L’Ontario s’apprête à présenter une nouvelle loi sur la protection de la vie privée – 1^re partie

Compte tenu des tendances mondiales dans l’élaboration des lois sur la protection de la vie privée et leur application, le Canada et plusieurs provinces cherchent à moderniser leur régime respectif en la matière. La nouvelle loi sur la protection de la vie privée proposée de l’Ontario, qui régirait les activités commerciales de manière plus large que la législation actuelle (c’est-à-dire notre loi fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques et la loi sur la protection de la vie privée dans le domaine de la santé de l’Ontario, la Loi sur la protection des renseignements personnels sur la santé (LPRPS)), a pour objectif d’améliorer la confiance du public envers l’économie numérique de l’Ontario en reconnaissant le droit fondamental des particuliers à la vie privée et en imposant des obligations de conformité strictes et des sanctions financières aux organisations faisant des affaires en Ontario. 

Le 17 juin 2021, le gouvernement de l’Ontario a publié un livre blanc présentant ses propositions et sollicitant les commentaires du public. Il suggère que la nouvelle loi proposée s’ajouterait à la LPRPS et qu’il a été élaboré partiellement en réponse au projet de loi C-11 (la nouvelle loi proposée par le gouvernement fédéral sur la protection de la vie privée dans le secteur privé) que même le commissaire à la protection de la vie privée décrit comme étant « un recul par rapport à notre loi actuelle et qu’il nécessite des changements importants si l’on veut rétablir la confiance dans l’économie numérique ». Le livre blanc présente des propositions qui visent à :

1. instaurer une approche de la vie privée fondée sur les droits;
2. assurer une utilisation sûre et transparente de la prise de décision automatisée/des technologies d’IA;
3. améliorer le processus d’obtention du consentement; 
4. améliorer la transparence des données; 
5. protéger les enfants et les jeunes;
6. établir et maintenir un régime réglementaire plus équitable, proportionné et favorable;
7. soutenir l’innovation en Ontario. 

Dans la présente actualité, nous nous pencherons sur les propositions 1 à 3. Nous vous donnerons plus de détails sur les propositions 4 à 7 dans une actualité subséquente.

Résumé des propositions (1 à 3)

Approche de la vie privée fondée sur les droits. Les propositions qui suivent ont été présentées en vue d’instaurer une approche des lois sur la vie privée fondée sur les droits :

• reconnaître explicitement le droit fondamental à la vie privée dans le préambule de la loi; 
• interdire la collecte, l’utilisation et la divulgation des renseignements personnels au-delà de ce qui est nécessaire à la réalisation des fins légitimes pour lesquelles les renseignements sont recueillis; 
• exiger une interprétation axée sur les droits du concept d’« objectif juste et approprié » en rendant obligatoire l’examen de facteurs tels que la nature et la sensibilité des renseignements en cause; et
• obliger les organisations, sur demande d’un particulier, à divulguer, à corriger et à éliminer des renseignements personnels.

Le fait de mettre le droit fondamental d’une personne à la vie privée au centre de la discussion incite les organisations à élaborer des politiques et des pratiques en matière de protection de la vie privée en fonction de ce concept très important. En réinventant la définition de renseignements personnels « sensibles », en adoptant une approche « moins, c’est plus » à la collecte de données, en limitant les fins légitimes de collecte à celles qui sont justes et appropriées et en donnant aux particuliers le contrôle sur l’élimination et le mouvement de leurs données, le gouvernement de l’Ontario semble résolu à inscrire le droit fondamental à la vie privée dans la loi qu’il propose.

Technologies d’IA et de prise de décision automatisée. Les propositions qui suivent ont été présentées en vue d’assurer l’utilisation sûre et transparente des technologies d’IA et de prise de décision automatisée :

• définir le « profilage » et la « prise de décision automatisée » afin d’établir un régime réglementaire solide pour les activités qui font intervenir les droits liés à l’IA;
• obliger les organisations, sur demande d’un particulier, à expliquer à ce dernier le processus de décision ou de prédiction du système automatisé;
• interdire le profilage et la prise de décision automatisée, sous réserve de certaines exceptions, pour donner aux particuliers le contrôle sur l’utilisation des renseignements très personnels et sensibles générés par les systèmes d’IA; et
• permettre aux particuliers assujettis à une prise de décision automatisée de demander les renseignements personnels utilisés pour mener à la décision, de corriger ces renseignements, de commenter la décision ou de la contester, et de demander la révision de la décision par un particulier au sein de l’organisation.

L’utilisation élargie des technologies d’IA et de prise de décision automatisée constitue un progrès important et une innovation marquée, mais elle présente également un côté sombre potentiel. Ces technologies sont susceptibles de causer un préjudice grave aux particuliers en raison de l’augmentation des risques de surveillance et de biais algorithmique. Compte tenu de l’immense quantité de données à la disposition des organisations utilisant ces technologies et de la diversité de celles-ci, le gouvernement de l’Ontario vise à renforcer la transparence, de sorte que les particuliers soient en mesure de comprendre et de prendre des décisions éclairées à propos de leurs profils en ligne.

Consentement et utilisation licite. Les propositions qui suivent ont été présentées en vue d’améliorer le processus d’obtention du consentement et de limiter les utilisations de renseignements personnels aux utilisations qui sont licites :

• interdire aux organisations de faire du consentement une condition d’obtention d’un service et d’obtenir le consentement par des moyens trompeurs ou frauduleux;
• exiger que les organisations tiennent compte du caractère sensible des renseignements et des attentes raisonnables des particuliers au moment de déterminer la forme du consentement appropriée; 
• éliminer la capacité des organisations à contourner l’obtention du consentement parce qu’il est « difficilement réalisable » de le faire lorsqu’elles « n’ont pas de relation directe avec le particulier » et les empêcher de recueillir des renseignements personnels sans consentement simplement pour des raisons de commodité; et
• aligner les circonstances dans lesquelles les employeurs et les syndicats peuvent recueillir et utiliser des renseignements personnels sans consentement, compte tenu des exigences commerciales pratiques (p. ex., pour respecter les obligations légales liées à la relation employeur-employé ou dans le cadre d’une campagne d’acquisition du droit à la négociation collective).

De nos jours, on observe une réelle lassitude à l’égard du consentement. Par conséquent, le gouvernement de l’Ontario privilégie l’élaboration de nouvelles façons d’encourager les particuliers à donner leur consentement et à participer au traitement de leurs renseignements personnels. Une approche « solutions toutes faites » à l’obtention du consentement n’est pas possible. Même si l’établissement d’une délimitation claire entre ce que les organisations peuvent faire et ne peuvent pas faire pour des raisons de commodité est un premier pas important, le gouvernement de l’Ontario reconnaît qu’il reste beaucoup de travail à faire pour concevoir de nouvelles approches efficaces en vue d’obtenir un consentement éclairé. 

Principales conclusions

Depuis plusieurs années, l’Ontario est un pôle d’innovation et à en croire les rumeurs, la province est en voie de devenir la « Silicon Valley du Nord ». Dans cette optique, il est primordial que l’Ontario assume ses responsabilités et saisisse l’occasion de devenir un territoire de compétence de calibre mondial en matière de protection des données et d’économie numérique.

Les auteurs aimeraient remercier Katie Helou, étudiante, pour son aide dans la préparation de cette actualité juridique.