Discours de la commissaire à l’information et à la protection de la vie privée de l’Ontario
Patricia Kosseim
Le 18 novembre 2020
Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario
Infonex – Questions juridiques liées à la protection de la vie privée et à la cybersécurité
Sous réserve de modifications
Merci, Imran, pour cette belle présentation, et merci aux organisateurs de m’avoir invitée à prendre la parole à votre conférence sur la protection de la vie privée et la cybersécurité.
Comme je le dis très souvent, j’aurais aimé qu’on puisse se rencontrer en personne, mais comme pour tout le reste, le virtuel est la nouvelle réalité avec laquelle nous devons vivre de nos jours.
J’ai amorcé mon mandat le 1er juillet, en plein milieu de la pandémie, et cette transition n’avait rien de normal.
J’ai abordé ce poste avec un enthousiasme débordant et une passion de longue date pour les questions d’accès à l’information et de protection de la vie privée.
J’ai eu le privilège de travailler au Commissariat à la protection de la vie privée du Canada pendant de nombreuses années, et j’ai aussi travaillé dans les secteurs de la santé et de la recherche en santé, pour le secteur public, le secteur des organismes à but non lucratif, et le secteur privé, représentant des clients aux intérêts variés.
J’ai eu le grand honneur d’interagir avec de brillants praticiens qui ont un sens réel et pratique des défis concrets qui sont en jeu, avec des universitaires érudits qui ont consacré leur carrière à ce domaine important, ainsi qu’avec des groupes de consommateurs et d’intervenants de la société civile très engagés qui jouent un rôle essentiel pour l’avancement des droits d’accès à l’information et de protection de la vie privée, pour le bien de tous.
Cette vaste expérience m’aura au moins appris à comprendre les perspectives très variées qui influent sur les questions complexes dont nous nous occupons.
Elle a fait naître chez moi un grand sentiment d’humilité avec laquelle j’aborde mon travail, et une prédisposition naturelle à écouter les autres.
J’ai consacré la plus grande partie de mes 100 premiers jours à ce poste à m’informer, à rencontrer des gens, à planifier.
M’informer sur les lois de l’Ontario qui régissent l’accès à l’information et la protection de la vie privée, sur les modifications législatives récentes, ainsi que sur les processus, les gens et la culture du CIPVP.
Pour cela, je remercie mon équipe du fond du cœur, une équipe du tonnerre, qui m’a accueillie si chaleureusement.
Rencontrer les nombreux représentants de différents secteurs, mes homologues du fédéral, des autres provinces et des territoires, d’autres hauts fonctionnaires de l’Assemblée législative et des représentants d’autres organismes de réglementation.
Et planifier les premières orientations de mon mandat, puis enclencher le processus qui me permettra d’établir les priorités stratégiques de notre bureau pour les cinq prochaines années, soit la durée de mon mandat.
D’entrée de jeu, j’ai établi quelques grandes orientations pour mon mandat, à savoir :
- me concentrer sur les questions les plus importantes pour les Ontariennes et Ontariens, en tenant compte des politiques mondiales, des répercussions qu’elles peuvent avoir dans un univers où la circulation des données ne connaît pas de frontière et des leçons que nous pouvons en tirer;
- par exemple, le CIPVP de l’Ontario a coparrainé une résolution internationale sur la responsabilisation dans le secteur de l’intelligence artificielle à la dernière séance annuelle de l’Assemblée mondiale de la protection de la vie privée;
- collaborer avec mes homologues du Canada et d’ailleurs dans le monde sur les enjeux transfrontaliers et d’autres questions d’intérêt commun, comme l’éducation et l’orientation;
- par exemple, nous avons collaboré avec le CPVP fédéral au lancement de l’application Alerte COVID en Ontario; nous continuons de travailler avec nos collègues de la C.-B. au suivi de l’enquête sur l’atteinte à la vie privée par LifeLabs; de plus, de concert avec nos collègues du fédéral, des provinces et des territoires, nous élaborons des lignes directrices visant l’utilisation des technologies de reconnaissance faciale pour les forces de l’ordre;
- adopter une approche équitable, pratique et équilibrée pour interpréter et appliquer les nouvelles dispositions de la LPRPS et de la LAIPVP ainsi que la partie X de la LSEJF;
- poursuivre les activités bien ancrées d’approche et d’information;
- par exemple, par l’entremise de mon blogue, de conférences virtuelles comme celles-ci et d’autres moyens d’approche, nous poursuivons notre travail tout en nous adaptant à la nouvelle réalité;
- rejoindre le plus grand nombre possible d’Ontariennes et d’Ontariens, y compris les Franco-Ontariennes et les Franco-Ontariens;
- je tiens à m’assurer que nous traduisons nos ressources en français autant que possible, et j’aimerais trouver et/ou créer des occasions spéciales pour rejoindre la communauté francophone dans les mois qui suivent.
Outre ces actions, qui représentent quelques-uns de mes premiers objectifs, mon bureau a lancé récemment un processus qui, nous l’espérons, permettra de préciser ce que seront nos priorités stratégiques pour les cinq prochaines années.
Cet exercice a pour objet d’orienter nos ressources et nos énergies, en priorité, vers l’avancement des questions d’accès à l’information et de protection de la vie privée :
- qui comptent le plus pour les Ontariennes et Ontariens;
- qui cadrent parfaitement avec notre mandat;
- que le CIPVP est le mieux équipé pour diriger, compte tenu de nos points forts, de notre capacité et de notre habileté à former des partenariats;
- sur lesquelles il est possible et réaliste d’avoir une influence positive.
Nous ne cesserons pas pour autant de faire ce que la loi exige de nous, comme recevoir et traiter les demandes d’appel et les plaintes concernant la protection de la vie privée.
Cependant, cela signifie que nous nous appuierons sur nos priorités stratégiques pour faire des choix discrétionnaires, comme décider quels projets de recherche entreprendre, quels documents d’information ou lignes directrices élaborer, quels enjeux défendre, sur quels sujets écrire et quels enjeux aborder lors d’événements et de conférences.
À cette fin, nous élaborons actuellement une ébauche de document de consultation qui établit un certain nombre de priorités stratégiques possibles.
Jusqu’à maintenant, cette ébauche repose sur notre propre recherche et sur l’analyse du contexte lié aux questions touchant l’accès à l’information et la protection de la vie privée.
Elle s’appuie aussi sur les précieux renseignements qu’a recueillis le personnel chevronné du CIPVP qui œuvre quotidiennement auprès des personnes qui portent plainte, des parties prenantes et du grand public, et connaît très bien les préoccupations des Ontariennes et des Ontariens.
Et elle est orientée par un groupe spécial et indépendant d’experts, provenant de différents secteurs et disciplines, et ayant diverses perspectives à offrir, qui nous sert d’organe de réflexion.
Ceux qui voudraient en savoir plus trouveront la composition et le mandat de notre comité consultatif spécial dans notre site Web.
La deuxième réunion du comité consultatif est prévue pour vendredi prochain, après quoi nous espérons avoir terminé le document de consultation et l’afficher dans notre site Web dans les semaines à venir pour obtenir des commentaires.
J’invite chacun d’entre vous à donner votre avis sur le processus, et vos observations seront grandement appréciées.
Nous compilerons les observations reçues, nous les étudierons attentivement et nous intégrerons ce que nous avons entendu dans un document final, que nous comptons publier, avec notre liste définitive de priorités stratégiques, au début de 2021.
Permettez-moi maintenant de vous donner quelques exemples concrets des enjeux les plus importants dont je me suis occupée depuis le début de mon mandat il y a quatre mois.
La toute première question dont j’ai dû m’occuper, et qui m’attendait littéralement de toute urgence à ma première journée, est l’application Alerte-COVID.
Comme beaucoup d’entre vous le savent, il s’agit d’une application de notification d’exposition volontaire.
Contrairement aux applications de recherche de contacts, elle ne comprend pas la collecte de renseignements personnels ni de renseignements de géolocalisation.
Bien que cette appli soit soutenue par une infrastructure mise au point au palier fédéral, certains aspects sont propres à la province ou au territoire où elle est utilisée.
Comme l’Ontario a été la première province à lancer l’appli, notre bureau, de concert avec le CPVP fédéral, a joué un rôle important dans l’examen de ses éléments de sécurité et de protection de la vie privée.
Alors que le CPVP a travaillé avec le gouvernement fédéral à l’examen de la plateforme et de l’infrastructure technique, le CIPVP a collaboré avec le gouvernement de l’Ontario à l’examen des caractéristiques propres à la province, comme les interactions entre l’appli et nos systèmes publics d’information sur la santé, que mon bureau est chargé de surveiller.
Nous avons également travaillé, chacun de notre côté, à influer sur les négociations du protocole d’entente fédéral-provincial pour faire en sorte qu’il contienne des engagements rigoureux de la part des deux ordres de gouvernement à protéger et à sécuriser les renseignements recueillis par l’appli.
Cela était particulièrement important, sachant que le protocole d’entente servirait probablement de modèle pour les accords conclus avec les autres provinces qui décideraient d’utiliser l’appli.
Notre examen était fondé sur les principes fédéraux, provinciaux et territoriaux conjoints relatifs à la recherche de contacts et aux applications semblables qui avaient été élaborés pendant les premiers mois de la pandémie.
Le gouvernement de l’Ontario a accepté toutes nos recommandations, et c’est tout à son honneur, y compris les engagements à faire en sorte que :
- l’utilisation de l’application soit volontaire;
- des mesures soient instaurées pour en évaluer continuellement l’efficacité;
- l’appli soit désactivée si elle ne remplit plus son rôle;
- nous soyons informés de toute modification apportée à l’appli qui peut entraver ses mécanismes de sécurité et de protection de la vie privée.
En définitive, comme vous le savez fort bien, le CIPVP et le CPVP ont soutenu l’utilisation de l’application de notification d’exposition, à condition que son utilisation demeure volontaire et que son efficacité soit évaluée continuellement. Nous avons d’ailleurs publié un communiqué conjoint à ce sujet.
J’ai tiré quelques leçons de cette première expérience :
Premièrement, la collaboration avec un autre organisme de réglementation et la coordination de nos examens se sont révélées incroyablement efficaces, en particulier parce que nous collaborions chacun avec nos gouvernements respectifs pour resserrer les éléments complémentaires de l’application et influer sur les négociations du protocole d’entente en temps réel, littéralement.
Deuxièmement, il a été utile de pouvoir fonder notre examen sur des principes qui avaient été élaborés proactivement par la communauté fédérale-provinciale-territoriale quelques mois auparavant et qui servaient de balises pour évaluer l’initiative.
Troisièmement, ce que nous avons à dire à titre d’organismes de réglementation est important et a de l’influence.
J’ai bien compris qu’il était et demeure essentiel que l’appli soit largement adoptée pour avoir le maximum d’efficacité.
Tout ce que nous disons en public influe sur le niveau de confiance.
Donc, même s’il ne sera jamais possible de garantir à 100 % que tout fonctionnera parfaitement, à titre d’organisme de réglementation, il faut travailler fort pour se convaincre que toutes les mesures raisonnables et nécessaires ont été prises afin de réduire tous les risques anticipés et de protéger adéquatement les renseignements personnels des Ontariennes et des Ontariens.
À un moment donné, il faut avoir le courage de soutenir publiquement cette évaluation.
Permettez-moi de vous donner un deuxième exemple d’un problème que j’ai eu à régler depuis le début de mon mandat : la question des caméras d’intervention pour les policiers.
Malgré le travail que j’avais déjà accompli à ce sujet par le passé, ayant contribué à l’élaboration des lignes directrices de 2015 du CPVP sur les caméras d’intervention, ce qui est intéressant c’est de voir comment mon point de vue a changé depuis.
À l’origine, j’avais abordé cette question principalement sous l’angle de la protection de la vie privée, or, en raison de mon nouveau mandat qui consiste à défendre la protection de la vie privée et l’accès à l’information, je réévalue le poids accordé à ces valeurs importantes, et je suis beaucoup plus consciente maintenant des aspects liés à l’accès à l’information.
Qui plus est, il ne fait aucun doute que le début du mouvement Black Lives Matter ainsi que les décès et blessures tragiques que subissent les peuples autochtones dans le cadre d’interventions policières et qui font la manchette depuis quelque temps ont poussé le public à réclamer une plus grande reddition de comptes et plus de transparence de la part de la police.
J’ai compris aussi que même en tenant compte à la fois de la protection de la vie privée et de l’accès à l’information, le tableau est incomplet.
D’autres enjeux fondamentaux sont au cœur de la situation policière aujourd’hui, dont les droits de la personne, la discrimination possible contre des personnes et des groupes marginalisés, et la nécessité d’élargir le débat sur les niveaux appropriés de financement des services policiers et l’évolution de leur rôle dans les collectivités pour qu’ils soient mieux intégrés et assurent plus efficacement la sécurité publique.
Malgré ces défis majeurs, selon moi, si le cadre de gouvernance nécessaire est instauré, les systèmes de caméras d’intervention pourront être déployés d’une manière qui permet d’établir l’équilibre approprié entre le respect des droits liés à la vie privée et le besoin d’accès, de reddition de comptes et de transparence.
Nous collaborons actuellement avec le Service de police de Toronto et la Commission qui surveille son travail afin d’élaborer un cadre de gouvernance pour la mise en œuvre de son programme de caméras d’intervention.
Cela comprend une politique et les procédures connexes nécessaires pour faire en sorte que l’utilisation des caméras d’intervention par la police pour accroître la sécurité des collectivités, la responsabilité de la police et la confiance du public se fasse d’une manière qui respecte les droits des Ontariennes et des Ontariens en matière de protection de la vie privée et d’accès à l’information.
Des règles claires, responsables et transparentes devront donc être établies pour déterminer quand les caméras seront utilisées pour enregistrer des images et quand elles devront être éteintes en raison du caractère délicat d’une situation (p. ex., si une personne est dévêtue) et du contexte (p. ex., dans un milieu hospitalier qui est en soi plus sensible).
Il faut également des lignes directrices claires sur les avis à donner au public concernant l’utilisation des caméras d’intervention et leur activation, l’accès aux enregistrements, les périodes de conservation appropriées, les restrictions relatives aux utilisations secondaires et Ies mécanismes de sécurité que le fabricant devra intégrer dans les caméras.
Nous avons obtenu un engagement des SPT et de la Commission qu’ils ne déploieront pas leur programme de caméras d’intervention tant que tous les éléments du cadre de gouvernance n’auront pas été établis et que les policiers n’auront pas reçu une formation appropriée sur les règles.
Nous avons également obtenu leur accord sur un moratoire concernant l’utilisation des éléments de reconnaissance faciale de leur programme de caméras d’intervention tant que les organismes de protection de la vie privée du fédéral, des provinces et des territoires n’auront pas rendu publiques leurs lignes directrices à ce sujet et tant que le CIPVP n’aura pas été convenablement consulté.
Nous espérons que le fruit de tout ce travail rigoureux que nous avons accompli avec le SPT servira de modèle aux autres services de police de l’Ontario.
Je retiens plusieurs leçons de cette expérience.
Premièrement, les valeurs sociales ne sont pas statiques. Elles évoluent en fonction des circonstances, du contexte et des perspectives.
Deuxièmement, les enjeux transcendent parfois notre mandat et il est de notre devoir de collaborer, entre autres, avec les commissions des droits de la personne et les groupes de la société civile, pour nous assurer que nos conseils prennent en compte d’autres points de vue nécessaires.
Troisièmement, étant donné les ressources limitées, nous n’avons peut-être pas le luxe de consacrer autant de temps et d’efforts à tous les autres services de police de l’Ontario. Cependant, si nous pouvons collaborer avec le service qui est le plus avancé dans l’élaboration de son programme de caméras d’intervention, nous espérons pouvoir établir un modèle dont les autres pourront s’inspirer.
Permettez-moi de vous donner un troisième exemple des enjeux importants avec lesquels j’ai dû, comme beaucoup d’autres, composer depuis que je me suis jointe au CIPVP.
Je veux parler de l’accélération de la numérisation attribuable à la pandémie.
De fait, la COVID-19 a accéléré la mise en œuvre des plans de numérisation que de nombreux organismes envisageaient déjà avant la pandémie et qui feront désormais partie intégrante de notre réalité.
Une étude menée par McKinsey Digital montre que l’adoption du numérique dans les entreprises s’est accélérée de cinq années en huit semaines seulement après le début de la pandémie[1].
De plus, en raison de la COVID-19, le télétravail a augmenté à un rythme exponentiel, dans certains secteurs plus que d’autres, et des études récentes donnent à penser que le télétravail est là pour de bon, un employé sur cinq seulement souhaitant retourner au bureau à temps plein[2].
L’engagement du gouvernement de l’Ontario d’accorder la « priorité au numérique » a été renforcé, par nécessité, en raison de la pandémie actuelle.
Le plan budgétaire du gouvernement, rendu public plus tôt ce mois-ci, établit d’ambitieuses cibles pour accroître le pourcentage de services qui seront offerts aux Ontariennes et aux Ontariens par voie numérique au cours des deux prochaines années, comme des soins de santé virtuels améliorés, l’approbation des permis pour les entreprises et le renouvellement des permis de conduire.
La semaine dernière, le gouvernement a annoncé qu’il investirait 500 millions de dollars sur quatre ans dans le fonds d’accélération Faire progresser l’Ontario, une mesure importante en vue d’atteindre son objectif de faire de l’Ontario le chef de file du numérique dans le monde.
La pandémie de COVID-19 a également donné lieu à un essor considérable des soins de santé à distance.
L’Association médicale canadienne a révélé qu’en mai 2020, près de la moitié des Canadiens avaient consulté un médecin de façon virtuelle[3].
De mars à avril 2020, le nombre de consultations virtuelles au Centre de toxicomanie et de santé mentale (CAMH) s’est accru de 750 %[4], et il est fort probable que ce chiffre a augmenté depuis.
De même, l’apprentissage en ligne est en hausse en Ontario. Depuis le début de la pandémie, 92 % des étudiantes et étudiants du palier postsecondaire ayant été interrogés ont répondu que certains ou la totalité de leur cours étaient désormais fournis en ligne[5].
Lorsque les écoles secondaires ont rouvert en septembre 2020, environ 70 % des élèves du palier secondaire ont commencé l’année scolaire 2020-2021 en suivant un emploi du temps combiné de journées d’apprentissage à l’école et de journées d’apprentissage à distance[6], des élèves de 24 conseils scolaires consacrant presque 50 % de leur temps à l’apprentissage en ligne[7].
Encore une fois, ce chiffre a probablement augmenté avec les fermetures d’écoles survenues pendant la deuxième vague de la pandémie.
Malheureusement, les cyberattaques et les atteintes à la protection des données sont également en hausse depuis le début de la pandémie.
Un sondage récent mené auprès de 251 professionnels de la sécurité du Canada a révélé que la fréquence des cyberattaques avait atteint un niveau sans précédent[8].
Parmi les répondants, 99 % ont déclaré que le volume d’attaques qu’ils ont rencontrées avait augmenté[9] et 86 % ont révélé que les attaques sont de plus en plus subtiles[10].
Ces nouvelles menaces profitent de l’intérêt accru du public pour la COVID-19, en utilisant des renseignements liés au virus pour inciter les victimes à cliquer sur des pièces jointes et des liens malveillants, comme de fausses statistiques sur les taux d’infection et la propagation de la maladie ou des renseignements sur de prétendus traitements.
En avril, le Centre canadien pour la cybersécurité (CCCS) a signalé plus d’un millier de ces leurres liés à la COVID-19 imitant des sites Web du gouvernement du Canada[11], et il prévoit que l’utilisation de ces leurres ne fera qu’augmenter pendant la pandémie[12].
Par conséquent, notre bureau a publié des lignes directrices sur la sécurité et la protection de la vie privée à l’intention des employés du secteur public qui travaillent à la maison.
Nous avons relancé nos lignes directrices de 2019 sur l’hameçonnage étant donné leur pertinence et leur importance accrues.
Nous consultons différents intervenants du secteur de la santé sur les lignes directrices en matière de santé virtuelle, et nous comptons collaborer étroitement avec le gouvernement de l’Ontario relativement à son initiative d’identité numérique et à d’autres initiatives liées à sa stratégie de priorité au numérique.
En outre, nous prenons nos propres mesures internes pour soutenir tous nos employés qui travaillent à la maison, pour faciliter l’accès en ligne à nos services de tribunal administratif et pour consolider notre position en matière de sécurité de l’information dans ce nouveau contexte virtuel.
Pour terminer, je souhaite aborder la question de la réforme législative, qui a été particulièrement fébrile à maints égards.
Comme beaucoup d’entre vous le savent, la LAIPVP a été modifiée en 2019 par l’ajout d’un projet d’intégration des données (partie III.1).
Les nouvelles dispositions permettent aux services d’intégration des données de recueillir indirectement des renseignements personnels et d’établir des liens avec d’autres renseignements, à l’intérieur d’un même ministère ou entre différents ministères, et même dans des entités désignées à l’extérieur du gouvernement, aux fins de la planification et de l’évaluation des programmes et des services du gouvernement.
Ces nouvelles dispositions définissent également les exigences relatives à l’avis de collecte, à la minimisation des données, aux limites quant à l’utilisation et la divulgation, à l’anonymisation et à la sécurité, entre autres choses.
La ministre des Services gouvernementaux et des Services aux consommateurs est chargée d’élaborer les normes visant à établir des règles supplémentaires pour l’intégration des données, notamment :
- comment établir des liens et anonymiser les renseignements personnels;
- rendre public un rapport sur l’utilisation des renseignements personnels;
- conserver les renseignements personnels et les éliminer de façon sécuritaire.
Les services d’intégration des données ne peuvent pas commencer à recueillir des renseignements personnels tant que le CIPVP n’a pas approuvé les normes relatives aux données.
À l’heure actuelle, nous travaillons activement avec le ministère des Services gouvernementaux et des Services aux consommateurs et avec le groupe de travail des services d’intégration des données, et nous faisons des recommandations et des commentaires détaillés sur l’ébauche des normes de données.
En vertu de ce nouveau plan, le CIPVP a également reçu le pouvoir de revoir les pratiques et procédures des services d’intégration des données, de leur ordonner de commencer, d’arrêter ou de modifier une pratique ou une procédure ainsi que de détruire des renseignements personnels.
La Loi de 2004 sur la protection des renseignements personnels sur la santé a elle aussi fait l’objet de modifications récemment.
Ainsi, en vertu du projet de loi 119, la partie V.1 a été ajoutée à la Loi, créant un nouveau régime de gestion du dossier de santé électronique. Bien que le projet de loi ait été adopté en mai 2016 (dans la Loi de 2016 sur la protection des renseignements sur la santé), ce n’est que le mois dernier qu’il est entré en vigueur.
Depuis octobre 2020, en vertu de la partie V.1, Santé Ontario est l’organisation prescrite responsable du dossier de santé électronique.
Le CIPVP doit examiner les pratiques et procédures de l’organisation prescrite, soit Santé Ontario, dans un délai d’un an (d’ici octobre 2021) et tous les trois ans par la suite.
La partie V.1 prévoit les exigences suivantes concernant le dossier électronique de santé :
- nouvelles règles établissant les obligations et les responsabilités des multiples dépositaires qui recueillent et utilisent des renseignements personnels sur la santé du dossier de santé électronique;
- création d’un registre électronique dans lequel figurent les renseignements personnels sur la santé qui ont été consultés, employés, modifiés ou traités d’une autre façon par les différents dépositaires de renseignements sur la santé concernés;
- possibilité pour un particulier de formuler une directive selon laquelle il refuse la collecte, l’utilisation et la divulgation de renseignements personnels sur la santé le concernant au moyen du dossier de santé électronique, ou retire son consentement;
- conditions dans lesquelles les dépositaires peuvent divulguer des renseignements malgré une directive en matière de consentement dans certaines circonstances, et nécessité d’en donner avis;
- nouvelles dispositions établissant les avis requis en cas d’atteinte à la vie privée dans le contexte du dossier de santé électronique;
- directives que le ministre de la Santé peut prendre pour divulguer des renseignements personnels sur la santé à des entités ou des registres prescrits, à certaines autorités en matière de santé publique ou à des fins de recherche.
En outre, d’autres règlements d’application de la Loi de 2004 sur la protection des renseignements personnels sur la santé ont récemment été adoptés et entreront en vigueur le 1er janvier 2021.
Ces exigences encadrent l’établissement, le contrôle et l’observation des spécifications d’interopérabilité qui s’appliquent aux actifs de soins de santé numériques d’un dépositaire de renseignements personnels sur la santé, essentiellement tout moyen électronique qu’un dépositaire choisit pour traiter les renseignements personnels sur la santé.
Conformément aux nouveaux règlements, Santé Ontario doit établir ces normes d’interopérabilité à la demande de la ministre.
Si ces normes ont trait à la protection de la vie privée, à la sécurité, ou encore au droit d’accès ou de rectification, Santé Ontario doit consulter le CIPVP et prendre en compte nos recommandations avant de les présenter à la ministre pour approbation.
Santé Ontario doit rendre publiques les spécifications d’interopérabilité, élaborer un processus d’agrément de conformité des actifs de soins de santé numériques aux spécifications d’interopérabilité, et vérifier si les dépositaires de renseignements sur la santé respectent les normes.
Santé Ontario peut renvoyer les cas de non-conformité au CIPVP sous forme de plaintes, qui feraient alors l’objet d’une enquête.
D’autres modifications extrêmement importantes ont été apportées à la Loi de 2004 sur la protection des renseignements personnels sur la santé en vertu du projet de loi 188, mais elles ne peuvent être appliquées avant l’adoption des règlements pertinents, que nous attendons avec impatience. Il s’agit de ce qui suit :
- la possibilité d’imposer des pénalités administratives, notamment des amendes, aux organismes qui contreviennent à la Loi ou à ses règlements conformément aux montants prescrits par règlement;
- une définition d’« anonymisation » qui prescrirait les règles à suivre pour que les renseignements soient jugés adéquatement anonymisés;
- les registres électroniques des accès que les dépositaires de renseignements personnels sur la santé doivent tenir, vérifier et surveiller pour faire le suivi de toutes les occasions où des documents sont consultés, employés, modifiés ou traités d’une autre façon;
- les nouvelles règles qui s’appliqueront aux fournisseurs de services électroniques qui offrent des applications, des portails ou des plateformes numériques sur la santé que les consommateurs peuvent utiliser pour accéder à leurs propres renseignements personnels sur la santé, les consulter et les gérer.
Finalement, bien sûr, il ne faut pas oublier de parler des consultations que le gouvernement mène actuellement relativement à une loi ontarienne sur la protection de la vie privée applicable au secteur privé.
Mon bureau a déposé un mémoire appuyant globalement une telle loi et portant sur les 8 grandes questions sur lesquelles le gouvernement demandait des avis.
Notre mémoire est accessible en ligne.
Le gouvernement attend sûrement de voir ce qu’il adviendra de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques et, comme beaucoup sans doute, il examine la centaine de pages de la nouvelle loi fédérale, la Loi de 2020 sur la mise en œuvre de la Charte du numérique qui a été déposée hier, afin de déterminer ses répercussions pour les Ontariennes et Ontariens.
Cette loi représente une réforme d’envergure qui, si elle est adoptée, renforcera sûrement certains aspects de la protection de la vie privée des consommateurs au profit de tous les Canadiens et de toutes les Canadiennes.
Cependant, comme je l’ai mentionné dans mon mémoire, j’espère encore que le gouvernement de l’Ontario fera sa propre réflexion sur la question de savoir si les Ontariennes et Ontariens seraient mieux servis par une loi sur la protection de la vie privée dans le secteur privé, qui serait comparable, mais qui :
- élargirait la portée de l’application de la loi pour inclure les quelque 5 millions d’employés d’organismes du secteur privé sous réglementation provinciale qui continuent d’évoluer dans un vide législatif en raison des limites constitutionnelles de la Loi sur la protection des renseignements personnels et les documents électroniques;
- rendrait les règles du jeu équitables grâce à une plus grande certitude et à des règles plus prévisibles qui s’imbriquent dans celles d’autres territoires de compétence, en favorisant l’utilisation responsable et le traitement respectueux des données, tout en empêchant les pratiques de gestion des données injustes et inappropriées;
- prévoirait un régime plus global et cohérent, comprenant un mécanisme de surveillance mieux intégré, simplifié et flexible qui aborde les défis complexes que représentent les données qui se situent aux confins du secteur public, du secteur privé et du secteur de la santé;
- créerait une loi touchant la protection de la vie privée dans le secteur privé qui soit prospective et de calibre mondial, qui cadre avec la culture et les valeurs locales et qui, en définitive, soit mieux adaptée à la population et aux organisations ontariennes, y compris à ses nombreuses petites et moyennes entreprises.
Je n’insisterai jamais assez pour dire combien il est important que le Canada fasse bien les choses à ce sujet.
Je souhaite la meilleure des chances aux parlementaires dans leurs délibérations sur le projet de loi fédéral C-11, et il me tarde de participer à des discussions informées, parallèles, avec notre gouvernement ici, sur ce qui conviendra le mieux pour les Ontariennes et Ontariens.
Merci.
-30-
[1] McKinsey Digital, The COVID-19 recovery will be digital: A plan for the first 90 days (14 mai 2020), extrait le 29 octobre 2020.
[2] PwC Canada, Sondage sur les effectifs canadiens de l’avenir (15 septembre 2020), extrait le 29 octobre 2020.
[3] Association médicale canadienne, Les soins virtuels sont de vrais soins : un sondage national indique que les Canadiens sont pleinement satisfaits des soins de santé virtuels (8 juin 2020), extrait le 31 octobre 2020.
[4] Centre de toxicomanie et de santé mentale, CAMH Enhances Virtual Capacity to Respond to Demand for Mental Health Services (4 mai 2020), extrait le 31 octobre 2020.
[5] Statistique Canada, Comment les étudiants du niveau postsecondaire au Canada sont-ils touchés par la pandémie de COVID-19? (12 mai 2020), extrait le 31 octobre 2020.
[6] Gouvernement de l’Ontario, COVID-19 : Réouverture des écoles (8 octobre 2020), extrait le 31 octobre 2020.
[7] Gouvernement de l’Ontario, Guide relatif à la réouverture des écoles de l’Ontario (28 août 2020), extrait le 31 octobre 2020.
[8] VMware Carbon Black, Canada Threat Report: Extended Enterprise under Threat (juin 2020), extrait le 1er novembre 2020.
[9] VMware Carbon Black, Canada Threat Report: Extended Enterprise under Threat (juin 2020), extrait le 1er novembre 2020.
[10] VMware Carbon Black, Canada Threat Report: Extended Enterprise under Threat (juin 2020), extrait le 1er novembre 2020.
[11] Centre canadien pour la cybersécurité, Bulletin sur les cybermenaces : Incidence de la COVID-19 sur les activités de cybermenaces (10 juin 2020), extrait le 1er novembre 2020.
[12] Centre canadien pour la cybersécurité, Bulletin sur les cybermenaces : Incidence de la COVID-19 sur les activités de cybermenaces (10 juin 2020), extrait le 1er novembre 2020.