Le 4 décembre 2024, l'Assemblée législative de l'Alberta a adopté deux projets de loi qui abrogeront et remplaceront la loi provinciale actuelle intitulée Freedom of Information and Protection of Privacy Act (la « Loi FOIP »). Plus précisément, aux termes de ces projets de loi, la Loi FOIP fractionne en deux lois distinctes, soit la Protection of Privacy Act (la « Loi PPA ») portant sur la protection des renseignements personnels et l'Access to Information Act (la « Loi ATIA ») portant sur l'accès à l'information, lesquelles régiront ensemble l'utilisation des renseignements, notamment les renseignements personnels, au sein du secteur public de l'Alberta.

Il s'agit de la première réforme majeure de la législation de la province en matière de protection des renseignements personnels et d'accès à l'information en 30 ans. Celle-ci permet d'aligner davantage la législation en vigueur en Alberta relativement à la protection des renseignements personnels dans le secteur public sur les lois équivalentes dans d'autres ressorts, comme la Colombie-Britannique, l'Ontario et le Québec. Cette réforme prévoit également des modifications particulières au régime relatif à l'accès à l'information de la province afin de réduire le fardeau de telles demandes pour les organismes publics. Selon nous, le gouvernement de l'Alberta publiera des règlements à l'appui de la Loi PPA et de la Loi ATIA au printemps 2025 et les nouvelles lois seront sanctionnées peu après.

Mise à jour des obligations liées à la protection des renseignements personnels dans le secteur public albertain

Protection des renseignements personnels

Les principales obligations établies à l'heure actuelle dans la Loi FOIP concernant la protection des renseignements personnels recueillis, utilisés et communiqués par des organismes publics seront maintenues, mais elles seront désormais énoncées dans la Loi PPA.Il convient de noter, toutefois, que, contrairement à la Loi FOIP, la Loi PPA interdit expressément aux organismes publics de vendre des renseignements personnels en toute circonstance, y compris à des fins de marketing ou de publicité. Les organismes publics devront par ailleurs adopter une approche de « protection de la vie privée dès la conception » (privacy by design) (par exemple, en intégrant des mesures de protection des données directement dans les systèmes de technologie de l'information) au moment de créer des programmes et des services.

Du reste, les organismes publics devront aviser les Albertains s'ils ont l'intention d'utiliser des renseignements personnels dans un système automatisé pour générer du contenu, prendre des décisions ou encore faire des recommandations ou des prédictions. Bien que la Loi PPA ne mentionne pas le terme « intelligence artificielle » ni ne le définisse, cette nouvelle obligation vise à exiger des organismes publics qu'ils fassent preuve de transparence en ce qui a trait à la manière dont ils recourent à la prise de décision algorithmique, le cas échéant.

Signalement obligatoire des atteintes à la vie privée

À l'instar d'autres provinces ayant réformé leurs lois sur la protection des renseignements personnels dans le secteur public, la Loi PPA introduira des obligations relatives au signalement des atteintes à la vie privée pour les organismes publics en Alberta.

En cas de perte ou de communication non autorisée de renseignements personnels dont un organisme public a la garde ou le contrôle ou encore d'accès non autorisé à de tels renseignements qui, pour une personne raisonnable, entrainerait un risque réel de préjudice grave à l'endroit d'un particulier, l'organisme public sera tenu d'en aviser, dans un délai raisonnable, 1) le particulier touché; 2) le commissaire à l'information et à la protection de la vie privée de l'Alberta (le « Commissaire de l'Alberta »); et 3) le ministre responsable de la Loi PPA.

Cet avis devra en outre respecter les obligations énoncées dans les règlements (lesquels devraient être finalisés avant l'entrée en vigueur de la Loi PPA). Nous prévoyons que ces obligations seront semblables à celles qui s'appliquent dans d'autres ressorts et exigeront que les organismes publics touchés décrivent l'incident qui est survenu, les renseignements personnels touchés et les mesures prises pour réduire le risque de préjudice pour les personnes concernées.

Contrairement à la législation applicable dans d'autres ressorts, la Loi PPA n'établit pas le seuil permettant de déterminer l'existence d'un « risque réel de préjudice grave » aux fins du signalement obligatoire d'une atteinte à la vie privée. Il relèvera toutefois du ministre responsable de la Loi PPA de définir le « risque réel de préjudice grave » dans un règlement.

Programmes de gestion des renseignements personnels et évaluations des facteurs relatifs à la vie privée

Les organismes publics devront établir et mettre en Suvre un programme en matière de gestion des renseignements personnels, lequel comprendra des politiques et des procédures documentées visant à renforcer la conformité à la Loi PPA. Le programme élaboré par un organisme public devra être proportionnel à la quantité et à la sensibilité des renseignements personnels dont il a la gestion et respecter les obligations prévues par règlement.

De plus, les organismes publics devront effectuer des évaluations des facteurs relatifs à la vie privée dans certains cas et, si la réglementation les y oblige, soumettre celles-ci au Commissaire de l'Alberta. Ces évaluations devront servir à cerner, à examiner et à mettre au point des stratégies leur permettant de réduire les risques que leur posent la collecte, l'utilisation et la communication de renseignements personnels.

Nouvelles pénalités

La Loi PPA prévoit plusieurs nouvelles pénalités, notamment des pénalités en cas d'utilisation abusive de renseignements personnels par des employés d'organismes publics. D'ailleurs, l'amende imposée à un particulier passerait à 200 000 $ CA et, dans le cas de toute autre personne, à 1 M$ CA.

Exceptions concernant l'accès à l'information

La Loi ATIA élargit les exceptions prévues par la Loi FOIP concernant la communication de renseignements sous la garde ou le contrôle d'un organisme public et confère aux organismes publics de nouveaux pouvoirs importants pour gérer les demandes d'accès.

Refus des demandes d'accès

La Loi ATIA permettra notamment aux organismes publics de refuser les demandes d'accès à l'information qui :

nuisent de manière déraisonnable au déroulement de leurs activités;

sont soumises à répétition ou de manière systématique;

sont abusives, menaçantes, frivoles ou vexatoires;

se rapportent à des renseignements déjà fournis ou rendus publics;

ne sont pas suffisamment claires (même si le demandeur a fourni des renseignements supplémentaires); ou

sont floues ou incompréhensibles.

Un organisme public qui refuse une demande d'accès à l'information sera tenu d'en aviser le demandeur concerné dans les 30 jours suivant la réception de la demande en question. Il devra également informer le demandeur que ce dernier peut demander la révision de cette décision. Il s'agit d'un changement important par rapport aux dispositions actuelles de la Loi FOIP, en vertu de laquelle le Commissaire de l'Alberta dispose de très peu de souplesse pour autoriser un organisme public à refuser une demande d'accès à l'information.

Réduction de l'obligation de prêter assistance

La Loi ATIA limite par ailleurs l'étendue de l'information pouvant être fournie aux demandeurs, puisqu'elle oblige les organismes publics à accorder l'accès seulement s'il est possible de le faire au moyen du matériel informatique, des logiciels et de l'expertise technique dont dispose habituellement l'organisme public. Contrairement à ceux d'autres ressorts, les organismes publics de l'Alberta ne seront plus tenus de créer des documents contenant les renseignements fournis en réponse à une demande d'accès à l'information.

Prolongation des délais

Les délais prescrits pour répondre aux demandes d'accès à l'information seront légèrement prolongés par rapport à ce que prévoit la Loi FOIP. Les organismes publics disposeront désormais d'un délai de 30 jours ouvrables pour répondre à ces demandes.En excluant donc les samedis, les dimanches et les jours fériés, les organismes publics et les tiers consultés en lien avec des demandes d'accès à l'information auront plus de temps pour répondre à de telles demandes.

Les organismes publics pourront également prolonger le délai de réponse d'une « durée raisonnable supplémentaire » dans certains cas (notamment avec l'accord du demandeur, si une grande quantité de renseignements est demandée ou si un délai supplémentaire est nécessaire pour consulter un tiers ou un autre organisme public afin de déterminer s'il convient d'accorder l'accès aux renseignements demandés). En outre, la Loi ATIA permettra expressément la prolongation automatique des délais en cas d'urgence ou d'imprévus (que l'organisme public devrait déclarer au Commissaire de l'Alberta et au demandeur).

Exception élargie pour les documents émanant du Cabinet et du Conseil du Trésor

La Loi ATIA élargit l'exception relative à la communication du contenu des documents émanant du Cabinet pour englober les renseignements contextuels ou factuels ainsi que les conseils, les analyses, les recommandations, les projets réglementaires ou les projets de loi soumis ou préparés en vue de leur présentation au Cabinet. De plus, l'information émanant du Conseil du Trésor sera désormais protégée de la même façon que les renseignements confidentiels du Cabinet, ce qui signifie que presque toutes les communications entre le personnel politique et le Cabinet ou le Conseil du Trésor seront exclues de l'information pouvant être rendue publique.

