Écrit par Sebastien Gittens, Stephen Burns and David Wainer

Amendments to British Columbia’s Freedom of Information and Protection of Privacy Act (FIPPA), qui entrera en vigueur le 1er février 2023, imposera des exigences plus strictes en matière de protection de la vie privée aux organismes publics provinciaux, tels que les hôpitaux, les municipalités et les sociétés d’État, ainsi qu’à de nombreux organismes, conseils et commissions.

En général, la LAIPVP réglemente, entre autres, la façon dont les organismes publics de la Colombie-Britannique recueillent, utilisent et communiquent les renseignements personnels. À l’heure actuelle, cette loi n’oblige pas les organismes publics à (1) aviser le Commissariat à l’information et aux pouvoirs de la protection de la vie privée (CIPC) et les personnes touchées en cas d'« atteinte à la vie privée », ou (2) avoir un programme de gestion de la protection de la vie privée. Bille 22 – 2021 : Loi de 2021 modifiant la Loi sur l’accès à l’information et la protection de la vie privée (projet de loi 22) introduira chacune de ces exigences dans la LAIPVP lorsqu’elle sera en vigueur.

Avis de violation de confidentialité

Bill 22 établit que les circonstances dans lesquelles un organisme public doit, sans délai déraisonnable, aviser une personne touchée d’une « atteinte à la vie privée ». Ces circonstances sont celles dans lesquelles on pourrait raisonnablement s’attendre à ce que la violation cause un préjudice important à la personne, notamment :

• lésions corporelles;
• l’humiliation;
• atteinte à la réputation ou aux relations;
• la perte d’emplois, d’occasions d’affaires ou professionnelles;
• les pertes financières;
• l’incidence négative sur un dossier de crédit; ou
• les dommages ou la perte de biens.

L’organisme public doit également aviser l’OIPC si l’on peut raisonnablement s’attendre à ce que l’atteinte à la vie privée entraîne l’une des circonstances ci-dessus. L’organisme public n’est pas tenu d’aviser une personne touchée d’une atteinte à la vie privée si l’on peut raisonnablement s’attendre à ce qu’un avis cause un préjudice immédiat à sa sécurité ou à sa santé physique ou mentale , ou menace la sécurité d’une autre personne ou sa santé physique ou mentale.

Privacy Management Program

Lorsqu’il a été adopté, l’article 36.2 de la LAIPVP exigera que « [le] dirigeant d’un organisme public élabore un programme de gestion de la protection de la vie privée pour l’organisme public et le fasse conformément aux directives du ministre responsable de la présente loi ».

À cette fin, le ministre des Services aux citoyens de la Colombie-Britannique a récemment publié Direction 02/2022, Directive du programme de gestion de la protection de la vie privée (l’instruction). Dans le but de fournir aux organismes publics un cadre évolutif, l’Orientation énonce sept éléments clés qui doivent être inclus dans un programme de gestion de la protection de la vie privée :

1. la désignation d’une personne responsable d’être un point de contact pour les questions de protection de la vie privée, d’appuyer l’élaboration, la mise en œuvre et le maintien de politiques ou de procédures de protection de la vie privée, et d’appuyer la conformité de l’organisme à la LAIPVP (communément appelé un agent de la protection de la vie privée);
2. un processus pour compléter et documenter les évaluations des facteurs relatifs à la vie privée, au besoin, et les ententes d’échange de renseignements, le cas échéant, en vertu de la LAIPVP;
3. un processus documenté pour répondre aux plaintes et aux atteintes à la vie privée;
4. des activités de sensibilisation et d’éducation à la protection de la vie privée pour s’assurer que les employés sont au courant de leurs obligations en matière de protection de la vie privée, qui a) peuvent être mises à l’échelle pour répondre au volume et à la sensibilité des renseignements personnels sous la garde ou le contrôle de l’organisme public, et b) devraient être entreprises en temps opportun et à des intervalles raisonnables;
5. les politiques de protection de la vie privée et les processus ou pratiques écrits de protection de la vie privée mis à la disposition des employés et, dans la mesure du possible, du public;
6. méthode(s) pour s’assurer que les fournisseurs de services sont informés de leurs obligations en matière de protection de la vie privée (p. ex., activités de sensibilisation, modalités contractuelles qui traitent des obligations en matière de protection de la vie privée); et
7. un processus de surveillance régulière du programme de gestion de la protection de la vie privée et de mise à jour au besoin, afin de s’assurer qu’il demeure a) approprié aux activités de l’organisme public et b) conforme à la LAIPVP.

L’OIPC a également publié guidance concernant les programmes de gestion de la protection de la vie privée. Dans ce cas, l’OIPC conseille à un organisme public d’évaluer son régime actuel de protection de la vie privée avant de concevoir un tel programme en :

1. nommer un chef de projet ayant suffisamment de connaissances et d’autorité en matière de protection de la vie privée pour gérer le projet et évaluer les constatations;
2. assurer la surveillance par la haute direction par l’entremise d’un chef de projet;
3. dans la mesure nécessaire, avec la participation des ressources humaines, de la gestion des risques, de la vérification interne et du personnel de la TI;
4. au besoin, obtenir une expertise externe en matière de protection de la vie privée;
5. l’obtention et la documentation de l’information pour évaluer la conformité, y compris des entrevues approfondies avec le personnel, des examens de dossiers et des examens des systèmes de TI;
6. rendre compte régulièrement aux cadres supérieurs des progrès réalisés et mettre en œuvre toute directive découlant de la direction;
7. rendre compte à l’exécutif de tout risque identifiable et de toute question de conformité;
8. fournir un rapport final de toutes les constatations à l’exécutif avec une mise en correspondance complète des constatations par rapport aux exigences de la LAIPVP; et
9. prendre toute autre mesure qui pourrait, compte tenu de la situation de l’organisme public, être souhaitable pour documenter son état actuel de conformité et la voie à suivre.

Après qu’un organisme public a entrepris l’évaluation ci-dessus, le OIPC établit les « éléments de base » qu’un programme de gestion de la protection de la vie privée devrait inclure. Voici quelques-uns de ces éléments de base :

1. s’assurer qu’il y a un soutien au niveau de la direction pour le programme;
2. identifier et communiquer clairement le rôle et les responsabilités de l’agent de la protection de la vie privée;
3. l’établissement de mécanismes d’établissement de rapports;
4. l’identification des renseignements personnels sous la garde ou le contrôle de l’organisme public;
5. mettre en œuvre des politiques concernant :
   1. la collecte, l’utilisation et la communication de renseignements personnels;
   2. l’exactitude des renseignements personnels, y compris l’accès individuel aux renseignements personnels et leur correction;
   3. la conservation et l’élimination des renseignements personnels;
   4. l’utilisation responsable des renseignements personnels; et
6. mettre en œuvre un processus pour les plaintes liées à la protection de la vie privée.

Regardant l’évaluation et la révision continues d’un programme de gestion de la protection de la vie privée, les outils d’évaluation des risques devraient être utilisés fréquemment, la communication externe peut toujours être améliorée et la formation des employés peut être modifiée en fonction de l’expérience.

Next Steps

Nous prévoyons que le projet de loi 22 aura un impact substantiel sur les organisations assujetties à la LAIPVP. Par conséquent, les organismes publics de la Colombie-Britannique devraient entreprendre un examen approfondi de leurs politiques et procédures existantes en matière de protection de la vie privée dès que possible pour s’assurer qu’ils sont conformes au projet de loi 22 d’ici le 1er février 2023.

Si vous souhaitez en savoir plus sur la façon dont ce projet de loi peut affecter votre organisation, nous vous invitons à contacter les membres du groupe Bennett Jones Privacy & Data Protection group.