Photo by Berkay Gumustekin on Unsplash

Au tour de l’Ontario d’envisager sa propre loi en matière de renseignements personnels

Un projet de loi est actuellement à l’étude chez nos voisins ontariens, lequel doterait cette province de sa propre loi en matière de protection des renseignements des individus dans le secteur privé. Selon le projet à l’étude, la loi proposée s’avérerait largement similaire à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE », ou « PIPEDA » de son acronyme en anglais), loi fédérale sur le même sujet. La loi s’intitulerait la Loi de 2018 sur la protection des renseignements personnels (en anglais, Personal Information Protection Act, ou « PIPA »).

Si la PIPA est adoptée, l’Ontario pourrait ainsi à son tour devenir une juridiction où les entreprises (comme c’est le cas au Québec) sont potentiellement régies par deux lois quant au respect des renseignements personnels, à savoir une d’ordre fédéral et une d’ordre provincial.

Selon le projet de loi à l’étude, la PIPA inclurait d’ailleurs des règles passablement similaires à la LPRPDE fédérale. Par contre, le régime serait évidemment géré par le commissaire à l’information et à la protection de la vie privée, lequel pourrait rendre des ordonnances pour faire respecter cette loi. Contrairement à la situation dans la plupart des cas en vertu de la LPRPDE, en cas de défaut de respecter la PIPA, le commissaire ontarien, lui, disposerait du pouvoir d’imposer des amendes aux sociétés contrevenantes. Ces amendes pourraient s’élever jusqu’à 100 000 $. Ce projet de loi prévoit d’ailleurs aussi que les individus subissant un préjudice quantifiable à la suite d’une violation de la PIPA par une entreprise pourraient s’adresser aux tribunaux pour obtenir une compensation financière.

Il est intéressant de noter que cette approche ressemble à ce qu’on commence à envisager pour la prochaine mouture de la LPRPDE. En effet, en pratique, on commence à réaliser qu’une loi en matière de renseignements personnels privée de dents (comme la LPRPDE) s’avère peu susceptible d’attirer le respect et l’attention des entreprises.

On remarque au passage que, selon le projet de loi ontarien, la PIPA couvrirait les renseignements d’employés, ce qui n’est pas actuellement le cas pour toutes les lois canadiennes régissant les renseignements personnels.

La PIPA ne contiendrait cependant aucune disposition relative aux atteintes aux mesures de sécurité, comme celles qui entreront en vigueur en 2018 en vertu de la LPRPDE.

Le cas échéant, l’adoption de la PIPA permettra à l’Ontario de rallier les rangs des provinces comme le Québec, l’Alberta et la Colombie-Britannique, qui se sont dotées d’une loi en la matière. Comme c’est le cas au Québec pour les sociétés québécoises, si la PIPA est déclarée « essentiellement similaire » à la LPRPDE (ce qui semble probable), les entreprises ontariennes seront exemptées de la LPRPDE en ce qui a trait à la cueillette, à l’utilisation et à la divulgation de renseignements personnels effectuées purement à l’intérieur de l’Ontario.