note explicative

ANNEXE 1
LOI DE 2024 VISANT À RENFORCER LA SÉCURITÉ ET LA CONFIANCE EN MATIÈRE DE NUMÉRIQUE

L’annexe édicte la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique.

La Loi traite de la cybersécurité et des systèmes d’intelligence artificielle au sein des entités du secteur public. Celles-ci sont les institutions au sens de la Loi sur l’accès à l’information et la protection de la vie privée et de la Loi sur l’accès à l’information municipale et la protection de la vie privée, les sociétés d’aide à l’enfance et les conseils scolaires.

Des règlements peuvent être pris relativement à la cybersécurité au sein des entités du secteur public, y compris des règlements exigeant qu’elles établissent et mettent en œuvre des programmes. Les règlements peuvent également établir des normes techniques en ce qui concerne la cybersécurité.

Les entités de secteur public peuvent être tenues de se conformer à des exigences concernant l’utilisation de l’intelligence artificielle, notamment celles de fournir des renseignements, d’établir et de mettre en œuvre des cadres de responsabilisation et de prendre des mesures en matière de gestion des risques. Dans des circonstances prescrites, elles peuvent être tenues de divulguer des renseignements et de veiller à ce que la surveillance de l’utilisation d’un système d’intelligence artificielle soit assurée par un particulier. Les règlements peuvent également établir des normes techniques relativement aux systèmes d’intelligence artificielle.

La Loi traite également de la technologie numérique qui touche les particuliers âgés de moins de 18 ans dans la mesure où elle se rapporte aux sociétés d’aide à l’enfance et aux conseils scolaires. Des règlements peuvent être pris relativement à la collecte, l’utilisation, la conservation et la divulgation d’information numérique concernant des particuliers âgés de moins de 18 ans. Les règlements peuvent également établir des normes techniques à l’égard de cette information et de la technologie numérique.

ANNEXE 2
LOI SUR L’ACCÈS À L’INFORMATION ET LA PROTECTION DE LA VIE PRIVÉE

L’annexe modifie la Loi sur l’accès à l’information et la protection de la vie privée. Voici un survol des modifications.

   1.  La définition de «pratiques relatives aux renseignements» est ajoutée au paragraphe 2 (1).

   2.  L’article 34 est modifié pour, entre autres choses, ajouter une exigence voulant que le rapport annuel de la personne responsable d’une institution indique le nombre de vols, de pertes, ou d’utilisations ou de divulgations non autorisées de renseignements personnels qui ont fait l’objet d’un rapport au commissaire au cours de l’année.

   3.  L’article 38 est modifié pour ajouter l’obligation d’évaluer divers éléments avant de recueillir des renseignements personnels et pour exiger que la personne responsable d’une institution mette en œuvre des mesures pour empêcher ou réduire la probabilité de vol ou de perte de renseignements personnels, ou de leur utilisation ou divulgation non autorisée et pour atténuer les risques encourus par les particuliers en pareil cas. Le nouveau paragraphe 38 (5) exige que les évaluations soient mises à jour avant d’apporter toute modification importante aux fins auxquelles les renseignements personnels sont utilisés ou divulgués.

   4.  Le nouveau paragraphe 40 (5) exige que la personne responsable d’une institution prenne des mesures pour veiller à ce que les renseignements personnels dont l’institution a la garde ou le contrôle soient protégés contre le vol, la perte, et l’utilisation ou la divulgation non autorisée et pour veiller à ce que les documents dans lesquels sont consignés les renseignements soient protégés contre la duplication, la modification ou l’élimination non autorisées.

   5.  Le nouvel article 40.1 exige que la personne responsable d’une institution avise le commissaire et le particulier concerné dans le cas de tout vol, toute perte, ou toute utilisation ou divulgation non autorisée de renseignements personnels du particulier s’il existe un risque réel de préjudice grave pour le particulier ou s’il existe d’autres circonstances prescrites. Les facteurs à prendre en compte pour établir s’il existe un risque réel de préjudice grave sont énoncés au paragraphe 40.1 (7).

   6.  Le nouvel article 49.0.1 autorise le commissaire à examiner les pratiques relatives aux renseignements d’une institution s’il a reçu une plainte aux termes du paragraphe 40.1 (4) ou s’il a des motifs de croire qu’il n’est pas satisfait aux exigences de la partie III.

   7.  Le paragraphe 55 (1) est modifié pour prévoir que des renseignements peuvent être divulgués à une fin prescrite.

   8.  Le nouvel article 57.1 exige que le commissaire garde confidentielle l’identité de la personne qui l’a avisé d’une contravention réelle ou éventuelle à la Loi ou aux règlements.

   9.  Le paragraphe 58 (2) est modifié pour exiger que le rapport annuel que le commissaire présente au président de l’Assemblée indique le nombre de plaintes qu’il a reçues à l’égard des pratiques relatives aux renseignements des institutions et le nombre d’examens effectués en vertu de l’article 49.0.1.

10.  L’article 59 est modifié pour autoriser le commissaire à consulter, sous réserve de certaines restrictions, un agent d’exécution de la loi ou toute autre personne ayant, en vertu d’une loi du Canada ou d’une autre province ou d’un territoire du Canada, des pouvoirs et fonctions semblables à ceux du commissaire en matière de protection des renseignements personnels.

11.  L’article 65.1 est modifié pour ajouter des renseignements supplémentaires à la définition de «renseignements liés au service à la clientèle» et pour autoriser l’organisation de prestation de services qui recueille des renseignements liés au service à la clientèle à conserver et à utiliser ces renseignements, avec le consentement du particulier concerné, dans le but de lui fournir un service désigné.

Projet de loi 194 2024

Loi édictant la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique et modifiant la Loi sur l’accès à l’information et la protection de la vie privée en ce qui concerne les mesures de protection de la vie privée

SOMMAIRE

 

 

Préambule

Le gouvernement de l’Ontario :

Reconnait l’importance de la cybersécurité dans l’instauration de la confiance envers les services numériques fournis par le secteur public.

Estime que la cybersécurité dans le secteur public doit être renforcée.

Estime que les systèmes d’intelligence artificielle dans le secteur public doivent être utilisés de façon responsable, transparente, sécuritaire et assortie de l’obligation de rendre des comptes pour le bien de la population de l’Ontario, et ce, tout en protégeant la vie privée.

Reconnait que l’information et la technologie numériques qui se rapportent aux enfants justifient l’adoption de mesures de protection particulières.

Reconnait l’importance de protéger la vie privée de la population de l’Ontario et d’améliorer les mesures de précaution déployées à cet égard grâce à une transparence accrue et un système de surveillance indépendant.

Pour ces motifs, Sa Majesté, sur l’avis et avec le consentement de l’Assemblée législative de la province de l’Ontario, édicte :

Contenu de la présente loi

1 La présente loi est constituée du présent article, des articles 2 et 3 et de ses annexes.

Entrée en vigueur

2 (1)  Sauf disposition contraire du présent article, la présente loi entre en vigueur le jour où elle reçoit la sanction royale.

(2)  Les annexes de la présente loi entrent en vigueur comme le prévoit chacune d’elles.

(3)  Si une annexe de la présente loi prévoit que l’une ou l’autre de ses dispositions entre en vigueur le jour que le lieutenant-gouverneur fixe par proclamation, la proclamation peut s’appliquer à une ou à plusieurs d’entre elles. En outre, des proclamations peuvent être prises à des dates différentes en ce qui concerne n’importe lesquelles de ces dispositions.

Titre abrégé

3 Le titre abrégé de la présente loi est Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public.

ANNEXE 1
LOI DE 2024 VISANT À RENFORCER LA SÉCURITÉ ET LA CONFIANCE EN MATIÈRE DE NUMÉRIQUE

SOMMAIRE

 

Interprétation

Définitions

1 (1)  Les définitions qui suivent s’appliquent à la présente loi.

«conseil scolaire» Conseil ou conseil scolaire au sens de la définition donnée à ce terme au paragraphe 1 (1) de la Loi sur l’éducation. («school board»)

«cybersécurité» La sécurité, la continuité, la confidentialité, l’intégrité et la disponibilité de l’information numérique et de l’infrastructure servant à stocker et à transmettre l’information numérique, y compris l’ensemble des technologies, des processus, des pratiques, des mesures d’intervention et d’atténuation dont la raison d’être est de protéger les réseaux, les ordinateurs, les programmes et les données des attaques, des dommages, ou d’accès non autorisé. («cyber security»)

«entité du secteur public» S’entend de ce qui suit :

   a)  une institution au sens du paragraphe 2 (1) de la Loi sur l’accès à l’information et la protection de la vie privée;

   b)  une institution au sens du paragraphe 2 (1) de la Loi sur l’accès à l’information municipale et la protection de la vie privée;

   c)  une société d’aide à l’enfance;

   d)  un conseil scolaire. («public sector entity»)

«ministre» Le ministre des Services au public et aux entreprises ou l’autre membre du Conseil exécutif qui est chargé de l’application de la présente loi en vertu de la Loi sur le Conseil exécutif. («Minister»)

«prescrit» Prescrit par les règlements pris en application de la présente loi. («prescribed»)

«société d’aide à l’enfance» Société au sens de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille. («children’s aid society»)

«système d’intelligence artificielle» S’entend de ce qui suit :

   a)  un système automatisé qui, pour des objectifs explicites ou implicites, fait des déductions à partir d’entrées qu’il reçoit afin de générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels;

   b)  les autres systèmes prescrits. («artificial intelligence system»)

Système d’intelligence artificielle

(2)  Il est entendu que pour l’application de la présente loi, l’utilisation d’un système d’intelligence artificielle par une entité du secteur public comprend l’utilisation d’un système qui, selon le cas :

   a)  est mis à la disposition du public;

   b)  est élaboré ou obtenu par l’entité du secteur public;

   c)  est élaboré par un tiers pour le compte de l’entité du secteur public.

Information numérique

(3)  Il est entendu que pour l’application de la présente loi, la collecte, l’utilisation, la conservation ou la divulgation d’information numérique par une entité du secteur public comprend la collecte, l’utilisation, la conservation ou la divulgation d’information numérique par un tiers pour le compte de cette entité.

Cybersécurité

Règlements pris par le lieutenant-gouverneur en conseil

2 (1)  Le lieutenant-gouverneur en conseil peut, par règlement, régir la cybersécurité des entités du secteur public prescrites, notamment :

   a)  exiger que les entités du secteur public élaborent et mettent en œuvre des programmes pour assurer la cybersécurité;

   b)  régir les programmes visés à l’alinéa a), ce qui peut comprendre la prescription d’éléments à inclure dans les programmes;

   c)  exiger que les entités du secteur public présentent des rapports au ministre ou à un particulier déterminé à l’égard d’incidents liés à la cybersécurité, ce qui peut comprendre des exigences différentes selon le type d’incident;

   d)  prescrire le type de rapports et leur fréquence.

Règlements : programmes

(2)  Sans préjudice de la portée générale de l’alinéa (1) b), un règlement pris en vertu de cet alinéa peut exiger que le programme d’une entité du secteur public comprenne ce qui suit :

   a)  les rôles et responsabilités de particuliers déterminés au sein de l’entité du secteur public pour ce qui est d’assurer la cybersécurité;

   b)  la présentation de rapports sur les progrès de l’entité du secteur public pour ce qui est d’assurer la cybersécurité;

   c)  des mesures d’éducation et de sensibilisation concernant la cybersécurité;

   d)  des mesures d’intervention et de rétablissement pour les incidents liés à la cybersécurité;

   e)  des mesures de surveillance pour la mise en œuvre du programme.

Règlements du ministre : normes

3 Le ministre peut, par règlement, établir des normes techniques auxquelles les entités du secteur public prescrites par le ministre doivent se conformer en ce qui concerne la cybersécurité.

Directives du ministre

4 (1)  Le ministre peut donner des directives aux entités du secteur public relativement à la cybersécurité.

Idem

(2)  La directive donnée peut avoir une portée générale ou particulière et peut prévoir différentes catégories.

Statut

(3)  La partie III (Règlements) de la Loi de 2006 sur la législation ne s’applique pas à l’égard des directives.

Conformité

(4)  Les entités du secteur public auxquelles des directives sont données s’y conforment.

Utilisation des systèmes d’intelligence artificielle

Utilisation réelle et prévue

Application

5 (1)  Le présent article s’applique aux entités du secteur public prescrites pour l’application du présent article si elles utilisent ou prévoient utiliser un système d’intelligence artificielle dans des circonstances prescrites.

Renseignements destinés au public

(2)  L’entité du secteur public à laquelle le présent article s’applique fournit, conformément aux règlements, des renseignements au public au sujet de son utilisation du système d’intelligence artificielle.

Cadre de responsabilisation

(3)  L’entité du secteur public à laquelle le présent article s’applique établit et met en œuvre, conformément aux règlements, un cadre de responsabilisation relativement à son utilisation du système d’intelligence artificielle.

Gestion des risques

(4)  L’entité du secteur public à laquelle le présent article s’applique prend les mesures prescrites pour gérer les risques associés à son utilisation du système d’intelligence artificielle.

Exigences

(5)  L’entité du secteur public à laquelle le présent article s’applique utilise le système d’intelligence artificielle conformément aux exigences prescrites.

Utilisation interdite

(6)  L’entité du secteur public à laquelle le présent article s’applique ne doit pas utiliser un système d’intelligence artificielle si les règlements en interdisent l’utilisation.

Utilisations particulières

Champ d’application

6 (1)  Le présent article s’applique à l’égard des entités du secteur public prescrites pour l’application du présent article.

Obligations

(2)  Lorsqu’elle utilise un système d’intelligence artificielle dans des circonstances prescrites, l’entité du secteur public à laquelle le présent article s’applique fait ce qui suit :

   a)  elle divulgue des renseignements, conformément aux règlements, relativement à l’utilisation du système d’intelligence artificielle;

   b)  elle veille à ce qu’un particulier :

          (i)  assure la surveillance de l’utilisation du système d’intelligence artificielle, conformément aux règlements,

         (ii)  fournisse des renseignements supplémentaires, conformément aux règlements, relativement à l’utilisation du système d’intelligence artificielle.

Règlements pris par le lieutenant-gouverneur en conseil

7 Le lieutenant-gouverneur en conseil peut, par règlement, régir l’utilisation des systèmes d’intelligence artificielle par les entités du secteur public, notamment :

   a)  prescrire des entités du secteur public auxquelles l’article 5 ou 6 s’applique;

   b)  prescrire des circonstances pour l’application du paragraphe 5 (1);

   c)  régir la fourniture de renseignements prévue au paragraphe 5 (2), notamment :

          (i)  prescrire la manière dont les renseignements doivent être fournis,

         (ii)  prescrire les renseignements qui doivent être fournis,

        (iii)  prescrire les renseignements dont la fourniture n’est pas exigée,

        (iv)  indiquer le moment auquel les renseignements doivent être fournis et mis à jour,

         (v)  dispenser des entités du secteur public de l’exigence de fournir des renseignements dans des circonstances particulières;

   d)  régir l’établissement des cadres de responsabilisation prévus au paragraphe 5 (3), notamment :

          (i)  prescrire le type de cadres de responsabilisation et leur contenu,

         (ii)  indiquer le moment auquel les cadres de responsabilisation doivent être élaborés et mis à jour,

        (iii)  prescrire les rôles et les responsabilités de particuliers déterminés au titre des cadres de responsabilisation,

        (iv)  exiger des documents au sujet de l’utilisation du système d’intelligence artificielle, y compris au sujet des différentes phases de son utilisation, de son rendement et de sa surveillance;

   e)  prescrire les étapes à suivre pour l’application du paragraphe 5 (4), y compris la présentation de rapports et la tenue de dossiers;

    f)  prescrire des exigences pour l’application du paragraphe 5 (5), ce qui peut comprendre d’exiger qu’un système d’intelligence artificielle ne soit utilisé qu’à certaines fins;

   g)  interdire, pour l’application du paragraphe 5 (6), l’utilisation d’un système d’intelligence artificielle;

   h)  prescrire des circonstances pour l’application du paragraphe 6 (2);

    i)  régir la divulgation de renseignements prévue à l’alinéa 6 (2) a), notamment :

          (i)  prescrire la manière dont les renseignements doivent être divulgués,

         (ii)  prescrire les renseignements qui doivent être divulgués,

        (iii)  prescrire les renseignements dont la divulgation n’est pas exigée,

        (iv)  indiquer le moment auquel les renseignements doivent être divulgués et mis à jour,

         (v)  dispenser des entités de l’exigence de divulguer des renseignements dans des circonstances particulières;

    j)  régir la réalisation de la surveillance pour l’application du sous-alinéa 6 (2) b) (i);

   k)  régir la fourniture de renseignements supplémentaires pour l’application du sous-alinéa 6 (2) b) (ii), ce qui peut comprendre d’exiger la fourniture de renseignements sur la façon de s’informer de l’utilisation du système d’intelligence artificielle.

Règlements du ministre : normes

8 Le ministre peut, par règlement, établir des normes techniques auxquelles les entités du secteur public prescrites par le ministre doivent se conformer dans le cadre de leur utilisation des systèmes d’intelligence artificielle.

Technologie numérique touchant les particuliers âgés de moins de 18 ans

Règlements pris par le lieutenant-gouverneur en conseil

9 Le lieutenant-gouverneur en conseil peut, par règlement, relativement aux sociétés d’aide à l’enfance et aux conseils scolaires prescrits :

   a)  exiger que l’information numérique prescrite concernant des particuliers âgés de moins de 18 ans qui est recueillie, utilisée, conservée ou divulguée le soit d’une manière prescrite;

   b)  exiger que des rapports soient présentés au ministre ou à un particulier déterminé relativement à la collecte, l’utilisation, la conservation et la divulgation de l’information visée à l’alinéa a);

   c)  interdire la collecte, l’utilisation, la conservation ou la divulgation de l’information numérique prescrite concernant des particuliers âgés de moins de 18 ans, ce qui peut comprendre une interdiction de telles activités dans des circonstances prescrites, à des fins prescrites ou sous réserve de conditions prescrites.

Règlements du ministre : normes

10 Le ministre peut, par règlement, établir des normes techniques auxquelles les sociétés d’aide à l’enfance et les conseils scolaires qu’il prescrit doivent se conformer concernant ce qui suit :

   a)  la collecte, l’utilisation, la conservation et la divulgation d’information numérique concernant des particuliers âgés de moins de 18 ans;

   b)  la technologie numérique mise à la disposition des particuliers âgés de moins de 18 ans.

Directives du ministre

11 (1)  Le ministre peut donner des directives aux sociétés d’aide à l’enfance et aux conseils scolaires relativement à la technologie numérique mise à la disposition des particuliers âgés de moins de 18 ans.

Idem

(2)  La directive donnée peut avoir une portée générale ou particulière et peut prévoir différentes catégories.

Statut

(3)  La partie III (Règlements) de la Loi de 2006 sur la législation ne s’applique pas à l’égard des directives.

Conformité

(4)  La société d’aide à l’enfance ou le conseil scolaire auquel une directive est donnée s’y conforme.

Dispositions générales

Aucune obligation de diligence de droit privé

12 La Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, la présente loi ou un règlement pris ou une directive donnée en vertu de la présente loi n’a pas pour effet de créer une obligation de diligence de droit privé envers quelque personne que ce soit.

Effet du défaut de se conformer

13 Le défaut de se conformer à la présente loi ou à tout règlement pris ou directive donnée en vertu de la présente loi n’a pas pour effet d’invalider quelque politique, loi, règlement, directive, acte ou décision que ce soit.

Incompatibilité : disposition générale

14 Les dispositions de toute autre loi ou règlement l’emportent sur les dispositions incompatibles de la présente loi ou des règlements pris ou des directives données en vertu de la présente loi.

Directives : incompatibilité

15 Les exigences énoncées dans une directive du Conseil de gestion du gouvernement l’emportent sur les exigences incompatibles énoncées dans une directive donnée en vertu de la présente loi.

Règlements : disposition générale

16 Le lieutenant-gouverneur en conseil peut, par règlement, prescrire toute question que la présente loi mentionne comme étant prescrite par les règlements ou régie autrement par ceux-ci, autre que les questions à l’égard desquelles le ministre est autorisé à prendre des règlements ou qui sont mentionnées comme étant prescrites par le ministre.

Entrée en vigueur et titre abrégé

Entrée en vigueur

17 La loi figurant à la présente annexe entre en vigueur le jour que le lieutenant-gouverneur fixe par proclamation.

Titre abrégé

18 Le titre abrégé de la loi figurant à la présente annexe est Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique.

ANNEXE 2
LOI SUR L’ACCÈS À L’INFORMATION ET LA PROTECTION DE LA VIE PRIVÉE

1 Le paragraphe 2 (1) de la Loi sur l’accès à l’information et la protection de la vie privée est modifié par adjonction de la définition suivante :

«pratiques relatives aux renseignements» Les pratiques et les procédures d’une institution concernant ses actes relatifs aux renseignements personnels, y compris :

   a)  le moment où l’institution recueille, utilise, modifie, divulgue, conserve ou élimine ces renseignements, la façon dont elle le fait et les fins auxquelles elle le fait;

   b)  les mesures de précaution d’ordre administratif, technique et matériel, ainsi que les pratiques que l’institution maintient à l’égard de la protection de ces renseignements. («information practices»)

2 (1)  La version française de l’alinéa 15 b) de la Loi est modifiée par remplacement de «des renseignements confidentiels confiés à une institution par un autre gouvernement ou par l’un de ses organismes» par «des renseignements qu’une institution a reçus à titre confidentiel d’un autre gouvernement ou de l’un de ses organismes» à la fin de l’alinéa.

(2)  La version française de l’alinéa 15 c) de la Loi est modifiée par remplacement de «des renseignements confidentiels confiés à une institution par une organisation internationale d’États ou l’une de leurs entités» par «des renseignements qu’une institution a reçus à titre confidentiel d’une organisation internationale d’États ou de l’une de ses entités» à la fin de l’alinéa.

3 (1)  Le paragraphe 34 (1) de la Loi est abrogé et remplacé par ce qui suit :

Rapport annuel de la personne responsable

(1)  La personne responsable présente au commissaire un rapport annuel à l’égard de l’année civile précédente conformément au présent article.

(2)  Le paragraphe 34 (2) de la Loi est modifié par adjonction de l’alinéa suivant :

c.1)  le nombre de vols, de pertes, ou d’utilisations ou de divulgations non autorisées de renseignements personnels consignés en application du paragraphe 40.1 (8);

(3)  L’article 34 de la Loi est modifié par adjonction du paragraphe suivant :

Forme du rapport et autre

(5)  Le rapport annuel est présenté au plus tard à la date que fixe le commissaire, le cas échéant, et rédigé selon la forme et de la manière qu’il indique.

4 (1)  Le paragraphe 38 (1) de la Loi est modifié par remplacement de «et à l’article 39» par «, à l’article 39 et au paragraphe 40 (5)».

(2)  L’article 38 de la Loi est modifié par adjonction des paragraphes suivants :

Évaluation de l’impact sur la vie privée

(3)  Sauf disposition contraire des règlements, avant de recueillir des renseignements personnels, la personne responsable d’une institution veille à ce que soit préparée une évaluation écrite qui contient les renseignements suivants concernant les renseignements personnels que l’institution a l’intention de recueillir :

   1.  Les fins prévues par la collecte, l’utilisation et la divulgation des renseignements personnels, selon le cas, et une explication de la raison pour laquelle les renseignements personnels sont nécessaires pour réaliser ces fins.

   2.  L’autorité légale invoquée pour la collecte, l’utilisation et la divulgation prévues des renseignements personnels.

   3.  Le genre de renseignements personnels visés par la collecte prévue et, pour chaque genre de renseignements personnels, une mention de la façon dont il est prévu de l’utiliser ou de le divulguer.

   4.  Les sources des renseignements personnels visés par la collecte prévue.

   5.  Le titre de poste des dirigeants, employés, experts-conseils ou mandataires de l’institution qui auront accès aux renseignements personnels.

   6.  Les limites ou restrictions auxquelles sont assujetties la collecte, l’utilisation ou la divulgation des renseignements personnels.

   7.  La durée pendant laquelle l’institution conserverait les renseignements personnels, conformément au paragraphe 40 (1).

   8.  Une explication des mesures de précaution d’ordre administratif, technique et matériel, ainsi que des pratiques qui seraient utilisées pour protéger les renseignements personnels conformément au paragraphe 40 (5) et un résumé des risques auxquels seraient exposés les particuliers en cas de vol ou de perte des renseignements personnels, ou de leur utilisation ou divulgation non autorisée.

   9.  Les mesures que l’institution doit prendre aux fins suivantes :

           i.  empêcher ou réduire la probabilité de vol ou de perte des renseignements personnels, ou de leur utilisation ou divulgation non autorisée,

          ii.  atténuer les risques encourus par les particuliers dans un tel cas.

10.  Tout autre renseignement prescrit.

Atténuation des risques

(4)  La personne responsable d’une institution veille à ce que les mesures visées à la disposition 9 du paragraphe (3) soient mise en œuvre :

   a)  avant de recueillir les renseignements personnels visés à ce paragraphe,

   b)  dans un délai raisonnable après avoir recueilli les renseignements personnels, s’il est impossible de mettre en œuvre les mesures avant de les recueillir.

Mise à jour obligatoire

(5)  Sauf disposition contraire des règlements, avant d’apporter toute modification importante aux fins auxquelles les renseignements personnels visés au paragraphe (3) sont utilisés ou divulgués, la personne responsable d’une institution fait ce qui suit :

   a)  elle met à jour l’évaluation préparée en application du paragraphe (3) pour tenir compte de la modification proposée et énoncer l’utilisation ou la divulgation prévue proposée;

   b)  elle met en œuvre les mesures supplémentaires déterminées en application de la disposition 9 du paragraphe (3).

Copie au commissaire

(6)  La personne responsable d’une institution doit, sur demande, donner accès au commissaire à une évaluation préparée en application du paragraphe (3) ou mise à jour en application du paragraphe (5), ou lui en remettre une copie.

5 L’article 40 de la Loi est modifié par adjonction du paragraphe suivant :

Mesures de précaution en matière de protection de la vie privée

(5)  La personne responsable d’une institution prend les mesures qui sont raisonnables dans les circonstances pour veiller à ce que les renseignements personnels dont l’institution a la garde ou le contrôle soient protégés contre le vol, la perte, et l’utilisation ou la divulgation non autorisée et pour veiller à ce que les documents dans lesquels sont consignés les renseignements personnels soient protégés contre la duplication, la modification ou l’élimination non autorisées.

6 La Loi est modifiée par adjonction de l’article suivant :

Non-respect des mesures de précaution en matière de protection de la vie privée

40.1  (1)  La personne responsable d’une institution fait rapport au commissaire de tout vol, toute perte, ou toute utilisation ou divulgation non autorisée de renseignements personnels dont l’institution a la garde ou le contrôle s’il est raisonnable dans les circonstances de croire qu’il existe un risque réel qu’un préjudice grave pour un particulier en résulterait ou s’il existe d’autres circonstances prescrites.

Exigences relatives au rapport

(2)  Le rapport visé au paragraphe (1) doit contenir les renseignements prescrits et être préparé, sous la forme et de la manière prescrites, dès que possible après que la personne responsable a conclu qu’il y a eu vol, perte, ou utilisation ou divulgation non autorisée.

Avis au particulier

(3)  Sauf interdiction contraire d’une règle de droit, la personne responsable d’une institution avise le particulier de tout vol, toute perte, ou toute utilisation ou divulgation non autorisée de ses renseignements personnels dont l’institution a la garde ou le contrôle s’il est raisonnable dans les circonstances de croire qu’il existe un risque réel de préjudice grave pour le particulier ou s’il existe d’autres circonstances prescrites.

Contenu de l’avis

(4)  L’avis visé au paragraphe (3) doit contenir un énoncé portant que le particulier a le droit de porter plainte devant le commissaire et contenir les autres renseignements prescrits. Il doit également être préparé, sous la forme et de la manière prescrites, dès que possible après que la personne responsable a conclu qu’il y a eu vol, perte, ou utilisation ou divulgation non autorisée de renseignements personnels.

Délai de dépôt des plaintes

(5)  Toute plainte visée au paragraphe (4) est faite par écrit et déposée auprès du commissaire au plus tard un an après que l’objet de la plainte a été porté pour la première fois à l’attention du plaignant ou après qu’il aurait dû raisonnablement être porté à son attention, selon le plus court de ces délais.

Prorogation du délai

(6)  Malgré le paragraphe (5), une plainte peut être déposée auprès du commissaire après le délai prévu à ce paragraphe si, selon le cas :

   a)  le commissaire est convaincu que l’importance de la question justifie la prorogation du délai et que celle-ci ne causerait aucun préjudice à quiconque;

   b)  le délai prévu au paragraphe (5) représente pour le plaignant un obstacle, au sens de la définition donnée à ce terme dans la Loi de 2005 sur l’accessibilité pour les personnes handicapées de l’Ontario, et le commissaire est convaincu que la prorogation du délai est raisonnablement nécessaire compte tenu des circonstances afin de répondre aux besoins du plaignant dans le but de porter plainte.

Risque réel de préjudice grave : facteurs

(7)  Les facteurs servant à établir si un vol, une perte, ou une utilisation ou une divulgation non autorisée de renseignements personnels présente un risque réel de préjudice grave pour un particulier sont, notamment :

   a)  la nature délicate des renseignements personnels;

   b)  la probabilité que les renseignements personnels aient été, sont ou seront mal utilisés;

   c)  la disponibilité des mesures que pourrait prendre le particulier à l’une ou l’autre des fins suivantes :

          (i)  réduire le risque qu’un préjudice se produise,

         (ii)  atténuer le préjudice s’il se produit;

   d)  toute directive, recommandation ou orientation fournie par le commissaire concernant ce qui constitue un risque réel de préjudice grave;

   e)  les autres facteurs prescrits.

Documents

(8)  La personne responsable d’une institution tient et conserve, conformément aux exigences prescrites, un document consignant tous les vols, toutes les pertes, ou toutes les utilisations ou divulgations non autorisées de renseignements personnels dont il est fait rapport en application du paragraphe (1).

Accès par le commissaire

(9)  Sur demande du commissaire, la personne responsable d’une institution lui donne accès au document ou lui en remet une copie.

Définition

(10)  La définition qui suit s’applique au présent article.

 «préjudice grave» S’entend notamment de la blessure corporelle, de l’humiliation, de l’atteinte à la réputation ou aux relations, de la perte de perspectives d’emploi, d’affaires ou professionnelles, de la perte financière, du vol d’identité, d’un effet négatif sur le dossier de crédit, et des dommages aux biens ou leur perte.

Règlements

(11)  Le lieutenant-gouverneur en conseil peut, par règlement, traiter de tout ce que le présent article mentionne comme étant prescrit.

7 La Loi est modifiée par adjonction de l’article suivant :

Examen par le commissaire des pratiques relatives aux renseignements

49.0.1  (1)  Le commissaire peut examiner les pratiques relatives aux renseignements d’une institution s’il a reçu une plainte aux termes du paragraphe 40.1 (4) ou qu’il a des motifs de croire qu’il n’est pas satisfait aux exigences de la présente partie.

Règlement à l’amiable des différends

(2)  Avant d’effectuer un examen, le commissaire peut tenter de résoudre la question par la médiation, la conciliation ou tout autre moyen de règlement à l’amiable des différends qu’il estime approprié.

Aucun examen

(3)  Le commissaire peut décider de ne pas effectuer un examen pour tout motif qu’il estime approprié, y compris s’il est convaincu que, selon le cas :

   a)  l’institution a répondu adéquatement à la plainte;

   b)  la plainte a été traitée ou pourrait l’être de façon plus appropriée, au début ou en totalité, au moyen d’une procédure, autre qu’une plainte portée en vertu de la présente loi;

   c)  il n’y a pas suffisamment d’éléments de preuve pour justifier un examen;

   d)  la plainte est futile, frivole ou vexatoire ou est portée de mauvaise foi;

   e)  l’objet de la plainte est déjà visé par un examen continu effectué en vertu du présent article;

    f)  l’objet de la plainte a déjà été visé par un examen effectué par le commissaire.

Déroulement de l’examen

(4)  Lorsqu’il effectue l’examen visé au paragraphe (1), le commissaire examine les pratiques relatives aux renseignements de l’institution pour établir ce qui suit :

   a)  si des renseignements personnels recueillis dans le cadre de la présente partie ont été recueillis, utilisés, modifiés, divulgués ou conservés sans autorisation, ou si on y a accédé sans autorisation;

   b)  s’il a été satisfait aux exigences que prévoit la présente partie, y compris à celles concernant l’avis, la conservation, la sécurisation et l’élimination en toute sûreté.

Obligation d’aider

(5)  La personne responsable et tous les dirigeants, employés, experts-conseils et mandataires d’une institution collaborent avec le commissaire et l’aident à effectuer l’examen, notamment en recourant à un dispositif ou système de stockage, de traitement ou de récupération des données pour produire sous une forme lisible les documents qu’il demande.

Pouvoirs du commissaire

(6)  Le commissaire peut exiger la production de renseignements et de documents qui se rapportent à l’objet de l’examen et qui sont sous la garde ou le contrôle d’une institution.

Ordonnances

(7)  Si, après avoir donné à la personne responsable de l’institution l’occasion d’être entendue, le commissaire établit qu’une pratique relative aux renseignements contrevient à la présente partie, il peut ordonner à la personne responsable de prendre l’une ou l’autre des mesures suivantes :

   1.  Cesser la pratique relative aux renseignements.

   2.  Modifier la pratique relative aux renseignements, selon les indications du commissaire.

   3.  Retourner, transférer ou détruire les renseignements personnels recueillis ou conservés dans le cadre de la pratique relative aux renseignements.

   4.  Mettre en œuvre une pratique relative aux renseignements différente, selon les indications du commissaire.

   5.  Faire une recommandation concernant la façon dont la pratique relative aux renseignements pourrait être améliorée.

Restriction applicable à certaines ordonnances

(8)  Le commissaire ne peut ordonner, en vertu du paragraphe (5), que soient prises des mesures allant au-delà de ce qui est raisonnablement nécessaire pour se conformer à la présente partie.

Procédures

(9)  La Loi sur l’exercice des compétences légales ne s’applique pas à un examen prévu au présent article.

8 Le paragraphe 50 (4) de la Loi est modifié par remplacement de «dans le cadre de l’article 49.12 ou à l’ordonnance rendue par le commissaire en vertu de cet article» par «dans le cadre de l’article 49.0.1 ou 49.12 ou à l’ordonnance rendue par le commissaire en vertu de l’un ou l’autre de ces articles».

9 Le paragraphe 55 (1) de la Loi est modifié par remplacement de «toute autre loi.» par «toute autre loi, sauf si la divulgation est permise à une fin prescrite.» à la fin du paragraphe.

10 La Loi est modifiée par adjonction de l’article suivant :

Dénonciation

57.1  (1)  Toute personne qui a des motifs raisonnables de croire qu’une institution, un service ministériel d’intégration des données visé à la partie III.1 ou un service multisectoriel d’intégration des données visé à la partie III.1 a contrevenu à la présente loi ou aux règlements, ou est sur le point de le faire, peut aviser le commissaire des détails relatifs à la question et demander que son identité demeure confidentielle relativement à cette dénonciation.

Caractère confidentiel

(2)  Le commissaire est tenu de garder confidentielle l’identité de la personne qui l’a avisé en vertu du paragraphe (1) et à laquelle il a donné l’assurance de l’anonymat.

11 Le paragraphe 58 (2) de la Loi est modifié par adjonction de l’alinéa suivant :

0.a)  le nombre de plaintes reçues par le commissaire à l’égard des pratiques relatives aux renseignements des institutions et le nombre d’examens effectués en vertu de l’article 49.0.1;

12 (1)  L’alinéa 59 b) de la Loi est abrogé.

(2)  L’article 59 de la Loi est modifié par adjonction des paragraphes suivants :

Consultations avec d’autres commissaires à la protection de la vie privée

(2)  Le commissaire peut, pour veiller à ce que les renseignements personnels soient protégés de la façon la plus uniforme possible, consulter un agent d’exécution de la loi ou toute personne ayant, en vertu d’une loi du Canada ou d’une autre province ou d’un territoire du Canada, des pouvoirs et fonctions semblables à ceux du commissaire en matière de protection de tels renseignements.

Accords ou arrangements

(3)  Le commissaire peut conclure des accords ou des arrangements avec les personnes visées au paragraphe (2) aux fins suivantes :

   a)  coordonner les activités de leurs bureaux et du bureau du commissaire, notamment prévoir des mécanismes pour traiter des plaintes dans lesquelles ils ont un intérêt mutuel;

   b)  effectuer des recherches ou élaborer des lignes directrices ou d’autres documents en matière de protection des renseignements personnels et publier ces lignes directrices ou autres documents ou les résultats de ces recherches;

   c)  élaborer des contrats ou autres documents types portant sur la protection des renseignements personnels recueillis, utilisés ou divulgués d’une province à l’autre ou d’un pays à l’autre;

   d)  élaborer la procédure à suivre pour la collecte et la divulgation des renseignements visée au paragraphe (4).

Collecte ou divulgation de renseignements

(4)  Le commissaire peut, conformément à toute procédure élaborée en vertu de l’alinéa (3) d), divulguer des renseignements, autres que ceux visés à l’article 12, 14 ou 19 de la Loi, à toute personne visée au paragraphe (2) du présent article, ou peut recueillir des renseignements auprès de cette personne, si les renseignements, selon le cas :

   a)  pourraient être utiles à un examen en cours ou éventuel sur une plainte, à une enquête ou une vérification en cours ou éventuelle sous le régime de la présente loi ou d’une loi du Canada ou d’une autre province ou d’un territoire du Canada, dont les objectifs sont semblables à ceux de la présente loi;

   b)  pourraient aider le commissaire ou la personne à exercer ses pouvoirs ou ses fonctions en matière de protection de renseignements personnels.

Fins d’utilisation et confidentialité

(5)  La procédure visée à l’alinéa (3) d) doit prévoir que les renseignements :

   a)  ne peuvent être utilisés qu’aux fins auxquelles ils ont été initialement divulgués;

   b)  seront traités de manière confidentielle et ne seront pas divulgués de nouveau à d’autres fins sans le consentement exprès du commissaire.

13 Le paragraphe 60 (1) de la Loi est modifié par adjonction des alinéas suivants :

c.1)  régir les évaluations visées à l’article 38, et notamment prescrire les renseignements à inclure dans une évaluation et prévoir les circonstances dans lesquelles il n’est pas exigé de préparer ou de mettre à jour une évaluation;

.     .     .     .     .

g.2)  prescrire les fins auxquelles la divulgation est permise en vertu du paragraphe 55 (1);

14 L’alinéa 61 (1) a) de la Loi est modifié par remplacement de «divulguer» par «recueillir, utiliser ou divulguer».

15 (1)  La définition de «renseignements liés au service à la clientèle» au paragraphe 65.1 (2) de la Loi est abrogée et remplacée par ce qui suit :

«renseignements liés au service à la clientèle» Relativement à un service, s’entend de ce qui suit :

   a)  le nom, le sexe, l’identité de genre, la langue préférée et la date de naissance du particulier à qui le service doit être fourni;

   b)  l’adresse, l’adresse électronique et le numéro de téléphone ou les autres coordonnées du particulier à qui le service doit être fourni et, s’il y a lieu, de la personne agissant pour son compte, ainsi que la mention des préférences en matière d’accessibilité ou de communication;

   c)  le numéro de transaction ou de récépissé, l’état de la commande, l’état d’expédition, le numéro d’identification du produit et la date d’expiration du produit fournis par l’organisation de prestation de services relativement à la demande de service, selon le cas;

   d)  les renseignements relatifs au versement des droits, le cas échéant;

   e)  les renseignements relatifs aux communications concernant la demande de service, qui ont eu lieu entre l’organisation de prestation de services et le particulier à qui le service doit être fourni et, s’il y a lieu, la personne agissant pour le compte de ce particulier;

    f)  les autres renseignements prescrits. («customer service information»)

(2)  L’article 65.1 de la Loi est modifié par adjonction du paragraphe suivant :

Utilisations additionnelles des renseignements liés au service à la clientèle

(4.1)  L’organisation de prestation de services qui recueille des renseignements liés au service à la clientèle en vertu du paragraphe (4) est autorisée à conserver et à utiliser ces renseignements, si le particulier concerné par les renseignements y consent, dans le but de fournir au particulier un service désigné.

(3)  L’alinéa 65.1 (9) a) de la Loi est modifié par remplacement de «l’alinéa d)» par «l’alinéa f)».

Entrée en vigueur

16 (1)  Sauf disposition contraire du présent article, la présente annexe entre en vigueur le jour où la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public reçoit la sanction royale.

(2)  Les articles 1 à 14 entrent en vigueur le jour que le lieutenant-gouverneur fixe par proclamation.