Modifications proposées à la FIPPA : deux pas en avant, un pas en arrière

Modifications proposées à la FIPPA : deux pas en avant, un pas en arrière

Le 18 octobre dernier, le gouvernement de la Colombie-Britannique a déposé un projet de loi (le « projet de loi 22 ») modifiant la Freedom of Information and Protection of Privacy Act (« FIPPA »)[1] qui vise à rehausser la responsabilisation et la transparence du gouvernement, à renforcer les mesures de protection de la vie privée dans le secteur public et à accroître les échanges d’information avec les peuples autochtones tout en limitant les divulgations qui pourraient leur nuire[2]. Les modifications proposées soulèvent toutefois des questions quant à la transparence et à la résidence des données, et elles créent un certain flou pour ce qui est des règles applicables aux fournisseurs de services technologiques du secteur public.

Modifications proposées

Le projet de loi 22 introduit une série de nouvelles exigences pour la gestion et la protection des renseignements personnels :

• Obligation de créer un programme de gestion des renseignements personnels pour chaque organisme public[3].
• Obligation d’aviser toute personne touchée par une atteinte à la vie privée touchant des renseignements personnels détenus ou contrôlés par un organisme public[4].
• Obligation pour les organismes publics de santé d’effectuer une évaluation des facteurs relatifs à la vie privée[5].
• Interdiction de communiquer des renseignements s’il y a un risque raisonnable que cela porte atteinte aux droits d’Autochtones ou nuise à leur capacité à protéger ou à contrôler leur patrimoine culturel, leur expression culturelle et leur savoir traditionnel[6].

Ces exigences découlent de la nécessité accrue, dans la foulée de la pandémie de COVID-19, d’offrir des services en ligne sécuritaires et pratiques tout en suivant la cadence des autres territoires et des évolutions technologiques[7]. D’autres modifications visent à accroître la transparence gouvernementale. Le hic, c’est qu’elles sont accompagnées du retrait du Cabinet du premier ministre de la liste des organismes publics[8] et de l’introduction de frais pour toutes les demandes d’information qui ne visent pas l’obtention de renseignements personnels[9]. On peut se questionner sur l’intention sous-jacente à ces modifications et sur l’adéquation entre celles-ci et l’objectif annoncé de responsabilisation et de transparence accrues.

Pour consolider les protections prévues par la FIPPA, le projet de loi 22 prévoit que commet une infraction quiconque :

• fait une fausse déclaration au commissaire à la protection de la vie privée, l’induit sciemment en erreur, l’empêche d’exercer ses fonctions ou ne se conforme pas à ses demandes;
• dissimule, détruit ou modifie sciemment des documents pour se dérober à une demande d’information;
• recueille, utilise ou communique des renseignements personnels, sauf dans la mesure autorisée, ou omet d’informer le responsable d’un organisme public d’une communication non autorisée[10].

Ces deux dernières infractions peuvent aussi être reprochées aux sociétés qui fournissent des services, de même qu’à leurs employés (le projet de loi 22 impute une responsabilité personnelle aux dirigeants, administrateurs ou mandataires qui autorisent ou permettent leur commission ou y acquiescent)[11]. De plus, les amendes imposées à ces sociétés pour ces infractions peuvent maintenant atteindre 500 000 $[12]. Les fournisseurs de services doivent donc absolument prendre connaissance des restrictions et des exigences actuelles et proposées et s’assurer d’avoir des politiques rigoureuses de protection de la vie privée pour atténuer les risques d’inconduite de la part de leurs employés.

Préoccupations concernant la résidence des données

Les modifications proposées faciliteront l’accès à des outils et technologies numériques, mais les données n’auront plus à être stockées en Colombie-Britannique. Ce changement inquiète profondément le commissaire à l’information et à la protection de la vie privée Michael McEvoy[13]. À l’inverse, certains acteurs du secteur sont enthousiastes, puisqu’ils entrevoient l’accès à des solutions technologiques plus sécuritaires et efficaces permettant de mieux protéger les données et la vie privée[14].

La réticence du commissaire tient au fait que les modifications proposées dans le projet de loi 22 concernant la résidence des données imputent la protection des renseignements personnels communiqués à l’extérieur du Canada à des règlements qui n’existent pas encore. Il suggère que les organismes publics soient tenus d’effectuer des évaluations des facteurs relatifs à la vie privée et d’étudier d’autres options raisonnables avant d’exporter des renseignements personnels[15]. L’encadrement de la liaison de données se fera lui aussi par règlement, un choix qui mine la transparence et la clarté des règles et des exigences[16].

Qu’est-ce que cela signifie pour les entreprises de la Colombie-Britannique? Les fournisseurs de services pourront employer de nouvelles technologies pour offrir des outils modernes permettant aux organismes publics de la province de mieux servir les citoyens. Par contre, le fait que l’encadrement de ce genre d’activités dépendra de règlements à venir laisse planer une incertitude quant aux règles qui seront appliquées.

Conclusion

Pour ceux qui font affaire avec le secteur public de la Colombie-Britannique, les nouvelles infractions et exigences proposées dans le projet de loi 22 représentent un renforcement longuement attendu des protections offertes par la FIPPA. Les modifications devraient accroître le niveau de confiance des entreprises envers la gestion des renseignements et alléger quelque peu le fardeau d’une relation d’affaires avec le secteur public. Le projet de loi 22 donne toutefois lieu à de nouvelles préoccupations concernant la volonté réelle d’accentuer la transparence et le manque de clarté quant à l’application des nouvelles dispositions. Les fournisseurs de services œuvrant dans le secteur public se devront de respecter les nouvelles règles. Ils devront surveiller de près la mise en œuvre du projet de loi 22 pour repérer toute modification importante éventuellement introduite dans les règlements à venir et pour respecter la nouvelle législation.

[1] PL 22, Freedom of Information and Protection of Privacy Amendment Act, 2021, 2^e sess, 42^e légis, Colombie-Britannique, 2021 (première lecture) [projet de loi 22].
[2] Colombie-Britannique, Assemblée législative, Hansard, 42-2, ébauche de transcription (18 octobre 2021) (Hon L Beare) [première lecture].
[3] Projet de loi 22, supra note 1, art 25.
[4] Ibid, art 25.
[5] Ibid, art 39.
[6] Ibid, art 9.
[7] Première lecture, supra note 2.
[8] Projet de loi 22, supra note 1, art 50.
[9] Ibid, art 44.
[10]Ibid, art 37.
[11] Ibid, art 37
[12] Ibid, art 37.
[13] Michael McEvoy, Information and Privacy Commissioner for British Columbia, Letter to Minister Lisa Beare Re: Bill 22 – Freedom of Information and Protection of Privacy Act Amendments (20 octobre 2021), en ligne : Office of the Information and Privacy Commissioner.
[14] Jeremy Hainsworth, « Victoria unveils changes to information and privacy legislation » (18 octobre 2021), en ligne : BIV.
[15] Ibid.
[16] Ibid.

par Robert C. Piasentin et Kristen Shaw (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2021