Un projet de loi est actuellement à l’étude chez nos voisins ontariens qui doterait cette province d’une loi en matière de protection des renseignements des individus dans le secteur privé. La loi proposée s’avérerait largement similaire à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), loi fédérale sur le même sujet. La loi s’intitulerait la Personal Information Protection Act (ou « PIPA »).
Selon le projet de loi à l’étude, la PIPA inclurait des règles similaires à la loi fédérale. Le régime serait évidemment géré par l’Information and Privacy Commissioner of Ontario, lequel pourrait rendre des ordonnances pour faire respecter cette loi. Par contre, contrairement à la situation dans la plupart des cas sous la LPRPDE, en cas de défaut de respecter la PIPA, le commissaire ontarien, lui, disposerait du pouvoir d’imposer des amendes aux sociétés contrevenantes. Ces amendes pourraient s’élever jusqu’à 100 000 $. Ce projet de loi prévoit d’ailleurs aussi que les individus subissant un préjudice quantifiable à la suite d’une violation de la PIPA par une entreprise pourraient éventuellement s’adresser aux tribunaux pour obtenir une compensation financière.
Il est intéressant de noter que cette approche ressemble à ce qu’on commence à envisager pour la prochaine mouture de la LPRPDE. En pratique, on commence à réaliser qu’une loi en matière de renseignements personnels privée de dents (comme la LPRPDE) s’avère peu susceptible d’attirer le respect et l’attention des entreprises.
Selon le projet de loi, la PIPA couvrirait les renseignements d’employés, ce qui n’est pas actuellement le cas pour toutes les lois canadiennes régissant les renseignements personnels.
La PIPA ne contiendrait cependant aucune disposition relative aux atteintes aux mesures de sécurité, comme celles qui entreront en vigueur en 2018 sous la LPRPDE.
Si jamais l’Ontario adopte effectivement la PIPA, elle rejoindra le rang des provinces comme le Québec, l’Alberta et la Colombie-Britannique qui se sont dotées de législation en la matière. Comme c’est le cas au Québec pour les sociétés québécoises, si la PIPA est éventuellement jugée « essentiellement similaire » à la LPRPDE (ce qui semble probable), les entreprises ontariennes seront exemptées de la LPRPDE en ce qui a trait à la cueillette, à l’utilisation et à la communication de renseignements personnels effectuées purement à l’intérieur de l’Ontario.