L’accès à l’information et la protection de la vie privée sous le régime de la loi sur les services à l’enfance, à la jeunesse et à la famille

Bienvenue à notre présentation sur la partie dix de la Loi sur les services à l’enfance, à la jeunesse et à la famille.

La partie dix établit un nouveau cadre d’accès à l’information et de protection de la vie privée pour les renseignements personnels que détiennent les fournisseurs de services du secteur des services à l’enfance, à la jeunesse et à la famille.

Dans cette vidéo, nous donnons un aperçu de ces nouvelles règles, qui entreront en vigueur le 1er janvier 2020.

Au cours des prochaines minutes, nous décrirons les nouveaux droits conférés aux particuliers en matière de protection de la vie privée et d’accès à leurs renseignements personnels et les nouvelles règles que les fournisseurs de services doivent suivre lorsqu’ils recueillent, utilisent et communiquent les renseignements personnels qui concernent leurs clients.

AU SUJET DU CIPVP

Pour commencer, nous aimerions vous parler un peu de notre organisme.

Le Bureau du commissaire à l’information et à la protection de la vie privée – ou le CIPVP, comme nous l’appelons – surveille l’application des lois provinciales sur la protection de la vie privée et l’accès à l’information.

Ces lois régissent la façon dont le secteur de la santé, les institutions publiques et les fournisseurs de services à l’enfance, à la jeunesse et à la famille recueillent, utilisent et divulguent des renseignements personnels.

Notre bureau renseigne les institutions publiques et les fournisseurs de services sur ce qu’ils peuvent faire pour assurer la protection des renseignements personnels.

Nous répondons également aux plaintes de particuliers qui ont des réserves sur la façon dont leurs renseignements personnels sont recueillis, utilisés ou communiqués ainsi qu’aux plaintes de personnes qui ont de la difficulté à avoir accès aux renseignements que détient le gouvernement et à leurs propres dossiers.

Pour en savoir davantage sur nous et notre travail, visitez ipc.on.ca.

LA PARTIE X S’APPLIQUE-T-ELLE À VOUS?

La partie dix de la Loi sur les services à l’enfance, à la jeunesse et à la famille établit de nouvelles règles sur l’accès à l’information et la protection de la vie privée dans le secteur des services à l’enfance, à la jeunesse et à la famille.

Si vous fournissez des services à l’enfance, à la jeunesse et à la famille, vous vous demandez peut-être si ces règles s’appliquent à vous.

En règle générale, la partie 10 s’applique aux fournisseurs de services qui sont financés ou titulaires de permis aux termes de la Loi sur les services à l’enfance, à la jeunesse et à la famille de l’Ontario.

Ce sont notamment :

• les sociétés d’aide à l’enfance;
• les foyers de groupe et les agences de services de placement en famille d’accueil;
• les titulaires de permis de services d’adoption;
• les personnes qui fournissent d’autres services financés aux termes de la loi.

Soulignons que les parents de famille d’accueil ne sont pas considérés comme étant des fournisseurs de services en vertu de cette loi.

LES AUTRES LOIS ONTARIENNES SUR L’ACCÈS À L’INFORMATION ET LA PROTECTION DE LA VIE PRIVÉE

Dans certains cas, les fournisseurs de services sont déjà assujettis à l’une des autres lois sur l’accès à l’information et la protection de la vie privée de l’Ontario et soustraits à l’application de bon nombre des règles de base de la partie dix.

Par exemple, si vous êtes fournisseur de soins de santé, c’est la Loi sur la protection des renseignements personnels sur la santé de l’Ontario, et non la partie dix, qui s’applique dans votre cas à la collecte, à l’utilisation et à la divulgation de renseignements personnels sur la santé.

Si, en revanche, vous travaillez pour une institution provinciale ou municipale, comme un ministère du gouvernement de l’Ontario, ou encore pour une municipalité ou un conseil scolaire, la Loi sur l’accès à l’information et la protection de la vie privée ou son équivalent municipal s’applique.

Même si vous êtes déjà assujetti à l’une des autres lois ontariennes sur l’accès à l’information et la protection de la vie privée, certaines dispositions de la partie dix s’appliqueront à vous.

Ces dispositions portent notamment sur la communication de renseignements personnels à des fins de planification et de gestion des services.

Pour en savoir davantage sur ces dispositions, consultez le guide de la partie dix du CIPVP, qui est disponible sur notre site Web.

RENSEIGNEMENTS ASSUJETTIS À LA PARTIE X

Les règles de la partie dix s’appliquent aux renseignements personnels dont un fournisseur de services a la garde ou le contrôle et qui sont liés à la prestation d’un service.

Mais les renseignements personnels, qu’est-ce que c’est?

Il s’agit de tout renseignement de nature personnelle qui permet d’identifier quelqu’un.

Ces renseignements se trouvent dans les documents papier ou électroniques, les photos et les vidéos ou ils peuvent être recueillis lors d’un appel téléphonique ou d’une entrevue.

Un dossier ou un document peut contenir des renseignements comme l’âge, la scolarité, le sexe ou les antécédents médicaux d’une personne, même s’il ne précise pas son nom.

Seuls ou combinés à d’autres informations, ces renseignements pourraient permettre d’identifier la personne et c’est pourquoi il faut les protéger.

CONSENTEMENT

Dans la plupart des cas, les fournisseurs de services doivent demander la permission du particulier avant de recueillir, d’utiliser ou de communiquer ses renseignements personnels.

Ce particulier, ou une personne autorisée à prendre des décisions en son nom, doit donner cette permission volontairement et directement.

Toute personne peut donner, refuser ou retirer son consentement à la collecte, à l’utilisation et à la divulgation de ses renseignements personnels, quel que soit son âge, pourvu qu’elle soit capable.

Un fournisseur de services peut supposer qu’un particulier de tout âge est capable, à moins d’avoir des motifs raisonnables de croire le contraire.

Être capable, c’est être en mesure de décider d’accorder ou non son consentement selon les circonstances et comprendre les conséquences de donner, refuser ou retirer son consentement.

La partie dix énumère les personnes qui peuvent prendre des décisions au nom d’un particulier qui n’est pas capable de consentir lui-même.

Ces décideurs peuvent consentir au nom du particulier à la collecte, à l’utilisation ou à la divulgation de leurs renseignements personnels, et ils peuvent aussi présenter des demandes d’accès en son nom.

Les parents qui ont la garde d’un enfant de moins de 16 ans peuvent être décideurs pour lui, sauf dans certaines situations.

Cependant, la décision d’un enfant capable l’emporte sur la décision incompatible du parent.

AVIS AUX PARTICULIERS

Les particuliers doivent être en mesure de comprendre l’objet de la collecte, de l’utilisation ou de la divulgation de leurs renseignements personnels comment ces renseignements peuvent être utilisés ou divulgués conformément aux règles de la partie dix et leur droit de donner, de refuser ou de retirer leur consentement.

Le fournisseur de services peut s’assurer que ses clients sont bien informés en leur expliquant les motifs de la collecte, de l’utilisation ou de la divulgation de leurs renseignements personnels et les façons dont ils pourraient être utilisés ou divulgués…

Il peut aussi leur fournir la déclaration des pratiques relatives aux renseignements de son organisation, qui explique les renseignements qui sont recueillis, utilisés et divulgués, et à quelles fins.

Cette déclaration doit être facile d’accès sur un site Web ou dans des documents publics comme des affiches ou brochures, et elle doit être facile à comprendre.

Elle doit préciser la façon dont un particulier peut demander l’accès à ses renseignements personnels ou la rectification de ces renseignements et la façon dont il peut porter plainte au fournisseur de services ou au CIPVP s’il a des réserves sur le traitement de ses renseignements personnels.

COLLECTE, UTILISATION ET DIVULGATION DE RENSEIGNEMENTS SANS CONSENTEMENT

Dans certains cas, il n’est pas possible d’obtenir le consentement du particulier pour recueillir, utiliser ou divulguer ses renseignements personnels.

Que faire alors?

En général, un fournisseur de services est autorisé à recueillir des renseignements personnels sans consentement :

• si cela est nécessaire pour fournir un service et s’il est impossible d’obtenir le consentement assez rapidement;
• si les renseignements sont nécessaires pour évaluer, réduire ou éliminer un risque de préjudice grave à une personne ou à un groupe de personnes, ou
• si le fournisseur de services est une société d’aide à l’enfance qui obtient des renseignements d’une autre société pour évaluer, réduire ou éliminer un risque de préjudice à un enfant.

Un fournisseur de services peut utiliser des renseignements personnels sans consentement à la fin à laquelle ces renseignements ont été recueillis ou produits.

Par exemple, un préposé à la prise en charge qui reçoit des renseignements personnels d’une personne qui s’inscrit à un service, puis communique ces renseignements à un chargé de cas.

Comme les renseignements sont utilisés à la fin à laquelle ils ont été recueillis, c’est-à-dire pour fournir un service, il n’est pas nécessaire d’obtenir le consentement du particulier.

Un fournisseur de services peut aussi utiliser des renseignements personnels afin d’évaluer, de réduire ou d’éliminer un risque de préjudice grave à une personne ou à un groupe de personnes, malgré la consigne du particulier à l’effet contraire.

Le fournisseur peut aussi utiliser des renseignements personnels sans consentement pour la planification, la gestion des risques ou d’autres activités visant à maintenir ou à rehausser la qualité des services.

De plus, un fournisseur de services peut divulguer des renseignements personnels sans consentement dans certaines situations, notamment une enquête à des fins d’exécution de la loi, ou pour évaluer, réduire ou éliminer un risque de préjudice grave à une personne ou à un groupe de personnes.

Les sociétés d’aide à l’enfance peuvent se communiquer des renseignements personnels, ou les communiquer à des organismes chargés du bien-être des enfants à l’extérieur de l’Ontario, afin d’évaluer, de réduire ou d’éliminer un risque de préjudice à un enfant.

PROTECTION DES RENSEIGNEMENTS PERSONNELS

Les renseignements personnels sont délicats; il faut donc les protéger en tout temps afin de préserver la vie privée des clients.

Pour savoir comment protéger les dossiers, vous devez tenir compte :

• du caractère délicat des renseignements qu’ils contiennent;
• du nombre de personnes au sein de votre organisation qui pourraient en avoir besoin; et
• de toute menace ou de tout risque éventuel associé au mode de conservation des renseignements.

Vous pouvez prendre des mesures administratives, par exemple, des politiques et ententes de confidentialité et la formation du personnel ou des mesures techniques comme les mots de passe et le chiffrement ou vous pouvez restreindre l’accès aux endroits où des renseignements personnels sont conservés.

Quelles que soient les mesures de protection que prenez, vous devez les examiner régulièrement pour confirmer qu’elles sont toujours efficaces.

ATTEINTES À LA VIE PRIVÉE

Pour protéger les renseignements personnels, le fournisseur de services devrait aussi établir un protocole en cas d’atteinte à la vie privée.

Ce protocole précise les étapes à suivre si des renseignements personnels sont volés ou perdus ou s’ils sont recueillis, utilisés ou divulgués sans autorisation.

Quand on découvre une atteinte à la vie privée, il faut avant tout :

• maîtriser la situation en récupérant et en protégeant les renseignements qui ont été divulgués et en s’assurant que personne n’en a fait de copies, et
• changer les mots de passe ou éteindre les ordinateurs pour s’assurer que d’autres renseignements personnels ne sont pas divulgués.

Le fournisseur de services doit aviser les particuliers dont les renseignements personnels ont été divulgués.

Dans certains cas, il doit aussi aviser le ministère des Services à l’enfance et des Services sociaux et communautaires ainsi que le CIPVP.

Vous pouvez consulter le guide du CIPVP sur la partie X pour en savoir davantage sur les mesures à prendre en cas d’atteinte à la vie privée.

GESTION DES DOSSIERS

Le fournisseur de services doit veiller à ce que les dossiers de renseignements personnels soient conservés, transférés et éliminés de façon sécuritaire.

Il doit aussi tenir à jour une politique de conservation des dossiers.

Cette politique devrait préciser clairement les types de dossiers que détient l’organisation, classés selon le caractère délicat des renseignements personnels qu’ils contiennent et indiquant pendant combien de temps les dossiers seront conservés et comment ils seront détruits.

Cette politique devrait préciser aussi comment les dossiers seront conservés ou transférés si le fournisseur de services met un terme à ses activités.

Pour en savoir davantage sur les pratiques exemplaires à ce sujet, regardez sur notre canal YouTube les vidéos du CIPVP concernant la gestion des dossiers et de l’information.

ACCORDER L’ACCÈS AUX DOSSIERS

Une mauvaise gestion des dossiers peut non seulement nuire à la protection des renseignements personnels mais elle peut aussi nuire à la capacité de l’organisation de répondre aux demandes d’accès à des dossiers de renseignements personnels.

En vertu de la partie dix, les clients de tout âge ont le droit d’avoir accès à leurs dossiers de renseignements personnels que détiennent les fournisseurs de services.

Le fournisseur ne peut exiger de droits pour ces demandes d’accès, et il doit y répondre dans les 30 jours, dans la plupart des cas.

Pour que ce délai s’applique, et pour que les clients aient le droit de porter plainte au CIPVP, les demandes doivent être présentées par écrit.

Le fournisseur de services doit aider les clients à éclaircir les demandes qui ne sont pas assez détaillées pour permettre de retrouver les dossiers et ils doivent aussi fournir au CIPVP des statistiques annuelles sur le nombre de demandes d’accès qu’ils reçoivent et le temps nécessaire pour y répondre.

Le guide du CIPVP sur la partie dix contient des précisions sur les types de statistiques à recueillir et sur le moment où il faut les présenter.

REFUSER L’ACCÈS AUX DOSSIERS

Dans certains cas, le fournisseur de services peut refuser une demande d’accès ou ne divulguer qu’une partie d’un dossier.

Par exemple, il peut refuser l’accès lorsqu’une autre loi ou une ordonnance d’un tribunal interdit la divulgation du dossier ou lorsque le dossier contient des conseils juridiques.

Le fournisseur de services peut aussi refuser l’accès si la divulgation du dossier :

• causerait un risque de préjudice grave à un particulier;
• permettrait l’identification d’un particulier dont la loi exigeait qu’il fournisse au fournisseur de services les renseignements contenus dans le dossier; ou
• permettrait l’identification d’un particulier qui vous a fourni les renseignements de façon confidentielle, si vous estimez approprié dans les circonstances que l’identité de ce particulier demeure confidentielle.

Dans l’une ou l’autre de ces situations, le fournisseur de services peut refuser l’accès à une partie ou à la totalité du dossier.

Le fournisseur de services qui refuse une demande d’accès doit le faire par écrit, et expliquer pourquoi le particulier ne recevra pas une partie ou la totalité des documents demandés.

Il doit notamment informer le particulier de son droit d’interjeter appel de la décision en portant plainte au CIPVP.

RECTIFIER DES DOSSIERS

Le client a non seulement le droit d’avoir accès à ses dossiers, mais aussi de demander la rectification des renseignements personnels qu’ils contiennent.

En vertu de la partie dix, le fournisseur de services doit rectifier les renseignements sans frais, sauf dans certaines circonstances.

Le fournisseur peut refuser de rectifier un dossier :

• si les renseignements consistent en une opinion ou une observation professionnelle au sujet du particulier;
• s’il n’a pas créé le dossier ou n’a pas les connaissances ou le pouvoir nécessaire pour le rectifier; ou
• s’il a des motifs de croire que la demande est frivole ou vexatoire.

En clair, une demande frivole ou vexatoire est une demande importune faite pour des raisons autres que l’accès à des renseignements ou la rectification de ces derniers.

Pour en savoir davantage sur les caractéristiques d’une demande frivole ou vexatoire, consultez la feuille-info du CIPVP sur ce sujet.

Comme dans le cas des demandes d’accès, les fournisseurs de services doivent répondre aux demandes de rectification dans un délai de 30 jours, qui peut être prorogé d’un maximum de 90 jours.

Le fournisseur de services qui refuse de rectifier un dossier doit se justifier.

Il doit également informer le particulier de son droit de rédiger une déclaration de désaccord qui sera annexée au dossier.

POUR NOUS JOINDRE

Voilà qui met fin à notre introduction sur la partie dix de la Loi sur les services à l’enfance, à la jeunesse et à la famille.

Nous espérons que vous l’avez trouvée utile.

Pour en savoir davantage sur ces nouvelles règles relatives à l’accès à l’information et à la protection de la vie privée qui s’appliquent au secteur des services à l’enfance, à la jeunesse et à la famille, téléchargez le guide de la partie dix sur notre site Web.

Notre site Web propose une foule de ressources et de renseignements sur différents sujets liés à l’accès à l’information et à la protection de la vie privée.

Nous sommes également à votre disposition si vous avez besoin d’aide et de renseignements généraux.

Merci de votre attention.