Insights Header image
Insights Header image
Insights Header image

Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)

17 mai 2024 Bulletin sur la protection de la vie privée et des données Lecture de 5 min

Le 13 mai 2024, le gouvernement de l’Ontario, à l’initiative du ministère des Services au public et aux entreprises, a présenté le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (le « Projet de loi ») à l’Assemblée législative de l’Ontario[1].

L’objectif déclaré du Projet de loi est de renforcer la sécurité numérique et d’établir la confiance envers les institutions du secteur public, qui comprennent les entités couvertes par la Loi sur l’accès à l’information et la protection de la vie privée[2] et la Loi sur l’accès à l’information municipale et la protection de la vie privée[3], ainsi que les sociétés d’aide à l’enfance et les conseils scolaires.

L’incidence du Projet de loi sur la conformité sera directement ressentie par le secteur public de l’Ontario, mais aussi indirectement par les sociétés qui font affaire avec ce secteur.

Le Projet de loi comprend des modifications à la législation existante et introduit de nouveaux cadres réglementaires axés sur la cybersécurité, l’utilisation de l’intelligence artificielle (« IA ») et la gestion de l’information numérique concernant les mineurs. Le présent bulletin donne un aperçu des principales dispositions du Projet de loi et examine les répercussions possibles pour les entités du secteur public visées et pour leurs partenaires du secteur privé.

Introduction de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique

L’annexe 1 du Projet de loi présente une nouvelle loi intitulée « Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique » (la « LRSCMN »). Comme indiqué ci-dessous, la LRSCMN imposerait aux entités du secteur public : (1) des normes de cybersécurité devant être prescrites par règlement; (2) un cadre de gouvernance de l’IA; et (3) des restrictions relatives au traitement des renseignements personnels au sujet des mineurs.

Règlement sur la cybersécurité. La LRSCMN habiliterait la lieutenante-gouverneure en conseil à établir des règlements sur la cybersécurité propres à chaque secteur. Les dispositions relatives à la cybersécurité n’énoncent pas d’exigences précises, mais elles indiquent que les règlements pourraient inclure l’élaboration et la mise en œuvre obligatoires de programmes de cybersécurité, le signalement des incidents de cybersécurité et le respect des normes techniques prescrites. La LRSCMN autoriserait également le ministre à établir des normes techniques et à émettre des directives concernant les mesures obligatoires de cybersécurité.

Notamment, le régime de signalement des incidents liés à la cybersécurité envisagé dans la LRSCMN serait différent du signalement obligatoire des atteintes à la protection des renseignements personnels dont il est question ci-après et s’y ajouterait.

Cadre de responsabilisation de l’IA. La LRSCMN s’appliquerait à l’utilisation réelle ou prévue des systèmes d’IA par les entités du secteur public. Plus précisément, les exigences imposeraient aux entités du secteur public visées par règlement de fournir des informations sur l’utilisation des systèmes d’IA, d’élaborer un cadre de responsabilisation et de se conformer aux exigences supplémentaires prescrites par règlement (y compris celles qui ont trait à la gestion des risques).

La définition proposée d’un « système d’intelligence artificielle » qui entrerait dans le champ d’application de la LRSCMN est la suivante : « un système automatisé qui, pour des objectifs explicites ou implicites, fait des déductions à partir d’entrées qu’il reçoit afin de générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels », avec la possibilité que d’autres systèmes soient prescrits par règlement.

 Protection de l’information numérique des mineurs. La LRSCMN habiliterait la lieutenante-gouverneure en conseil à établir des règlements concernant les sociétés d’aide à l’enfance et les conseils scolaires prescrits. Comme pour les dispositions relatives à la cybersécurité susmentionnées, la LRSCMN n’impose pas d’exigences précises, mais indique que les règlements pourraient prévoir la façon dont l’information numérique sur les mineurs peut être traitée, imposer des exigences de signalement aux institutions visées qui traitent cette information et, dans certaines circonstances, en interdire complètement le traitement.

En plus de ce qui précède, la LRSCMN autoriserait également le ministre à établir des normes techniques et à émettre des directives concernant les renseignements personnels de mineurs ainsi que la technologie numérique qui peut être mise à la disposition des mineurs.

Modification de la Loi sur l’accès à l’information et la protection de la vie privée

L’annexe 2 du Projet de loi apporterait des modifications à la Loi sur l’accès à l’information et la protection de la vie privée  LAIPVP ») de l’Ontario. La LAIPVP régit notamment le traitement des renseignements personnels par les entités du secteur public en Ontario. Tout particulièrement, le Projet de loi n’impose aucune modification à la Loi sur l’accès à l’information municipale et la protection de la vie privée de l’Ontario, qui est l’équivalent municipal de la LAIPVP.

Les modifications proposées visent à moderniser la LAIPVP en rendant obligatoire la réalisation d’évaluation de l’impact sur la vie privée (« EIVP ») et le signalement des atteintes à la protection des renseignements personnels et en renforçant les pouvoirs de surveillance du commissaire à l’information et à la protection de la vie privée de l’Ontario (« CIPVP de l’Ontario »).

Évaluations de l’impact sur la vie privée obligatoires. Le Projet de loi modifie la LAIPVP afin d’introduire une obligation pour les entités publiques de réaliser une EIVP avant de recueillir des renseignements personnels. Cette évaluation doit contenir des informations spécifiques concernant le traitement et la protection de ces renseignements par l’entité publique. La modification exigerait également la mise à jour de l’EIVP avant d’utiliser ou de communiquer des renseignements personnels à une nouvelle fin.

L’obligation légale de procéder à une EIVP mettrait l’Ontario sur un pied d’égalité avec d’autres administrations provinciales et territoriales qui imposent de telles évaluations aux entités du secteur public dans certaines circonstances, comme la Colombie-Britannique, le Québec, Terre-Neuve-et-Labrador et les trois territoires.

Signalement obligatoire des manquements et avis. Le Projet de loi modifie la LAIPVP afin d’imposer expressément aux entités du secteur public l’obligation de prendre des mesures raisonnables pour protéger les renseignements personnels contre le vol, la perte, l’utilisation et la communication non autorisées, ainsi que l’obligation d’aviser le CIPVP de l’Ontario et les personnes touchées de toute violation de ces mesures de protection qui entraîne le seuil bien connu du « risque réel de préjudice important ». Le projet de modification permettrait également d’ajouter des seuils de signalement par règlement.

Pouvoir accru de surveillance et d’application de la loi pour le CIPVP de l’Ontario. Le Projet de loi accroît les pouvoirs de surveillance et d’application de la loi du CIPVP de l’Ontario en officialisant sa capacité d’effectuer un examen des pratiques en matière d’information d’une entité publique sur la base d’une plainte ou de sa propre initiative, et de rendre des ordonnances relativement à ces examens.

En plus de ce qui précède, le Projet de loi prévoit une protection pour les dénonciateurs qui signalent des cas de non-respect des obligations d’une entité publique en vertu de la LAIPVP.

Prochaines étapes

Le Projet de loi touchera les entités du secteur public et, indirectement, leurs partenaires du secteur privé. La LRSCMN et les modifications apportées à la LAIPVP sont susceptibles de modifier considérablement le cadre réglementaire régissant le traitement des renseignements personnels par le secteur public de l’Ontario, et de nouvelles exigences pourraient être introduites périodiquement par voie réglementaire.

Le ministère des Services au public et aux entreprises accepte les commentaires des parties prenantes jusqu’au 11 juin 2024.

Pour obtenir une analyse détaillée de l’incidence que pourrait avoir le Projet de loi sur vos activités, ou pour obtenir de plus amples renseignements et de l’aide concernant votre participation au processus de consultation publique, veuillez communiquer avec le groupe Protection de la vie privée et des données de McMillan s.e.n.c.r.l. Nous nous engageons à vous fournir des conseils personnalisés qui garantiront que vos stratégies de protection des données sont à la fois conformes et efficaces en cette ère réglementaire à venir.

[1] Projet de loi 194, Loi de 2024 renforçant la cybersécurité et la confiance dans le secteur public – Assemblée législative de l’Ontario (ola.org); L’Ontario renforce la cybersécurité et protège les gens en ligne |Salle de presse de l’Ontario.
[2] Loi sur l’accès à l’information et la protection de la vie privée, LRO 1990, c F.31.
[3] Loi sur l’accès à l’information municipale et la protection de la vie privée, LRO 1990, c M.56.

Par Mitch Koczerginski et Stephen Johnson

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Restructuration corporative et droit de la propriété intellectuelle : la Cour supérieure du Québec annule un avis de résiliation et livre une première interprétation des droits d’usage sous la LACC

In the context of a restructuring, the debtor's right to resiliate a contract under s. 32 of the Companies' Creditors Arrangement Act is far from absolute.

Lire plus
19 Juin, 2024
Featured Insight

Troisième partie du webinaire de McMillan sur l’arrêt R. c. Grand Sudbury

Joignez-vous à nous pour la troisième partie de cette série (en anglais), qui fait suite aux deux webinaires (également en anglais) diffusés en décembre 2023 et en février 2024, au cours desquels nous avons discuté de l’historique, des détails et des répercussions juridiques de la décision de la Cour suprême du Canada dans l’affaire R. c. Grand Sudbury.

18 Juin, 2024
Featured Insight

Au revoir CDOR, bonjour CORRA : le dernier mois du taux CDOR et les tendances en matière de prêts CORRA

Le taux CDOR cessera d’être publié après le 28 juin 2024; le taux CORRA est maintenant utilisé dans des conventions de crédit et certaines tendances se dessinent quant à son utilisation.

Lire plus
13 Juin, 2024
Featured Insight

Loin de copier la FARA, le projet de loi sur la transparence et la responsabilité en matière d’influence étrangère renvoie les précisions à plus tard

La proposition visant à établir un registre des agents étrangers au Canada ne reproduit pas les aspects controversés de la FARA, mais laisse le champ ouvert à des règlements et des directives plus détaillés.

Lire plus
6 Juin, 2024
Featured Insight

Anonymisation des renseignements personnels en vertu du droit québécois

Le 15 mai 2024, le Québec a finalement édicté son règlement sur l’anonymisation des renseignements personnels qui établit des lignes directrices précises sur la façon d’effectuer l’anonymisation de manière appropriée.

Lire plus
6 Juin, 2024