Vol. 146, no 21 — Le 10 octobre 2012
Enregistrement
TR/2012-72 Le 10 octobre 2012
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES
Décret d’exclusion visant des dépositaires de renseignements personnels sur la santé à Terre-Neuve-et-Labrador
C.P. 2012-1091 Le 20 septembre 2012
Attendu que le gouverneur en conseil est convaincu que la loi de Terre-Neuve-et-Labrador intitulée Personal Health Information Act, SNL 2008, ch. P-7.01, qui est essentiellement similaire à la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (voir référence a), s’applique aux dépositaires de renseignements personnels sur la santé visés dans le décret ci-après,
À ces causes, sur recommandation du ministre de l’Industrie et en vertu de l’alinéa 26(2)b) de la Loi sur la protection des renseignements personnels et les documents électroniques (voir référence b), Son Excellence le Gouverneur général en conseil prend le Décret d’exclusion visant des dépositaires de renseignements personnels sur la santé à Terre-Neuve-et-Labrador, ci-après.
DÉCRET D’EXCLUSION VISANT DES DÉPOSITAIRES DE RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ À TERRE-NEUVE-ET-LABRADOR
EXCLUSION
1. Tout dépositaire de renseignements personnels sur la santé qui est assujetti à la loi intitulée Personal Health Information Act, SNL 2008, ch. P-7.01, est exclu de l’application de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels sur la santé qui s’effectuent à Terre-Neuve-et-Labrador.
ENTRÉE EN VIGUEUR
2. Le présent décret entre en vigueur à la date de son enregistrement.
RÉSUMÉ DE L’ÉTUDE D’IMPACT DE LA RÉGLEMENTATION
(Ce résumé ne fait pas partie du Décret.)
Question et objectifs
La partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral établit les règles qui régissent la collecte, l’utilisation et la communication de renseignements personnels par des organisations dans le cadre d’une activité commerciale. Le 1er janvier 2004, la portée de la LPRPDE a été étendue à toutes les collectes, utilisations et communications de renseignements personnels au cours d’une activité commerciale, à l’intérieur ou à l’extérieur d’une province. En vertu de l’alinéa 26(2)b), le gouverneur en conseil peut, par décret, s’il est convaincu qu’une loi provinciale qui est essentiellement similaire à la LPRPDE s’applique à une organisation, à une catégorie d’organisations, à une activité ou à une catégorie d’activités, exclure l’organisation, l’activité ou la catégorie de l’application de la LPRPDE à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels à l’intérieur de la province.
Le 15 février 2010, la province a demandé au ministre de l’Industrie de reconnaître que la Personal Health Information Act (PHIA) de Terre-Neuve-et-Labrador est essentiellement similaire à la LPRPDE. Le processus réglementaire visant à obtenir un décret, quelle que soit la province, ne peut être entamé avant que la loi provinciale n’entre en vigueur. La PHIA est récemment entrée en vigueur à Terre-Neuve-et-Labrador, soit le 1er avril 2011 (voir référence 1).
Les dépositaires de renseignements personnels sur la santé assujettis à la PHIA de Terre-Neuve-et-Labrador recueillent, utilisent et communiquent ces renseignements aux fins de prestation ou d’administration des soins de santé dans la province [PHIA, alinéa 4(1)c)]. Les dépositaires comprennent les organismes publics, les fournisseurs de soins de santé, les organismes gouvernementaux (par exemple le Centre des renseignements de santé), le Conseil de Terre-Neuve-et-Labrador en matière de santé, des personnes qui exploitent des établissements de santé, des pharmacies, des services ambulanciers ou des centres, des programmes ou des services communautaires ou de santé mentale qui offrent des soins de santé par l’intermédiaire d’un professionnel de la santé ou d’un fournisseur de soins de santé.
L’objectif de ce décret était de reconnaître que la PHIA de Terre-Neuve-et-Labrador est essentiellement similaire à la LPRPDE et d’établir une norme commune pour la protection de la vie privée applicable à la fois aux domaines fédéraux et aux domaines provinciaux. Lorsque les régimes fédéral, provinciaux ou territoriaux de protection des renseignements personnels sont harmonisés, les organisations peuvent être assujetties à un ensemble unique de règles sur tout le marché canadien. Un tel régime garantit aussi aux particuliers que, peu importe l’endroit où ils se trouvent au pays, leurs renseignements personnels se verront accorder le même niveau de protection.
Description et justification
Le décret proposé précisait que la PHIA de Terre-Neuve-et-Labrador est essentiellement similaire à la LPRPDE. Plus particulièrement, il exempterait de l’application de la partie 1 de la LPRPDE tous les dépositaires de renseignements personnels sur la santé à qui s’applique la PHIA, à l’égard de la collecte, de l’utilisation et de la communication de renseignements qui survient au sein de la province de Terre-Neuve-et-Labrador au cours d’une activité commerciale.
La LPRPDE continuera de s’appliquer à la collecte, à l’utilisation et à la communication de renseignements personnels sur la santé à l’extérieur de la province au cours d’une activité commerciale. Elle s’appliquera aussi aux renseignements personnels sur la santé recueillis, utilisés ou communiqués par des non-dépositaires. Les mandataires des dépositaires des renseignements sur la santé, qui sont visés par l’article 52 de la PHIA, bénéficieront aussi de l’exemption.
La LPRPDE établit un ensemble de principes et de règles applicables à l’échelle de l’économie et visant à protéger les renseignements personnels recueillis, utilisés ou communiqués au cours d’une activité commerciale. La LPRPDE contribue à créer un climat de confiance sur le marché canadien, tout en encourageant les provinces et les territoires à élaborer des lois en matière de protection de la vie privée qui tiennent compte de leurs circonstances et de leurs besoins particuliers. À cette fin, le gouvernement du Canada a prévu dans la LPRPDE des dispositions visant à exempter les organisations ou activités assujetties aux lois provinciales ou territoriales reconnues comme étant essentiellement similaires à la loi fédérale. Jusqu’à ce que cette exemption soit accordée, la LPRPDE s’applique dans les provinces et les territoires.
En août 2002 (voir référence 2), Industrie Canada a publié la politique et les critères utilisés pour déterminer si une loi provinciale ou territoriale sera considérée comme essentiellement similaire. La LPRPDE constitue la norme à partir de laquelle les provinces peuvent légiférer. En vertu de la politique, sont essentiellement similaires les lois qui :
- fournissent un mécanisme de protection des renseignements personnels conforme et équivalent à celui de la LPRPDE;
- intègrent les 10 principes dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN\CSA-Q830-96, figurant dans l’annexe 1 de la LPRPDE;
- prévoient un mécanisme indépendant et efficace de surveillance et de recours ainsi que des pouvoirs d’enquête;
- restreignent la collecte, l’utilisation et la communication de renseignements personnels à des fins appropriées et légitimes.
La PHIA de Terre-Neuve-et-Labrador a été évaluée en fonction de ces critères et a été considérée comme essentiellement similaire à la LPRPDE.
Consultation
Les gouvernements provinciaux et territoriaux, ainsi que le grand public, le secteur des soins de santé et le milieu des affaires, connaissent depuis longtemps l’engagement du gouvernement fédéral d’exempter de la LPRPDE les organisations assujetties aux lois provinciales/territoriales reconnues comme étant essentiellement similaires à la loi fédérale. En effet, la LPRPDE est en place depuis 2000. Des exemptions ont été accordées au Québec (2000), à l’Alberta (2004), à la Colombie-Britannique (2004), à l’Ontario (2005, pour les dépositaires de renseignements sur la santé) et au Nouveau-Brunswick (2011, pour les dépositaires de renseignements sur la santé). Industrie Canada a aussi fourni des renseignements au grand public lorsqu’il a publié la politique et les critères pour déterminer si les lois provinciales ou territoriales sont essentiellement similaires, dans la Partie Ⅰ de la Gazette du Canada le 3 août 2002 (voir référence 3).
Le décret proposé établissant que la PHIA est essentiellement similaire à la LPRPDE a été publié au préalable dans la Partie Ⅰ de la Gazette du Canada le 24 mars 2012 pendant une période de 30 jours à des fins de consultation. Aucun commentaire n’a été reçu au cours de cette période.
Mise en œuvre, application et normes de service
En tant qu’agent indépendant du Parlement, travaillant indépendamment du gouvernement, le commissaire à la protection de la vie privée du Canada examine les plaintes déposées par des particuliers et portant sur les pratiques de traitement des renseignements ou les organisations engagées dans une activité commerciale. Le commissaire peut examiner toutes les plaintes déposées en vertu de l’article 12 de la LPRPDE, sauf celles relatives aux organismes qui ont adopté des lois en matière de protection de la vie privée qui ont été jugées essentiellement similaires à la loi fédérale, soit le Québec, la Colombie-Britannique, l’Alberta, l’Ontario et le Nouveau-Brunswick. L’Ontario et le Nouveau-Brunswick se classent dans cette catégorie en ce qui concerne les renseignements personnels sur la santé détenus par des dépositaires de renseignements sur la santé en vertu du régime de leur loi respective sur la protection des renseignements personnels applicables au secteur de la santé. Cependant, la LPRPDE continue de s’appliquer à tous les renseignements personnels recueillis, utilisés ou communiqués par toutes les entreprises fédérales, y compris les renseignements personnels au sujet de leurs employés. En outre, la LPRPDE s’applique toujours à la collecte, à l’utilisation et à la communication des données personnelles qui circulent d’une province ou d’un pays à l’autre, dans le cadre d’activités commerciales auxquelles participent des organisations assujetties à la LPRPDE ou à des lois provinciales essentiellement similaires. Le commissaire à la protection de la vie privée examine aussi les plaintes à l’égard de ces applications de la LPRPDE.
Le commissaire tente avant tout de régler les plaintes au moyen de négociations et de discussions persuasives, en utilisant la médiation et la conciliation s’il y a lieu. Lorsqu’il mène une enquête, le commissaire a le pouvoir de convoquer des témoins, de faire prêter serment et d’exiger la production d’éléments de preuve. Le commissaire ou un plaignant peut saisir la Cour fédérale de toute question liée à une plainte, la Cour ayant le pouvoir d’ordonner à une organisation de changer ses pratiques et d’accorder des dommages-intérêts à la partie lésée.
Personne-ressource
Bruce Wallace
Directeur
Politiques sur la sécurité et la protection des renseignements personnels
Direction générale de la politique sur les technologies numériques
Industrie Canada
300, rue Slater, 18e étage
Ottawa (Ontario)
K1A 0C8
Téléphone : 613-949-4759
Télécopieur : 613-941-1164
Courriel : Bruce.Wallace@ic.gc.ca
Référence a
L.C. 2000, ch. 5
Référence b
L.C. 2000, ch. 5
Référence 1
http://assembly.nl.ca/Legislation/sr/statutes/p07-01.htm (en anglais seulement)
Référence 2
www.gazette.gc.ca/rp-pr/p1/2002/2002-08-03/html/notice-avis-fra.html
Référence 3
Ibid.