Le Projet de loi 211 - Loi sur la protection des renseignements personnels et la prévention du vol d'identité, adopté par l'Assemblée législative du Manitoba, a reçu la sanction royale le 13 septembre 2013. Toutefois cette Loi n'est pas encore en vigueur (ajout).
Il a pour objet "de régir la collecte, l'utilisation et la communication de renseignements personnels par les organisations d'une manière qui tienne compte à la fois du droit des particuliers à la protection de leurs renseignements personnels et du besoin des organisations de recueillir, d'utiliser et de communiquer de tels renseignements à des fins raisonnables" (art. 3).
Ainsi, il est notamment prévu qu'une organisation
- "est responsable des renseignements personnels qui relèvent de son autorité" (art. 5(1)),
- "désigne un ou plusieurs particuliers qu'elle charge de veiller au respect de la [loi]" (art. 5(3)),
- "établit et applique des politiques et pratiques raisonnables pour s'acquitter des obligations qui lui incombent" (art. 6(a)),
- doit, sauf disposition contraire, obtenir le consentement des personnes concernées avant de recueillir, utiliser et communiquer leurs renseignements personnels (art. 7 et s.),
- ne peut recueillir (art. 11 et s.), utiliser (art. 16 et s.) et communiquer (art. 19 et s.) des renseignements personnels qu'à des fins raisonnables,
- doit reconnaître aux personnes concernées un droit d'accès à leurs renseignements personnels, et le cas échéant de correction (art. 23 et s.),
- doit déployer "des efforts raisonnables pour faire en sorte que les renseignements personnels recueillis, utilisés ou communiqués par elle ou pour son compte sont exacts et complets (art. 33),
- doit prendre "des mesures de sécurité raisonnables contre les risques tels l'accès, la collecte, l'utilisation, la communication, la reproduction, la modification, l'aliénation ou la destruction non autorisés" (art. 34).
En plus de retrouver les principes de protection des renseignements personnels énoncés dans plusieurs autres lois, ce texte contient également une dérogation concernant les opérations commerciales (art. 22 et s.) et l'obligation pour une organisation "d'aviser [dès que possible] un particulier si des renseignements personnels le concernant [...] sont volés ou perdus ou si ces renseignements font l'objet d'un accès non autorisé" (art. 34(2)).
Par cette dernière disposition, l'Assemblée législative du Manitoba fait écho à une tendance marquée, ici et ailleurs, vers les déclarations obligatoires des incidents de sécurité impliquant des renseignements personnels. À ce sujet, ne serait-ce qu'au Canada, voir notamment l'article 34.1 du Personal Information Protection Act de l'Alberta, les projets de loi C-12 et C-475 déposés à la Chambre des communes lors de la 1ère session de la 41° législature du Parlement du Canada ou encore les recommandations 7 à 9 du Rapport quinquennal 2011 de la Commission d'accès à l'information du Québec.
Et, avec cette loi, le Manitoba rejoint l'Alberta, la Colombie-Britannique et le Québec qui ont adopté des lois régissant la protection des renseignements personnels dans le secteur privé. Ces trois lois provinciales ont été reconnues comme offrant un niveau de protection essentiellement similaire à la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ).
Il faudra donc surveiller la réaction du gouverneur en conseil face à l'adoption de cette loi, étant entendu qu'il peut, par décret, "s'il est convaincu qu'une loi provinciale [est] essentiellement similaire à la [LPRPDÉ], exclure l'organisation [...] de l'application de la [LPRPDÉ] à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels qui s'effectue à l'intérieur de la province en cause" (art. 26(2)b) LPRPDÉ).
À suivre donc ...
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.