L’Ontario devient la toute dernière province à mettre à jour sa législation en matière de protection de la vie privée et d’accès à l’information dans le secteur public. Le projet de loi 97, Loi de 2026 sur le plan pour protéger l'Ontario (mesures budgétaires) (le « projet de loi 97 »), qui a reçu la sanction royale le 24 avril 2026, vient entre autres modifier la Loi sur l’accès à l’information et la protection de la vie privée (la « LAIPVP ») et la Loi sur l’accès à l’information municipale et la protection de la vie privée (la « LAIMPVP ») de l’Ontario. Dans ce bulletin, nous mettons en évidence certaines des modifications les plus susceptibles d’entrainer des conséquences pour les entreprises qui traitent avec des institutions du secteur public en Ontario.
Loi sur l’accès à l’information et la protection de la vie privée
Délai de réponse aux demandes d’accès
Les modifications apportées à la LAIPVP introduisent une procédure selon laquelle, dans certains cas, l’accès à des documents peut être donné de façon échelonnée à l’auteur d’une demande. Les institutions peuvent utiliser cette nouvelle procédure dans les cas suivants :
a) le temps nécessaire à la recherche des documents pertinents aurait pour effet d’entraver abusivement les fonctions habituelles des employés de l’institution;
b) la portée de la demande est trop vaste en raison de la période qu’elle couvre;
c) la préparation des documents pertinents aurait pour effet d’entraver abusivement les activités normales de l’institution;
d) l’auteur de la demande a présenté d’autres demandes à l’institution, et l’ensemble de ces demandes auraient pour effet d’entraver abusivement les activités normales de l’institution.
Par ailleurs, le délai pour répondre à une demande d’accès passe de 30 jours à 45 jours ouvrables (un jour ouvrable étant défini comme un jour qui n’est ni un samedi, ni un jour férié). Les institutions peuvent bénéficier d’une « deuxième prorogation de délai » pour répondre à une demande d’accès dans les circonstances suivantes : a) l’auteur de la demande consent à la prorogation; b) le nombre de documents considérés comme étant pertinents en réponse à la demande est bien supérieur au nombre de documents initialement désignés; ou c) lorsque les employés qui connaissent bien l’objet de la demande ne sont pas en mesure d’aider à répondre à cette dernière ou des consultations supplémentaires s’avèrent nécessaires afin de répondre à la demande. La LAIPVP prévoit désormais expressément que la demande d’accès d’une personne doit être conforme aux exigences de la loi pour faire courir le délai de réponse de l’institution. Ces modifications permettent de mieux aligner la LAIPVP sur la façon dont de nombreuses institutions provinciales fonctionnent réellement pour répondre aux demandes et témoignent d’un système d’accès à l’information surchargé.
Il convient de noter qu’aucune modification apportée à la LAIPVP ne touche l’exception qui y est prévue relativement aux secrets industriels ou aux renseignements confidentiels de tiers, ni à la procédure de consultation liée à l’application de l’exception visant les tiers.
Création de normes relatives aux données
Les modifications apportées à la LAIPVP exigent du directeur du numérique et des données qu’il établisse des normes relatives aux données pour ce qui est de recueillir, d’utiliser et de divulguer des renseignements personnels; d’établir des liens entre les renseignements personnels et de les anonymiser; de conserver des renseignements personnels ou de les éliminer; et de rendre public un rapport sur l’utilisation des renseignements personnels. Ces normes doivent être publiées par le directeur du numérique et des données et mises à la disposition du public sur un site Web du gouvernement de l’Ontario.
Documents exclus
La LAIPVP indique désormais de façon expresse qu’elle ne s’applique pas aux documents qui sont sous la garde ou le contrôle d’un ministre de la Couronne ou de son cabinet, sauf si le document est sous la garde de l’institution dont le ministre est la personne responsable.
En outre, la LAIPVP ne s’applique pas à certains documents préparés et recueillis sous le régime de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique (la « LRSCN »), notamment aux documents contenant le nom des employés qui sont responsables d’assurer la cybersécurité au sein de chaque entité du secteur public; aux évaluations qui concernent la cybersécurité; aux documents contenant le nom des applications logicielles que les conseils scolaires ont achetées ou autrement acquises, dont un tiers est le propriétaire ou l’exploitant et qui sont autorisées à avoir accès aux renseignements personnels d’élèves; ainsi qu’aux autres documents dont il est raisonnable de s’attendre à ce que leur divulgation ait pour effet de compromettre la cybersécurité d’une institution.
Loi sur l’accès à l’information municipale et la protection de la vie privée
Les modifications apportées à la LAIMPVP aux termes du projet de loi 97 sont similaires à celles apportées à la LAIPVP, en particulier en ce qui concerne la procédure d’accès de façon échelonnée, la prorogation du délai de réponse aux demandes et la non-application de la LAIMPVP aux documents préparés ou recueillis en vertu de la LRSCN.
Or, la LAIMPVP impose désormais de nouvelles obligations aux institutions qui y sont assujetties quant à leurs pratiques en matière de traitement des renseignements personnels. Ces nouvelles obligations harmonisent davantage la LAIMPVP et les modifications apportées à LAIPVP par le projet de loi 194. Pour savoir plus sur ce projet de loi, consultez notre Bulletin Blakes intitulé Projet de loi 194 de l’Ontario : Réforme de la LAIPVP et nouvelles exigences de signalement des atteintes à la vie privée.
Évaluation de l’impact sur la vie privée
La LAIMPVP exige désormais des institutions qu’elles réalisent des évaluations de l’impact sur la vie privée avant de recueillir des renseignements personnels. Ces évaluations doivent tenir compte d’exigences prescrites, telles que les fins prévues par la collecte, l’utilisation et la divulgation des renseignements personnels, une explication des mesures de précaution utilisées pour protéger les renseignements personnels, de même qu’une explication des mesures prises par l’institution pour empêcher le vol ou la perte des renseignements personnels ou leur utilisation ou divulgation non autorisée ou en réduire la probabilité. En cas de changements à ce qui précède, les évaluations doivent être mises à jour.
Pratiques en matière de sécurité de l’information
Les institutions assujetties à la LAIMPVP doivent prendre des mesures raisonnables dans les circonstances pour assurer la protection des renseignements personnels dont elles ont la garde ou le contrôle. Le commissaire à l’information et à la protection de la vie privée de l’Ontario (le « commissaire ») est habilité à examiner les pratiques d’une institution en matière de sécurité de l’information.
Avis obligatoire en cas de non-respect
En outre, la LAIMPVP prévoit désormais des obligations de signalement en cas de non-respect. Les institutions assujetties à la LAIMPVP sont tenues d’aviser le commissaire et les personnes concernées de tout vol, de toute perte, ou de toute utilisation ou divulgation non autorisée de renseignements personnels dont elles ont la garde ou le contrôle, lorsqu’il est raisonnable de croire, dans les circonstances, qu’il existe un risque réel de préjudice grave. La LAIMPVP établit les facteurs à prendre en considération dans le cadre de l’analyse du risque réel de préjudice grave, lesquels comprennent la nature délicate des renseignements personnels; la probabilité que les renseignements personnels aient été, sont ou seront mal utilisés; la disponibilité des mesures que pourrait prendre le particulier aux fins de réduire le risque qu’un préjudice se produise ou d’atténuer le préjudice s’il se produit; et toute directive, recommandation ou orientation fournie par le commissaire concernant ce qui constitue un risque réel de préjudice grave. Les institutions assujetties à la LAIMPVP doivent consigner dans un document tous les cas de non-respect dont il est fait rapport.
Pour en savoir davantage, communiquez avec l’une des auteures du présent bulletin ou un autre membre de notre groupe Protection de la vie privée et des données.
