Le mois de juin 2025 marque un tournant majeur dans la législation de l’Alberta en matière de protection de la vie privée dans le secteur public. En effet, la Freedom of Information and Protection of Privacy Act (la « loi FOIP ») (laloi sur l’accès à l’information et la protection de la vie privée dans cette province) a été officiellement abrogée et remplacée par deux nouvelles lois : la Access to Information Act (la « loi ATIA ») et la Protection of Privacy Act (la « loi POPA »). Depuis le 11 juin 2025, date de l’entrée en vigueur de ces deux lois, les organismes publics de l’Alberta doivent composer avec un nouveau cadre réglementaire nettement plus exigeant.

Dans cet article, nous mettons en lumière les principales modifications apportées à la législation de l’Alberta et présentons des recommandations aux organismes publics concernés.

Deux nouvelles lois, une réforme en profondeur

En Alberta, l’adoption des lois ATIA et POPA en remplacement de la loi FOIP a pour objectif de renforcer la clarté en faisant explicitement la distinction entre les droits d’accès à l’information et les obligations en matière de protection de la vie privée. Ces deux lois comportent des règlements détaillés, de nouvelles définitions, des pouvoirs élargis et des obligations de conformité assorties d’un délai de prescription.

Les dispositions transitoires de ces deux lois permettent la continuité du traitement des demandes d’accès à l’information et des demandes d’examen transmises avant le 11 juin 2025. Les nouvelles dispositions de ces lois ne s’appliquent qu’aux événements et aux demandes survenant après cette date.

Principales modifications apportées à la loi ATIA

  • Nouveau pouvoir de refuser les demandes d’accès : les organismes publics disposent désormais d’un plus grand pouvoir discrétionnaire et d’un contrôle accru pour refuser les demandes d’accès sans l’accord préalable du commissaire si la demande est redondante, trop vague ou incompréhensible. Toutefois, les motifs du refus doivent être communiqués au demandeur, qui conserve le droit de demander un réexamen, et les demandeurs doivent être informés de ce droit.
  • Renforcement de l’obligation d’assistance : les organismes publics ont le devoir d’aider activement les demandeurs à restreindre ou à clarifier leurs demandes. Il est important de noter que cette obligation est désormais encadrée par la réglementation, qui définit clairement les attentes relatives à l’interaction entre les organismes publics et les demandeurs, ainsi que les facteurs à prendre en considération pour évaluer si tous les efforts raisonnables visant à aider ont été déployés. De plus, les organismes publics doivent maintenir à jour des registres dans lesquels seront documentées les décisions et les mesures prises concernant chaque demande d’accès à de l’information, y compris les communications avec les demandeurs.
  • Enquêtes en milieu de travail : une nouvelle exemption en matière de divulgation protège l’intégrité des enquêtes en milieu de travail ainsi que la vie privée des témoins et des tiers.
  • Refonte complète des procédures d’examen par le commissaire : le commissaire peut désormais refuser de donner suite à une demande d’accès à l’information dans certaines conditions et des délais sont imposés pour fournir les index et les pièces justificatives. Les demandes présentées par des tiers feront directement l’objet d’un examen et toute demande d’examen de la décision d’un organisme public de prolonger son délai de réponse ou de refuser ou d’abandonner une demande peut faire l’objet d’un examen accéléré. Pour de plus amples informations à ce sujet, consultez le site web de l’OIPC, le Commissariat à l’information et à la protection de la vie privée de l’Alberta.
  • Augmentation des pénalités : le seuil d’infraction a été abaissé de « délibérément » à « sciemment » et les amendes maximales sont passées de 10 000 $ à 50 000 $.

Principales modifications prévues dans la loi POPA

Les modifications apportées à la loi POPAprévoient un cadre de protection de la vie privée beaucoup plus rigoureux et tourné vers le futur, notamment :

  • Clarification des méthodes de collecte : les organismes publics sont désormais expressément autorisés à recueillir des renseignements personnels de manière indirecte lorsque cela est nécessaire dans le cadre de programmes ou de services communs ou intégrés. Les modifications prévoient une nouvelle obligation d’informer les personnes concernées si leurs renseignements personnels recueillis directement sont susceptibles d’être utilisés dans des systèmes automatisés pour prendre des décisions, présenter des recommandations ou formuler des hypothèses prévisionnelles (p. ex., dans les outils d’intelligence artificielle).
  • Programmes de gestion de la protection de la vie privée : chaque organisme public doit mettre en œuvre un programme de gestionde la protection de la vie privée d’ici le 11 juin 2026. Ces programmes comprennent la nomination de responsables de la protection de la vie privée, des procédures internes, des formations ainsi que le rapport et le suivi des risques, comme c’est le cas dans la loi visant les services publics de la Colombie-Britannique. La description détaillée des exigences est énoncée dans le règlement Protection of Privacy (Ministerial) Regulation (le « Règlement (ministériel) sur la protection de la vie privée », ainsi que toute exigence supplémentaire concernant les organismes publics qui ont la garde ou la responsabilité d’un grand nombre de renseignements personnels ou de données particulièrement sensibles.
  • Évaluations obligatoires des facteurs relatifs à la vie privée (ÉFPV) : les ÉFPV sont obligatoires dans certaines circonstances prescrites conformément aux dispositions du Règlement (ministériel) sur la protection de la vie privée.
  • Signalement de toute violation de la sécurité : la loi POPAprévoit formellement l’obligation de signaler toute violation présentant un risque réel de préjudice important, comme c’est le cas de la loi de l’Alberta sur la protection des renseignements personnels dans le secteur privé (la « loi PIPA ») ainsi que des exigences correspondantes énoncées dans le Règlement (ministériel) sur la protection de la vie privée.
  • Adoption de règles relatives au rapprochement des données : les organismes publics peuvent désormais procéder au rapprochement des données à des fins d’opération et de recherche prédéfinie, à condition de respecter les dispositions de sécurité prévues par le Règlement (ministériel) sur la protection de la vie privée. La collecte directe de données auprès des personnes à des fins de rapprochement des données dans le but de générer des données dérivées de renseignements personnels est interdite.
  • Nouvelles règles concernant les données dérivées et les données non personnelles : la loi POPAprévoit des mécanismes réglementaires entièrement nouveaux visant à encadrer la création, l’utilisation, la communication et la protection des données suivantes :
    • Les données dérivées de renseignements personnels : données issues du rapprochement de données permettant d’identifier toute personne dont les renseignements personnels ont été utilisés dans le rapprochement de données.
    • Les données non personnelles : données dérivées de renseignements personnels, qui ont été produites, modifiées ou rendues anonymes de manière à ne pas permettre l’identification des personnes auxquelles elles se rapportent, y compris les données synthétiques ainsi que tout autre type de données non personnelles définies dans les règlements.

Ces dispositions comprennent des mesures de protection visant à empêcher le rétablissement de l’identité et à veiller à ce que même les données anonymisées n’échappent pas à la surveillance des organismes de réglementation.

  • Interdiction de vendre des renseignements personnels : la loi POPAérige en règle l’interdiction formelle de vendre des renseignements personnels.
  • Pénalités élevées en cas de non-conformité : comme c’est le cas pour la loi ATIA, le seuil d’infraction a été abaissé de « délibérément » à « sciemment ». De nouvelles pénalités en cohérence avec les nouvelles lois sur les données dérivées de renseignements personnels et les données non personnelles ont été ajoutées. Certaines infractions, comme le rapprochement non autorisé de données ou le rétablissement de l’identité à partir de données non personnelles, peuvent donner lieu à des amendes pouvant atteindre 1 million de dollars.

Points que les organismes publics doivent retenir

Les répercussions de ces nouvelles lois sont considérables et peuvent mobiliser d’importantes ressources et un temps considérable. La date limite étant fixée au 11 juin 2026, les organismes publics de l’Alberta doivent envisager sans tarder les priorités suivantes :

  1. Programme de gestion de la protection de la vie privée. Avec 12 mois devant vous, le moment est venu d’actualiser vos politiques, d’attribuer les rôles et de mettre en place les structures essentielles d’un programme efficace de gestion de la protection de la vie privée.
  2. Procédures internes et contrats. Assurez-vous que l’ensemble de vos politiques, pratiques et contrats de service avec des tiers respectent les nouvelles exigences, en particulier en ce qui concerne le signalement des violations, le traitement des données et le système de décisions automatisé.
  3. Formation des équipes. Tous les membres du personnel doivent comprendre les répercussions que ces nouvelles règles auront sur les demandes d’accès, la protection des renseignements et l’utilisation des données personnelles. L’ensemble des services doivent être sensibilisés aux enjeux de confidentialité et de sécurité, pas uniquement les équipes de services technologiques.
  4. Nouvelles mesures de surveillance. L’OIPC a déjà publié de nouvelles lignes directrices concernant les procédures entourant les examens et les demandes d’accès à l’information. Les organismes publics doivent se préparer à respecter des délais serrés et à fournir sur demande des registres à jour et des index.
  5. Documentation. Les nouvelles lois renforcent l’importance de conserver des dossiers à jour (communications concernant les demandes d’accès, examens des atteintes à la vie privée, etc.) pour démontrer que l’organisme est conforme.

Conclusion

Le cadre législatif à deux volets de l’Alberta illustre les tendances de fond qui façonnent la modernisation des lois en matière de protection de la vie privée, notamment pour renforcer l’imputabilité, encadrer les examens fondés sur les risques et consolider les mesures de gouvernance entourant les données. Malgré les efforts que cette transition nécessite, ces réformes visent avant tout à améliorer la clarté, la transparence et la confiance à l’égard des pratiques des organismes publics en matière de collecte et de gestion des renseignements personnels.

Pour en savoir plus à ce sujet, nous vous invitons à prendre connaissance de l’analyse des projets de loi 33 et 34 que nous avons faite récemment : Bills 33 & 34 : Modernizing Alberta’s public sector privacy protection & access to information laws (3 décembre 2024).

Si vous avez des questions sur la façon de vous conformer aux lois ATIA et POPA, veuillez communiquer avec une ou un membre du groupe Technologies, propriété intellectuelle et protection de la vie privée de Miller Thomson.