Le 17 juin dernier, le ministère des Services gouvernementaux et des Services aux consommateurs (« MSGSC ») de l’Ontario a publié un livre blanc dans lequel il fait une série de propositions pour moderniser la protection de la vie privée des citoyen.ne.s en Ontario en ce qui a trait au secteur privé qui actuellement est régi par la Loi (fédérale) sur la protection des renseignements personnels et les documents électroniques (« LPRPDÉ »).
Le MSGSC invite les organisations, les parties prenantes concernées et le grand public à soumettre leurs commentaires sur les propositions formulées dans ce livre blanc jusqu’au 3 septembre 2021.
Les propositions sont articulées autour des sept domaines de réforme suivants :
1. Une approche de la vie privée fondée sur les droits
La première proposition vise à reconnaître la vie privée comme un droit fondamental à l’instar de ce qui se fait en Europe avec le Règlement général sur la protection des données (RGPD) ou encore au Québec, dont la Loi sur la protection des renseignements personnels dans le secteur privé « reconnaît et met en œuvre le droit à la vie privée explicitement énoncé dans la Charte des droits et libertés de la personne et le Code civil du Québec » (p. 4).
Il est proposé d’adopter un préambule qui pourrait se lire de la façon suivante :
La vie privée est une valeur fondamentale de la société. Tout particulier a un droit fondamental au respect de sa vie privée et à la protection de ses renseignements personnels.
L’évolution de la technologie a permis aux organisations de recueillir facilement de grandes quantités de renseignements personnels sur les particuliers, ce qui a souvent pour effet de réduire le contrôle qu’un particulier exerce sur ses renseignements personnels.
Pour inspirer la confiance des particuliers, les organisations doivent être soumises à des règles guidées par les principes de proportionnalité, d’équité et d’adéquation en ce qui a trait à la collecte, à l’utilisation ou à la divulgation des renseignements personnels. (p. 5)
Il est également proposé de redéfinir la notion de renseignements personnels pour « [tenir] compte des formes très variables sous lesquelles les données sont trouvées et utilisées » (p. 5); d’établir une « limitation similaire pour la collecte, l’utilisation ou la divulgation de renseignements personnels » (p. 6); de reconnaître, en plus des droits d’accès et de rectification, le droit à la mobilité / à la portabilité des renseignements personnels (p. 8) et à l’élimination / à l’effacement de ceux-ci (p. 8 et 9).
2. L’utilisation sûre de la prise de décision automatisée
La deuxième proposition met l’accent sur le profilage qui se définirait comme suit : « toute forme de collecte, d’utilisation ou de divulgation automatisée de renseignements personnels dans le but d’évaluer, d’analyser ou de prédire certains aspects concernant un particulier » (p. 13). Elle vise à encadrer l’utilisation de systèmes décisionnels automatisés (« SDA »), soit une « technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux » (p. 13).
À l’instar du RGPD, du projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, ou encore du projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec, il est proposé d’établir des garde-fous.
Ces garde-fous pourraient aller de l’obligation d’informer les individus du recours à un SDA jusqu’à l’interdiction d’utiliser de tels systèmes « dans les situations ayant des répercussions importantes » sur la vie des Ontarien.ne.s (p. 15), en passant par le droit de demander quels sont les renseignements personnels qui ont été utilisés ou les motifs, facteurs et paramètres qui ont mené à la décision, ou encore contester la décision et demander sa révision par un particulier au sein de l’entreprise ayant les connaissances suffisantes pour le faire (p. 15-16).
3. Améliorer le consentement et les autres utilisations licites des renseignements personnels
Tout en reconnaissant l’importance du consentement à la collecte, à l’utilisation et à la divulgation des renseignements personnels, la troisième proposition vise à proposer des solutions alternatives au consentement pour « réduire la “lassitude du consentement” pour les Ontariens » (p. 19). Parmi ces solutions, on pourrait retrouver, entre autres, le consentement implicite, les notions d’« activités commerciales » / d’« opérations commerciales » / de « relation d’emploi » / de « situation d’urgence » / de « recherche dans l’intérêt public » ou encore le fait que les renseignements personnels sont dépersonnalisés (p. 19 et suiv.).
4. Transparence des données pour les Ontarien.ne.s
La quatrième proposition vise à renforcer la transparence, « pierre angulaire du droit moderne de la vie privée » (p. 26). Pour ce faire, il est envisagé :
- soit « d’exiger des organisations qu’elles mettent en œuvre des politiques, des pratiques et des procédures internes en matière de protection de la vie privée », « de mettre en œuvre un programme de gestion de la vie privée […] et de rendre ce programme accessible pour examen » (p. 27);
- soit « d’obliger les organisations à mettre à disposition des informations, en langage clair, qui expliquent comment l’organisation utilise les données des individus, sur quelle base légale elle s’appuie et comment les Ontariens peuvent faire le suivi pour exercer leurs droits en matière de données » (p. 29).
5. Protéger les enfants et les jeunes
La cinquième proposition vise à prévoir des protections spécifiques pour les jeunes, comme l’introduction d’« une exigence explicite de consentement parental au nom d’un “enfant” de moins de 16 ans » (p. 32). Toutefois, « pour reconnaître la capacité des mineurs matures », il pourrait être envisagé « de donner aux jeunes âgés de 13 à 16 ans le droit de s’opposer au consentement de leur parent (ou tuteur) à fournir des renseignements personnels en leur nom ou, inversement, de s’opposer à la demande de leur parent (ou tuteur) de détruire ou de retirer des renseignements personnels les concernant » (p. 33).
Il pourrait également être envisagé « d’interdire explicitement aux organisations d’utiliser les technologies d’intelligence artificielle pour exploiter les données des enfants » (p. 33).
6. Un régime réglementaire équitable, proportionné et favorable
La sixième proposition vise à reconnaître au Commissariat à l’information et à la protection de la vie privée de l’Ontario des pouvoirs (p. 35-41) :
- de surveillance, avec la possibilité de prononcer des ordonnances à la suite d’une enquête et d’octroyer des amendes lorsque les organisations contreviendraient à certaines dispositions de la loi (p. ex. : défaut de signaler une violation des mesures de sécurité, de conserver les renseignements faisant l’objet d’une enquête du CIPVP ou encore de se conformer à une de ses ordonnances; réidentifier des renseignements personnels qui ont été dépersonnalisés). Dans ces situations, l’organisation pourrait être passible, sur déclaration de culpabilité, d’une amende n’excédant pas le plus élevé de 25 000 000 $ et du montant qui correspond à 5 % du revenu global brut de l’organisation au cours de son exercice précédant celui au cours duquel l’organisation est condamnée;
- de conformité avec possibilité de sanctions administratives pécuniaires pouvant, dans le cadre d’une organisation qui n’est pas une personne, aller de 10 000 000 $ à 3 % du revenu global brut de l’organisation au cours de son exercice précédant celui au cours duquel la pénalité est imposée;
- de soutien et de conseil aux organisations.
7. Soutenir les innovateurs de l’Ontario
La septième proposition vise à reconnaître l’importance de l’innovation, tout en insistant sur le fait que celle-ci doit se faire dans le respect des droits des Ontarien.ne.s. Pour ce faire, il est proposé :
- « d’adopter des règles concernant l’utilisation des systèmes de décision automatisés qui ont un impact important sur les personnes » (p. 41);
- d’obliger « les organisations à utiliser des renseignements dépersonnalisés, dans la mesure du possible, afin de réduire les risques de préjudice pour la personne, tout en clarifiant les obligations des organisations à l’égard des renseignements dépersonnalisés » (p. 41);
- « d’interdire la réidentification des renseignements personnels, sauf en conformité avec les mesures techniques et administratives stipulées, y compris les mesures de protection de la vie privée » (p. 42);
- d’encourager « l’utilisation de données anonymes en les retirant complétement des règles de protection de la vie privée » (p. 43).
Comme mentionné au début du livre blanc, ces propositions « ont pour but de faciliter le dialogue » (p. 1) en vue de moderniser la protection de la vie privée en Ontario par l’adoption d’un projet de loi en ce sens par l’Assemblée législative de l’Ontario.
Nous ne manquerons pas de suivre le résultat de cette consultation publique et des suites qui y seront données par le législateur ontarien et, bien entendu, de vous en informer.
