Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)
Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)
Le 13 mai 2024, le gouvernement de l’Ontario, à l’initiative du ministère des Services au public et aux entreprises, a présenté le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (le « Projet de loi ») à l’Assemblée législative de l’Ontario[1].
L’objectif déclaré du Projet de loi est de renforcer la sécurité numérique et d’établir la confiance envers les institutions du secteur public, qui comprennent les entités couvertes par la Loi sur l’accès à l’information et la protection de la vie privée[2] et la Loi sur l’accès à l’information municipale et la protection de la vie privée[3], ainsi que les sociétés d’aide à l’enfance et les conseils scolaires.
L’incidence du Projet de loi sur la conformité sera directement ressentie par le secteur public de l’Ontario, mais aussi indirectement par les sociétés qui font affaire avec ce secteur.
Le Projet de loi comprend des modifications à la législation existante et introduit de nouveaux cadres réglementaires axés sur la cybersécurité, l’utilisation de l’intelligence artificielle (« IA ») et la gestion de l’information numérique concernant les mineurs. Le présent bulletin donne un aperçu des principales dispositions du Projet de loi et examine les répercussions possibles pour les entités du secteur public visées et pour leurs partenaires du secteur privé.
Introduction de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique
L’annexe 1 du Projet de loi présente une nouvelle loi intitulée « Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique » (la « LRSCMN »). Comme indiqué ci-dessous, la LRSCMN imposerait aux entités du secteur public : (1) des normes de cybersécurité devant être prescrites par règlement; (2) un cadre de gouvernance de l’IA; et (3) des restrictions relatives au traitement des renseignements personnels au sujet des mineurs.
Règlement sur la cybersécurité. La LRSCMN habiliterait la lieutenante-gouverneure en conseil à établir des règlements sur la cybersécurité propres à chaque secteur. Les dispositions relatives à la cybersécurité n’énoncent pas d’exigences précises, mais elles indiquent que les règlements pourraient inclure l’élaboration et la mise en œuvre obligatoires de programmes de cybersécurité, le signalement des incidents de cybersécurité et le respect des normes techniques prescrites. La LRSCMN autoriserait également le ministre à établir des normes techniques et à émettre des directives concernant les mesures obligatoires de cybersécurité.
Notamment, le régime de signalement des incidents liés à la cybersécurité envisagé dans la LRSCMN serait différent du signalement obligatoire des atteintes à la protection des renseignements personnels dont il est question ci-après et s’y ajouterait.
Cadre de responsabilisation de l’IA. La LRSCMN s’appliquerait à l’utilisation réelle ou prévue des systèmes d’IA par les entités du secteur public. Plus précisément, les exigences imposeraient aux entités du secteur public visées par règlement de fournir des informations sur l’utilisation des systèmes d’IA, d’élaborer un cadre de responsabilisation et de se conformer aux exigences supplémentaires prescrites par règlement (y compris celles qui ont trait à la gestion des risques).
La définition proposée d’un « système d’intelligence artificielle » qui entrerait dans le champ d’application de la LRSCMN est la suivante : « un système automatisé qui, pour des objectifs explicites ou implicites, fait des déductions à partir d’entrées qu’il reçoit afin de générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels », avec la possibilité que d’autres systèmes soient prescrits par règlement.
Protection de l’information numérique des mineurs. La LRSCMN habiliterait la lieutenante-gouverneure en conseil à établir des règlements concernant les sociétés d’aide à l’enfance et les conseils scolaires prescrits. Comme pour les dispositions relatives à la cybersécurité susmentionnées, la LRSCMN n’impose pas d’exigences précises, mais indique que les règlements pourraient prévoir la façon dont l’information numérique sur les mineurs peut être traitée, imposer des exigences de signalement aux institutions visées qui traitent cette information et, dans certaines circonstances, en interdire complètement le traitement.
En plus de ce qui précède, la LRSCMN autoriserait également le ministre à établir des normes techniques et à émettre des directives concernant les renseignements personnels de mineurs ainsi que la technologie numérique qui peut être mise à la disposition des mineurs.
Modification de la Loi sur l’accès à l’information et la protection de la vie privée
L’annexe 2 du Projet de loi apporterait des modifications à la Loi sur l’accès à l’information et la protection de la vie privée (« LAIPVP ») de l’Ontario. La LAIPVP régit notamment le traitement des renseignements personnels par les entités du secteur public en Ontario. Tout particulièrement, le Projet de loi n’impose aucune modification à la Loi sur l’accès à l’information municipale et la protection de la vie privée de l’Ontario, qui est l’équivalent municipal de la LAIPVP.
Les modifications proposées visent à moderniser la LAIPVP en rendant obligatoire la réalisation d’évaluation de l’impact sur la vie privée (« EIVP ») et le signalement des atteintes à la protection des renseignements personnels et en renforçant les pouvoirs de surveillance du commissaire à l’information et à la protection de la vie privée de l’Ontario (« CIPVP de l’Ontario »).
Évaluations de l’impact sur la vie privée obligatoires. Le Projet de loi modifie la LAIPVP afin d’introduire une obligation pour les entités publiques de réaliser une EIVP avant de recueillir des renseignements personnels. Cette évaluation doit contenir des informations spécifiques concernant le traitement et la protection de ces renseignements par l’entité publique. La modification exigerait également la mise à jour de l’EIVP avant d’utiliser ou de communiquer des renseignements personnels à une nouvelle fin.
L’obligation légale de procéder à une EIVP mettrait l’Ontario sur un pied d’égalité avec d’autres administrations provinciales et territoriales qui imposent de telles évaluations aux entités du secteur public dans certaines circonstances, comme la Colombie-Britannique, le Québec, Terre-Neuve-et-Labrador et les trois territoires.
Signalement obligatoire des manquements et avis. Le Projet de loi modifie la LAIPVP afin d’imposer expressément aux entités du secteur public l’obligation de prendre des mesures raisonnables pour protéger les renseignements personnels contre le vol, la perte, l’utilisation et la communication non autorisées, ainsi que l’obligation d’aviser le CIPVP de l’Ontario et les personnes touchées de toute violation de ces mesures de protection qui entraîne le seuil bien connu du « risque réel de préjudice important ». Le projet de modification permettrait également d’ajouter des seuils de signalement par règlement.
Pouvoir accru de surveillance et d’application de la loi pour le CIPVP de l’Ontario. Le Projet de loi accroît les pouvoirs de surveillance et d’application de la loi du CIPVP de l’Ontario en officialisant sa capacité d’effectuer un examen des pratiques en matière d’information d’une entité publique sur la base d’une plainte ou de sa propre initiative, et de rendre des ordonnances relativement à ces examens.
En plus de ce qui précède, le Projet de loi prévoit une protection pour les dénonciateurs qui signalent des cas de non-respect des obligations d’une entité publique en vertu de la LAIPVP.
Prochaines étapes
Le Projet de loi touchera les entités du secteur public et, indirectement, leurs partenaires du secteur privé. La LRSCMN et les modifications apportées à la LAIPVP sont susceptibles de modifier considérablement le cadre réglementaire régissant le traitement des renseignements personnels par le secteur public de l’Ontario, et de nouvelles exigences pourraient être introduites périodiquement par voie réglementaire.
Le ministère des Services au public et aux entreprises accepte les commentaires des parties prenantes jusqu’au 11 juin 2024.
Pour obtenir une analyse détaillée de l’incidence que pourrait avoir le Projet de loi sur vos activités, ou pour obtenir de plus amples renseignements et de l’aide concernant votre participation au processus de consultation publique, veuillez communiquer avec le groupe Protection de la vie privée et des données de McMillan s.e.n.c.r.l. Nous nous engageons à vous fournir des conseils personnalisés qui garantiront que vos stratégies de protection des données sont à la fois conformes et efficaces en cette ère réglementaire à venir.
[1] Projet de loi 194, Loi de 2024 renforçant la cybersécurité et la confiance dans le secteur public – Assemblée législative de l’Ontario (ola.org); L’Ontario renforce la cybersécurité et protège les gens en ligne |Salle de presse de l’Ontario.
[2] Loi sur l’accès à l’information et la protection de la vie privée, LRO 1990, c F.31.
[3] Loi sur l’accès à l’information municipale et la protection de la vie privée, LRO 1990, c M.56.
Par Mitch Koczerginski et Stephen Johnson
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.
© McMillan S.E.N.C.R.L., s.r.l. 2024
Perspectives (5 Posts)Voir Plus
Introduction aux sites contaminés : comprendre les aspects clés pour assurer une gestion environnementale efficace
Nous vous invitons à assister, le jeudi 26 septembre, à un webinaire présenté par McMillan sur les aspects clés de la gestion des sites contaminés dans le contexte du droit de l’environnement au Canada.
Ce que les entreprises canadiennes doivent savoir sur les nouveaux droits de douane sur l’acier, l’aluminium et les véhicules électriques importés de Chine (ou : pourquoi vous pourriez payer une surtaxe sur votre prochain véhicule électrique)
Le 26 août 2024, le gouvernement du Canada a annoncé l’adoption de mesures commerciales visant les importations en provenance de Chine comme les véhicules électriques ainsi que l’acier et l’aluminium.
Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée
Les évaluations des facteurs relatifs à la protection de la vie privée constituent un outil essentiel de conformité et de gouvernance qui aide les organisations à respecter les exigences applicables en matière de protection de la vie privée et des données
Tarifs douaniers, commerce et sécurité économique : aperçu de la dernière consultation du gouvernement du Canada
Le 9 août 2024, Affaires mondiales Canada a lancé un processus de consultation publique de 45 jours visant à protéger et à renforcer la sécurité économique du Canada.
Démystifier les politiques de protection des renseignements personnels : ce qu’elles ne sont pas; les idées reçues les plus répandues
Dans ce bulletin, nous expliquons ce qu’est une politique de protection des renseignements personnels en examinant ce qu’elle n’est pas.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.