Insights Header image
Insights Header image
Insights Header image

Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)

17 mai 2024 Bulletin sur la protection de la vie privée et des données Lecture de 5 min

Le 13 mai 2024, le gouvernement de l’Ontario, à l’initiative du ministère des Services au public et aux entreprises, a présenté le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (le « Projet de loi ») à l’Assemblée législative de l’Ontario[1].

L’objectif déclaré du Projet de loi est de renforcer la sécurité numérique et d’établir la confiance envers les institutions du secteur public, qui comprennent les entités couvertes par la Loi sur l’accès à l’information et la protection de la vie privée[2] et la Loi sur l’accès à l’information municipale et la protection de la vie privée[3], ainsi que les sociétés d’aide à l’enfance et les conseils scolaires.

L’incidence du Projet de loi sur la conformité sera directement ressentie par le secteur public de l’Ontario, mais aussi indirectement par les sociétés qui font affaire avec ce secteur.

Le Projet de loi comprend des modifications à la législation existante et introduit de nouveaux cadres réglementaires axés sur la cybersécurité, l’utilisation de l’intelligence artificielle (« IA ») et la gestion de l’information numérique concernant les mineurs. Le présent bulletin donne un aperçu des principales dispositions du Projet de loi et examine les répercussions possibles pour les entités du secteur public visées et pour leurs partenaires du secteur privé.

Introduction de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique

L’annexe 1 du Projet de loi présente une nouvelle loi intitulée « Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique » (la « LRSCMN »). Comme indiqué ci-dessous, la LRSCMN imposerait aux entités du secteur public : (1) des normes de cybersécurité devant être prescrites par règlement; (2) un cadre de gouvernance de l’IA; et (3) des restrictions relatives au traitement des renseignements personnels au sujet des mineurs.

Règlement sur la cybersécurité. La LRSCMN habiliterait la lieutenante-gouverneure en conseil à établir des règlements sur la cybersécurité propres à chaque secteur. Les dispositions relatives à la cybersécurité n’énoncent pas d’exigences précises, mais elles indiquent que les règlements pourraient inclure l’élaboration et la mise en œuvre obligatoires de programmes de cybersécurité, le signalement des incidents de cybersécurité et le respect des normes techniques prescrites. La LRSCMN autoriserait également le ministre à établir des normes techniques et à émettre des directives concernant les mesures obligatoires de cybersécurité.

Notamment, le régime de signalement des incidents liés à la cybersécurité envisagé dans la LRSCMN serait différent du signalement obligatoire des atteintes à la protection des renseignements personnels dont il est question ci-après et s’y ajouterait.

Cadre de responsabilisation de l’IA. La LRSCMN s’appliquerait à l’utilisation réelle ou prévue des systèmes d’IA par les entités du secteur public. Plus précisément, les exigences imposeraient aux entités du secteur public visées par règlement de fournir des informations sur l’utilisation des systèmes d’IA, d’élaborer un cadre de responsabilisation et de se conformer aux exigences supplémentaires prescrites par règlement (y compris celles qui ont trait à la gestion des risques).

La définition proposée d’un « système d’intelligence artificielle » qui entrerait dans le champ d’application de la LRSCMN est la suivante : « un système automatisé qui, pour des objectifs explicites ou implicites, fait des déductions à partir d’entrées qu’il reçoit afin de générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels », avec la possibilité que d’autres systèmes soient prescrits par règlement.

 Protection de l’information numérique des mineurs. La LRSCMN habiliterait la lieutenante-gouverneure en conseil à établir des règlements concernant les sociétés d’aide à l’enfance et les conseils scolaires prescrits. Comme pour les dispositions relatives à la cybersécurité susmentionnées, la LRSCMN n’impose pas d’exigences précises, mais indique que les règlements pourraient prévoir la façon dont l’information numérique sur les mineurs peut être traitée, imposer des exigences de signalement aux institutions visées qui traitent cette information et, dans certaines circonstances, en interdire complètement le traitement.

En plus de ce qui précède, la LRSCMN autoriserait également le ministre à établir des normes techniques et à émettre des directives concernant les renseignements personnels de mineurs ainsi que la technologie numérique qui peut être mise à la disposition des mineurs.

Modification de la Loi sur l’accès à l’information et la protection de la vie privée

L’annexe 2 du Projet de loi apporterait des modifications à la Loi sur l’accès à l’information et la protection de la vie privée  LAIPVP ») de l’Ontario. La LAIPVP régit notamment le traitement des renseignements personnels par les entités du secteur public en Ontario. Tout particulièrement, le Projet de loi n’impose aucune modification à la Loi sur l’accès à l’information municipale et la protection de la vie privée de l’Ontario, qui est l’équivalent municipal de la LAIPVP.

Les modifications proposées visent à moderniser la LAIPVP en rendant obligatoire la réalisation d’évaluation de l’impact sur la vie privée (« EIVP ») et le signalement des atteintes à la protection des renseignements personnels et en renforçant les pouvoirs de surveillance du commissaire à l’information et à la protection de la vie privée de l’Ontario (« CIPVP de l’Ontario »).

Évaluations de l’impact sur la vie privée obligatoires. Le Projet de loi modifie la LAIPVP afin d’introduire une obligation pour les entités publiques de réaliser une EIVP avant de recueillir des renseignements personnels. Cette évaluation doit contenir des informations spécifiques concernant le traitement et la protection de ces renseignements par l’entité publique. La modification exigerait également la mise à jour de l’EIVP avant d’utiliser ou de communiquer des renseignements personnels à une nouvelle fin.

L’obligation légale de procéder à une EIVP mettrait l’Ontario sur un pied d’égalité avec d’autres administrations provinciales et territoriales qui imposent de telles évaluations aux entités du secteur public dans certaines circonstances, comme la Colombie-Britannique, le Québec, Terre-Neuve-et-Labrador et les trois territoires.

Signalement obligatoire des manquements et avis. Le Projet de loi modifie la LAIPVP afin d’imposer expressément aux entités du secteur public l’obligation de prendre des mesures raisonnables pour protéger les renseignements personnels contre le vol, la perte, l’utilisation et la communication non autorisées, ainsi que l’obligation d’aviser le CIPVP de l’Ontario et les personnes touchées de toute violation de ces mesures de protection qui entraîne le seuil bien connu du « risque réel de préjudice important ». Le projet de modification permettrait également d’ajouter des seuils de signalement par règlement.

Pouvoir accru de surveillance et d’application de la loi pour le CIPVP de l’Ontario. Le Projet de loi accroît les pouvoirs de surveillance et d’application de la loi du CIPVP de l’Ontario en officialisant sa capacité d’effectuer un examen des pratiques en matière d’information d’une entité publique sur la base d’une plainte ou de sa propre initiative, et de rendre des ordonnances relativement à ces examens.

En plus de ce qui précède, le Projet de loi prévoit une protection pour les dénonciateurs qui signalent des cas de non-respect des obligations d’une entité publique en vertu de la LAIPVP.

Prochaines étapes

Le Projet de loi touchera les entités du secteur public et, indirectement, leurs partenaires du secteur privé. La LRSCMN et les modifications apportées à la LAIPVP sont susceptibles de modifier considérablement le cadre réglementaire régissant le traitement des renseignements personnels par le secteur public de l’Ontario, et de nouvelles exigences pourraient être introduites périodiquement par voie réglementaire.

Le ministère des Services au public et aux entreprises accepte les commentaires des parties prenantes jusqu’au 11 juin 2024.

Pour obtenir une analyse détaillée de l’incidence que pourrait avoir le Projet de loi sur vos activités, ou pour obtenir de plus amples renseignements et de l’aide concernant votre participation au processus de consultation publique, veuillez communiquer avec le groupe Protection de la vie privée et des données de McMillan s.e.n.c.r.l. Nous nous engageons à vous fournir des conseils personnalisés qui garantiront que vos stratégies de protection des données sont à la fois conformes et efficaces en cette ère réglementaire à venir.

[1] Projet de loi 194, Loi de 2024 renforçant la cybersécurité et la confiance dans le secteur public – Assemblée législative de l’Ontario (ola.org); L’Ontario renforce la cybersécurité et protège les gens en ligne |Salle de presse de l’Ontario.
[2] Loi sur l’accès à l’information et la protection de la vie privée, LRO 1990, c F.31.
[3] Loi sur l’accès à l’information municipale et la protection de la vie privée, LRO 1990, c M.56.

Par Mitch Koczerginski et Stephen Johnson

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Le bureau de la concurrence publie une version préliminaire de lignes directrices sur l’écoblanchiment : une approche pragmatique

Le bulletin présente les principaux éléments de la version préliminaire de lignes directrices sur l’écoblanchiment du Bureau de la concurrence qui concerne les modifications apportées à la Loi sur la concurrence en juin 2024.

Lire plus
16 Jan, 2025
Featured Insight

Le CCNID publie la version finale des normes canadiennes d’information sur la durabilité : des règles de divulgation obligatoire en vue

Le CCNID a publié la version définitive des Normes canadiennes d’information sur la durabilité, qui comprennent des exigences d’information liées à la durabilité et des exigences spécifiques liées aux changements climatiques.

Lire plus
16 Jan, 2025
Featured Insight

Imbroglio autour des gains en capital : le casse-tête en matière de déclaration pour les fonds d’investissement

Éléments à prendre en compte pour déterminer s’il convient de remplir les déclarations T3 en fonction des modifications proposées, mais non promulguées, relatives aux gains en capital.

Lire plus
16 Jan, 2025
Featured Insight

Au-delà des frontières : une cour de la Colombie-Britannique rend une décision phare sur l’application juridictionnelle de la Personal Information Protection Act

Dans l’arrêt Clearview v. OIPC, la Cour suprême de la Colombie-Britannique a fourni des indications claires sur l’application de la PIPA de la Colombie-Britannique aux entreprises étrangères : le critère du lien réel et substantiel.

Lire plus
13 Jan, 2025
Featured Insight

Vente de véhicules légers à combustion prohibée au Québec à compter de 2035

Le gouvernement du Québec a adopté en décembre la version définitive d’un règlement prohibant la vente de véhicules à passagers et d’autres véhicules légers à combustion dans la province à compter de 2035.

Lire plus
13 Jan, 2025