Vol. 150, no 8 — Le 20 avril 2016

Enregistrement

DORS/2016-62 Le 29 mars 2016

LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES

Décret d’exclusion visant des dépositaires de renseignements personnels sur la santé en Nouvelle-Écosse

C.P. 2016-161 Le 24 mars 2016

Attendu que le gouverneur en conseil est convaincu que la loi de la Nouvelle-Écosse intitulée Personal Health Information Act, SNS 2010, ch. 41, qui est essentiellement similaire à la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (voir référence a), s’applique aux dépositaires de renseignements personnels sur la santé visés dans le décret ci-après,

À ces causes, sur recommandation du ministre de l’Industrie et en vertu de l’alinéa 26(2)b) de la Loi sur la protection des renseignements personnels et les documents électroniques a, Son Excellence le Gouverneur général en conseil prend le Décret d’exclusion visant des dépositaires de renseignements personnels sur la santé en Nouvelle-Écosse, ci-après.

Décret d’exclusion visant des dépositaires de renseignements personnels sur la santé en Nouvelle-Écosse

Exclusion

1 Tout dépositaire de renseignements personnels sur la santé qui est assujetti à la loi de la Nouvelle-Écosse intitulée Personal Health Information Act, SNS 2010, ch. 41, est exclu de l’application de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels sur la santé qui s’effectuent en Nouvelle-Écosse.

Entrée en vigueur

2 Le présent décret entre en vigueur à la date de son enregistrement.

RÉSUMÉ DE L’ÉTUDE D’IMPACT DE LA RÉGLEMENTATION

(Ce résumé ne fait pas partie du Décret.)

Enjeux

Le décret proposé précisera que la Personal Health Information Act (PHIA) de la Nouvelle-Écosse est essentiellement similaire à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral.

Contexte

La partie 1 de la LPRPDE établit les règles qui régissent la collecte, l’utilisation et la communication de renseignements personnels par des organisations au cours d’une activité commerciale. Le 1er janvier 2004, la portée de la LPRPDE a été étendue à toutes les collectes, les utilisations et les communications de renseignements personnels effectuées au cours d’une activité commerciale, à l’intérieur ou à l’extérieur d’une province. En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, s’il est convaincu qu’une loi provinciale essentiellement similaire à cette loi s’applique à une organisation, à une catégorie d’organisations, à une activité ou à une catégorie d’activités, exclure l’organisation, l’activité ou la catégorie en question de l’application de la LPRPDE à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels qui s’effectuent à l’intérieur de la province.

La PHIA est entrée en vigueur en Nouvelle-Écosse le 1er juin 2013. La province a demandé au ministre de l’Industrie de reconnaître le caractère essentiellement similaire de cette loi à la LPRPDE.

Objectifs

Le Décret a pour objectif d’exempter de l’application de la partie 1 de la LPRPDE tous les dépositaires de renseignements personnels sur la santé à qui s’applique la PHIA, à l’égard de la collecte, de l’utilisation et de la communication de renseignements qui s’effectuent à l’intérieur de la province de la Nouvelle-Écosse au cours d’une activité commerciale. Plus précisément, les objectifs visés sont :

Le Décret précisera que les dépositaires de renseignements personnels sur la santé en Nouvelle-Écosse répondent aux mêmes normes que ceux des autres provinces et qu’il y a égalité en matière de protection des renseignements personnels. Les autres provinces qui, par décret, ont des lois apportant une protection essentiellement similaire sont la Colombie-Britannique, l’Alberta, l’Ontario, le Québec, le Nouveau-Brunswick ainsi que Terre-Neuve-et-Labrador.

Description

La LPRPDE établit un ensemble de règles et de principes généraux visant à protéger les renseignements personnels recueillis, utilisés ou communiqués au cours d’une activité commerciale. La LPRPDE contribue à créer un climat de confiance sur le marché canadien, tout en encourageant les provinces et les territoires à élaborer des lois provinciales ou territoriales en matière de protection de la vie privée qui tiennent compte de leurs circonstances et de leurs besoins particuliers. À cette fin, le gouvernement du Canada a prévu dans la LPRPDE des dispositions visant à exempter les organisations ou activités assujetties aux lois provinciales ou territoriales réputées être essentiellement similaires à la loi fédérale. Jusqu’à ce que cette exemption soit accordée, la LPRPDE s’applique dans chaque province ou territoire.

En août 2002, Industrie Canada a publié la politique et les critères utilisés pour déterminer si une loi provinciale ou territoriale peut être considérée ou non comme étant essentiellement similaire à la LPRPDE. Cette loi constitue la norme à partir de laquelle les provinces peuvent légiférer. Conformément à la politique, sont essentiellement similaires les lois qui :

Consultation

Les gouvernements provinciaux et territoriaux, ainsi que le grand public, le secteur des soins de santé et le milieu des affaires, savent depuis longtemps que le gouvernement fédéral s’est engagé à exempter de la LPRPDE les organisations assujetties à des lois provinciales ou territoriales essentiellement similaires à cette loi. La LPRPDE existe depuis 2000. Le Québec (2003), l’Alberta et la Colombie-Britannique (2004), l’Ontario et le Nouveau-Brunswick (2005 et 2011, seulement pour les dépositaires de renseignements sur la santé) ainsi que Terre-Neuve-et-Labrador (2012, seulement pour les dépositaires de renseignements sur la santé) se sont vus accorder des exemptions. Industrie Canada en a aussi informé le grand public en publiant, dans la Partie I de la Gazette du Canada du 3 août 2002, la politique et les critères utilisés pour déterminer si une loi provinciale ou territoriale peut être considérée ou non comme étant essentiellement similaire.

La procédure courante d’évaluation des demandes de reconnaissance de la valeur de la loi provinciale sur la protection des renseignements personnels consiste à consulter le Commissariat à la protection de la vie privée (CPV). Le CPV a été consulté aux fins de cette évaluation et il estime que la PHIA de la Nouvelle-Écosse est essentiellement similaire à la LPRPDE.

Règle du « un pour un »

La règle du « un pour un » ne s’applique pas du fait qu’il n’y a aucun changement des coûts administratifs pour les entreprises.

Lentille des petites entreprises

La lentille des petites entreprises ne s’applique pas, étant donné que le Décret s’applique aux gouvernements provinciaux.

Justification

Reconnaissant les lois provinciales comme essentiellement similaires, la LPRPDE établit une norme commune pour la protection de la vie privée applicable à la fois aux domaines fédéraux et aux domaines provinciaux. Lorsque les régimes fédéral, provinciaux ou territoriaux de protection des renseignements personnels sont harmonisés, les organisations peuvent être assujetties à un ensemble unique de règles sur tout le marché canadien. Un tel régime garantit aussi aux particuliers que, peu importe l’endroit où ils se trouvent au pays, leurs renseignements personnels se verront accorder le même niveau de protection.

La LPRPDE continuera de s’appliquer à la collecte, à l’utilisation et à la communication de renseignements personnels sur la santé à l’extérieur de la province, au cours d’une activité commerciale. Elle s’appliquera aussi aux renseignements personnels sur la santé recueillis, utilisés ou communiqués par des non-dépositaires, ainsi qu’aux mandataires des dépositaires des renseignements sur la santé, les entreprises fédérales, y compris les renseignements personnels au sujet de leurs employés, visés par l’article 52 de la PHIA.

Mise en œuvre, application et normes de service

En tant qu’agent indépendant du Parlement, travaillant indépendamment du gouvernement, le commissaire à la protection de la vie privée examine les plaintes déposées par des particuliers concernant des pratiques de traitement des renseignements ou des organisations engagées dans une activité commerciale. Le commissaire peut étudier toutes les plaintes en vertu de l’article 12 de la LPRPDE, sauf dans les provinces qui ont adopté des lois essentiellement similaires à la loi fédérale, soit le Québec, la Colombie-Britannique et l’Alberta. L’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador se classent également dans cette catégorie en ce qui concerne les renseignements personnels sur la santé détenus par des dépositaires des renseignements sur la santé en vertu de leurs lois sur la protection des renseignements personnels sur la santé. Cependant, la LPRPDE continue de s’appliquer aux renseignements personnels recueillis, utilisés ou communiqués par les entreprises fédérales, y compris les renseignements personnels au sujet de leurs employés. En outre, la LPRPDE s’applique toujours à toutes les données personnelles qui circulent d’une province ou d’un pays à l’autre, dans le cadre de transactions commerciales entre des organisations assujetties à cette loi ou à une loi provinciale essentiellement similaire. Le commissaire à la protection de la vie privée examine aussi les plaintes à l’égard de ces applications de la LPRPDE.

Le commissaire tente avant tout de régler les plaintes par le biais de la négociation et de la discussion, en utilisant la médiation et la conciliation, le cas échéant. Lorsqu’il mène une enquête, le commissaire a le pouvoir de convoquer des témoins, de faire prêter serment et d’exiger la production d’éléments de preuve. Le commissaire ou un plaignant peut saisir la Cour fédérale de toute question liée à une plainte, la Cour ayant le pouvoir d’ordonner à une organisation de changer ses pratiques et d’accorder des dommages-intérêts à la partie lésée.

Personne-ressource

John Clare
Directeur
Politique sur la vie privée et la protection des données
Direction générale des politiques numériques
Spectre, technologies de l’information et télécommunications
Industrie Canada
235, rue Queen, 1er étage
Ottawa (Ontario)
K1A 0H5
Téléphone : 343-291-3796
Télécopieur : 343-291-3802
Courriel : john.clare@canada.ca