « projet de loi 22 ») modifiant la Freedom of Information and Protection of Privacy Act (« FIPPA »)[1] qui vise à rehausser la responsabilisation et la transparence du gouvernement, à renforcer les mesures de protection de la vie privée dans le secteur public et à accroître les échanges d’information avec les peuples autochtones tout en limitant les divulgations qui pourraient leur nuire[2]. Les modifications proposées soulèvent toutefois des questions quant à la transparence et à la résidence des données, et elles créent un certain flou pour ce qui est des règles applicables aux fournisseurs de services technologiques du secteur public.

Modifications proposées

Le projet de loi 22 introduit une série de nouvelles exigences pour la gestion et la protection des renseignements personnels :

  • Obligation de créer un programme de gestion des renseignements personnels pour chaque organisme public[3].
  • Obligation d’aviser toute personne touchée par une atteinte à la vie privée touchant des renseignements personnels détenus ou contrôlés par un organisme public[4].
  • Obligation pour les organismes publics de santé d’effectuer une évaluation des facteurs relatifs à la vie privée[5].
  • Interdiction de communiquer des renseignements s’il y a un risque raisonnable que cela porte atteinte aux droits d’Autochtones ou nuise à leur capacité à protéger ou à contrôler leur patrimoine culturel, leur expression culturelle et leur savoir traditionnel[6].

Ces exigences découlent de la nécessité accrue, dans la foulée de la pandémie de COVID-19, d’offrir des services en ligne sécuritaires et pratiques tout en suivant la cadence des autres territoires et des évolutions technologiques[7]. D’autres modifications visent à accroître la transparence gouvernementale. Le hic, c’est qu’elles sont accompagnées du retrait du Cabinet du premier ministre de la liste des organismes publics[8] et de l’introduction de frais pour toutes les demandes d’information qui ne visent pas l’obtention de renseignements personnels[9]. On peut se questionner sur l’intention sous-jacente à ces modifications et sur l’adéquation entre celles-ci et l’objectif annoncé de responsabilisation et de transparence accrues.

Pour consolider les protections prévues par la FIPPA, le projet de loi 22 prévoit que commet une infraction quiconque :

  • fait une fausse déclaration au commissaire à la protection de la vie privée, l’induit sciemment en erreur, l’empêche d’exercer ses fonctions ou ne se conforme pas à ses demandes;
  • dissimule, détruit ou modifie sciemment des documents pour se dérober à une demande d’information;
  • recueille, utilise ou communique des renseignements personnels, sauf dans la mesure autorisée, ou omet d’informer le responsable d’un organisme public d’une communication non autorisée[10].

Ces deux dernières infractions peuvent aussi être reprochées aux sociétés qui fournissent des services, de même qu’à leurs employés (le projet de loi 22 impute une responsabilité personnelle aux dirigeants, administrateurs ou mandataires qui autorisent ou permettent leur commission ou y acquiescent)[11]. De plus, les amendes imposées à ces sociétés pour ces infractions peuvent maintenant atteindre 500 000 $[12]. Les fournisseurs de services doivent donc absolument prendre connaissance des restrictions et des exigences actuelles et proposées et s’assurer d’avoir des politiques rigoureuses de protection de la vie privée pour atténuer les risques d’inconduite de la part de leurs employés.

Préoccupations concernant la résidence des données

Les modifications proposées faciliteront l’accès à des outils et technologies numériques, mais les données n’auront plus à être stockées en Colombie-Britannique. Ce changement inquiète profondément le commissaire à l’information et à la protection de la vie privée Michael McEvoy[13]. À l’inverse, certains acteurs du secteur sont enthousiastes, puisqu’ils entrevoient l’accès à des solutions technologiques plus sécuritaires et efficaces permettant de mieux protéger les données et la vie privée[14].

La réticence du commissaire tient au fait que les modifications proposées dans le projet de loi 22 concernant la résidence des données imputent la protection des renseignements personnels communiqués à l’extérieur du Canada à des règlements qui n’existent pas encore. Il suggère que les organismes publics soient tenus d’effectuer des évaluations des facteurs relatifs à la vie privée et d’étudier d’autres options raisonnables avant d’exporter des renseignements personnels[15]. L’encadrement de la liaison de données se fera lui aussi par règlement, un choix qui mine la transparence et la clarté des règles et des exigences[16].

Qu’est-ce que cela signifie pour les entreprises de la Colombie-Britannique? Les fournisseurs de services pourront employer de nouvelles technologies pour offrir des outils modernes permettant aux organismes publics de la province de mieux servir les citoyens. Par contre, le fait que l’encadrement de ce genre d’activités dépendra de règlements à venir laisse planer une incertitude quant aux règles qui seront appliquées.

Conclusion

Pour ceux qui font affaire avec le secteur public de la Colombie-Britannique, les nouvelles infractions et exigences proposées dans le projet de loi 22 représentent un renforcement longuement attendu des protections offertes par la FIPPA. Les modifications devraient accroître le niveau de confiance des entreprises envers la gestion des renseignements et alléger quelque peu le fardeau d’une relation d’affaires avec le secteur public. Le projet de loi 22 donne toutefois lieu à de nouvelles préoccupations concernant la volonté réelle d’accentuer la transparence et le manque de clarté quant à l’application des nouvelles dispositions. Les fournisseurs de services œuvrant dans le secteur public se devront de respecter les nouvelles règles. Ils devront surveiller de près la mise en œuvre du projet de loi 22 pour repérer toute modification importante éventuellement introduite dans les règlements à venir et pour respecter la nouvelle législation.

[1] PL 22, Freedom of Information and Protection of Privacy Amendment Act, 2021, 2e sess, 42e légis, Colombie-Britannique, 2021 (première lecture) [projet de loi 22].
[2] Colombie-Britannique, Assemblée législative, Hansard, 42-2, ébauche de transcription (18 octobre 2021) (Hon L Beare) [première lecture].
[3] Projet de loi 22, supra note 1, art 25.
[4] Ibid, art 25.
[5] Ibid, art 39.
[6] Ibid, art 9.
[7] Première lecture, supra note 2.
[8] Projet de loi 22, supra note 1, art 50.
[9] Ibid, art 44.
[10]Ibid, art 37.
[11] Ibid, art 37
[12] Ibid, art 37.
[13] Michael McEvoy, Information and Privacy Commissioner for British Columbia, Letter to Minister Lisa Beare Re: Bill 22 – Freedom of Information and Protection of Privacy Act Amendments (20 octobre 2021), en ligne : Office of the Information and Privacy Commissioner.
[14] Jeremy Hainsworth, « Victoria unveils changes to information and privacy legislation » (18 octobre 2021), en ligne : BIV.
[15] Ibid.
[16] Ibid.

par Robert C. Piasentin et Kristen Shaw (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2021

Perspectives (5 Posts)

Featured Insight

Adoption de la première série de changements à la Loi sur la concurrence et modification du régime d’examen relatif à la sécurité nationale

Des modifications à la Loi sur la concurrence ont été adoptées aujourd’hui dans le cadre de la loi d’exécution du budget.

Lire plus
30 Juin, 2022
Featured Insight

La protection de la vie privée de retour au feuilleton fédéral avec la Loi de 2022 sur la mise en œuvre de la charte numérique

S’il est adopté, le nouveau projet de loi C-27 modifiera considérablement le régime actuel de protection de la vie privée et des données au Canada.

Lire plus
30 Juin, 2022
Featured Insight

Le gouvernement fédéral suspend l’obligation de vaccination

Le gouvernement du Canada lève l’obligation de vaccination pour tous les employés des secteurs aérien, maritime et ferroviaire.

Lire plus
30 Juin, 2022
Featured Insight

Le régime fédéral de crédits compensatoires pour les gaz à effet de serre établit des incitatifs écologiques pour les installations réglementées (mise à jour)

Le Canada a publié un règlement créant un mécanisme pour les projets qui préviennent l’émission de GES ou qui en retirent de l’atmosphère.

Lire plus
30 Juin, 2022
Featured Insight

Le 28 juin 2024 marquera la fin du CDOR

Le CDOR cessera d’être publié après le 28 juin 2024; un taux CORRA à terme pourrait être créé; le marché doit se préparer dès maintenant à l’abandon du CDOR.

Lire plus
29 Juin, 2022