Règl. de l'Ont. 191/18: RENSEIGNEMENTS PERSONNELS, services à l'enfance, à la jeunesse et à la famille (Loi de 2017 sur les)

Aujourd'hui, le 5 décembre 2024, textes codifiés actuels figurant sur Lois-en-ligne sont à jour au 1 novembre 2024 (date à laquelle lois-en-ligne est à jour).

Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille

RÈGLEMENT DE L’ONTARIO 191/18

RENSEIGNEMENTS PERSONNELS

Période de codification : du 1er janvier 2020 à la date à laquelle Lois-en-ligne est à jour.

Aucune modification.

Le texte suivant est la version française d’un règlement bilingue.

Entités prescrites : art. 293 de la Loi

1. Les entités suivantes sont prescrites pour l’application de l’article 293 :

1. L’Institut canadien d’information sur la santé.

2. L’Institute for Clinical Evaluative Sciences.

Restrictions prescrites : par. 293 (2) de la Loi

2. Les exigences et restrictions suivantes s’appliquent à la divulgation de renseignements personnels par un fournisseur de services à une personne ou une entité visée au paragraphe 293 (2) de la Loi :

1. Le fournisseur de services ne peut divulguer les renseignements personnels que si les conditions suivantes sont réunies :

i. la personne ou l’entité à laquelle les renseignements seront divulgués s’identifie comme une personne ou une entité inuite, métisse ou de Premières Nations,

ii. les renseignements se rapportent à des particuliers inuits, métis ou de Premières Nations,

iii. le fournisseur de services et la personne ou l’entité à laquelle les renseignements seront divulgués ont conclu une entente relativement à l’utilisation, à la protection, à la divulgation, à la restitution ou à l’élimination des renseignements,

iv. l’entente visée à la sous-disposition iii :

A. exige que la personne ou l’entité à laquelle les renseignements personnels sont divulgués avise le fournisseur de services qui les a divulgués du vol, de la perte ou de l’utilisation ou de la divulgation non autorisées des renseignements,

B. précise la manière dont la personne ou l’entité avisera le fournisseur de services;

v. le fournisseur de services a reçu, de la part de chacune des bandes ou communautés inuites, métisses ou de Premières Nations ayant un membre dont les renseignements personnels seront divulgués, une reconnaissance écrite du fait que la personne ou l’entité recevra ces renseignements,

vi. le fournisseur de services a reçu, de la part de chacune des bandes ou communautés inuites, métisses ou de Premières Nations avec lesquelles s’identifie un particulier dont les renseignements personnels seront divulgués, une reconnaissance écrite du fait que la personne ou l’entité recevra ces renseignements.

Renseignements exclus prescrits : par. 293 (1), (2) et (3) de la Loi

3. Les renseignements et circonstances correspondantes suivants sont prescrits pour l’application du paragraphe 293 (4) de la Loi :

1. Les renseignements consignés qui documentent des conversations tenues durant une séance de counseling.

Restrictions relatives à l’utilisation : par. 293 (9) de la Loi

4. (1) Malgré le paragraphe 293 (9) de la Loi, une entité prescrite, ou une personne ou une entité qui n’est pas une entité prescrite, peut utiliser des renseignements personnels reçus en vertu du paragraphe 293 (1), (2) ou (3) de la Loi à une fin autre que celle pour laquelle ils ont été reçus s’il est satisfait aux exigences suivantes :

1. La personne ou l’entité présente un plan de recherche traitant de l’utilisation des renseignements personnels qui satisfait aux exigences prévues au paragraphe (2) à une commission d’éthique de la recherche répondant aux critères suivants :

i. La commission compte au moins cinq membres.

ii. Au moins un membre n’est pas affilié aux personnes ayant créé la commission.

iii. Au moins un membre connaît bien l’éthique de la recherche parce qu’il a reçu une formation en la matière ou qu’il possède de l’expérience pratique ou universitaire dans ce domaine.

iv. Au moins deux membres connaissent les méthodes ou les domaines applicables à la recherche envisagée.

v. Au moins un membre connaît bien les enjeux en matière de protection de la vie privée, sans toutefois donner des conseils juridiques à un fournisseur de services.

2. La personne ou l’entité a reçu de chaque membre de la commission d’éthique de la recherche une attestation écrite portant que son intérêt personnel dans l’utilisation des renseignements personnels ou la réalisation de la recherche ne crée aucun conflit réel ou perçu avec sa capacité d’évaluer le plan de recherche de façon objective.

3. La commission d’éthique de la recherche a approuvé le plan de recherche.

(2) Le plan de recherche doit être fait par écrit et énoncer ce qui suit :

1. L’affiliation de chaque personne qui participe à la recherche.

2. La nature et les objets de la recherche, et les avantages que prévoit le chercheur pour le public ou la science.

3. La description de la recherche devant être menée ainsi que sa durée.

4. La description des renseignements personnels exigés et de leurs sources possibles.

5. La description du mode d’utilisation des renseignements personnels dans le cadre de la recherche et, si des liens doivent être établis entre ceux-ci et d’autres renseignements, la description de ces derniers et du mode d’établissement des liens.

6. L’explication des raisons pour lesquelles il n’est pas raisonnablement possible d’effectuer la recherche sans les renseignements personnels et, si des liens doivent être établis entre ceux-ci et d’autres renseignements, l’explication des raisons pour lesquelles l’établissement de tels liens est exigé.

7. L’explication des raisons pour lesquelles le consentement à la divulgation des renseignements personnels n’est pas demandé aux particuliers qu’ils concernent.

8. La description des préjudices et des avantages raisonnablement prévisibles que l’utilisation des renseignements personnels peut entraîner et les moyens que les chercheurs comptent prendre pour compenser ces préjudices.

9. Si la recherche se rapporte principalement à des particuliers inuits, métis ou de Premières Nations :

i. l’approbation écrite de chacune des bandes ou communautés inuites, métisses ou de Premières Nations ayant un membre dont les renseignements personnels seront utilisés dans la recherche,

ii. l’approbation écrite de chacune des bandes ou communautés inuites, métisses ou de Premières Nations avec lesquelles s’identifie un particulier dont les renseignements personnels seront utilisés dans la recherche.

10. La description de toutes les personnes qui auront accès aux renseignements personnels, des raisons pour lesquelles leur accès est nécessaire, de leurs rôles respectifs dans le cadre de la recherche et de leurs compétences en la matière.

11. Les mesures de précaution que la personne ou l’entité prendra afin d’assurer le caractère confidentiel et la protection des renseignements personnels, y compris l’estimation et la justification de la durée de leur conservation sous une forme permettant d’identifier les personnes concernées.

12. La description de la façon dont les renseignements personnels seront éliminés ou retournés au fournisseur de services et les délais prévus pour le faire.

13. La description de la manière dont l’entité ou la personne avisera, à la première occasion raisonnable, le fournisseur de services duquel les renseignements personnels ont été reçus du vol, de la perte ou de l’utilisation ou de la divulgation non autorisées des renseignements.

14. La source de financement de la recherche.

15. La question de savoir si la personne ou l’entité a demandé l’approbation d’une autre commission d’éthique de la recherche et, dans l’affirmative, la réponse reçue ou l’état de la demande.

16. La probabilité d’un conflit d’intérêts réel ou perçu entre l’intérêt manifesté par la personne ou l’entité pour la divulgation des renseignements personnels ou la réalisation de la recherche et les autres fonctions de la personne ou de l’entité.

Restrictions relatives à l’utilisation de renseignements personnels par le ministre et le fournisseur de services

5. Le ministre ne doit utiliser des renseignements personnels aux fins visées à la disposition 6 du paragraphe 283 (1) de la Loi et un fournisseur de services ne doit utiliser les renseignements personnels recueillis pour les besoins de la prestation d’un service à la fin énoncée à l’alinéa 291 (1) j) de la Loi que s’il est satisfait aux exigences suivantes :

1. Le ministre ou le fournisseur de services, selon le cas, prépare un plan de recherche qui satisfait aux exigences énoncées au paragraphe 4 (2), exception faite des exigences énoncées :

i. aux dispositions 12 et 14 de ce paragraphe, dans le cas du ministre,

ii. à la disposition 12 de ce paragraphe, dans le cas du fournisseur de services.

2. Le ministre ou le fournisseur de services, selon le cas, présente le plan de recherche à une commission d’éthique de la recherche qui répond aux critères énoncés à la disposition 1 du paragraphe 4 (1).

3. Le ministre ou le fournisseur de services, selon le cas, a reçu de chaque membre de la commission d’éthique de la recherche une attestation écrite portant que son intérêt personnel dans l’utilisation des renseignements personnels ou la réalisation de la recherche ne crée aucun conflit réel ou perçu avec sa capacité d’évaluer le plan de recherche de façon objective.

4. La commission d’éthique de la recherche a approuvé le plan de recherche.

Restriction relative à la divulgation par une entité prescrite : exception

6. (1) Malgré le paragraphe 293 (9) de la Loi, une entité prescrite, ou une personne ou une entité qui n’est pas une entité prescrite, peut divulguer des renseignements personnels qui lui sont divulgués en vertu du paragraphe 293 (1), (2) ou (3) de la Loi :

a) à une autre entité prescrite, si la divulgation sert les fins visées au paragraphe 293 (1) de la Loi;

b) à un chercheur, dans les circonstances énoncées au paragraphe (2).

(2) Une entité prescrite, ou une personne ou une entité qui n’est pas une entité prescrite, peut divulguer à un chercheur des renseignements personnels qui lui sont divulgués en vertu du paragraphe 293 (1), (2) ou (3) de la Loi si les conditions suivantes sont réunies :

a) le chercheur démontre ce qui suit :

(i) il a préparé un plan de recherche se rapportant aux renseignements personnels à divulguer qui satisfait aux exigences énoncées au paragraphe 4 (2) et l’a fait approuver par une commission d’éthique de la recherche répondant aux critères énoncés à la disposition 1 du paragraphe 4 (1),

(ii) en étudiant le plan de recherche, la commission d’éthique de la recherche a tenu compte de ce qui suit :

(A) le point de savoir si les objectifs de la recherche pourraient raisonnablement être atteints sans utiliser les renseignements personnels,

(B) le point de savoir si, au moment où la recherche sera réalisée, des mesures de précaution adéquates seront en place pour protéger la vie privée des particuliers dont les renseignements personnels seront utilisés dans la recherche et pour protéger la confidentialité de ceux-ci,

(C) l’intérêt public qu’il y aurait à mener la recherche et à protéger la vie privée des particuliers auxquels les renseignements personnels se rapportent,

(D) le point de savoir s’il serait peu pratique d’obtenir le consentement des particuliers auxquels les renseignements personnels se rapportent;

b) le chercheur a conclu avec l’entité prescrite, ou la personne ou l’entité qui n’est pas une entité prescrite, une entente exigeant qu’il suive les éventuelles recommandations que la commission d’éthique de la recherche a formulées à l’égard de la réalisation de la recherche et qui sont énoncées dans son approbation du plan de recherche;

c) l’entité prescrite, ou la personne ou l’entité qui n’est pas une entité prescrite, est convaincue que le chercheur :

(i) respectera l’entente visée à l’alinéa b),

(ii) n’utilisera les renseignements qu’aux fins énoncées dans le plan de recherche approuvé par la commission d’éthique de la recherche,

(iii) ne publiera pas les renseignements sous une forme qui pourrait raisonnablement permettre à quiconque d’établir l’identité du particulier,

(iv) ne divulguera pas des renseignements personnels divulgués au chercheur, sauf si la loi l’exige,

(v) ne communiquera pas ou ne tentera pas de communiquer, directement ou indirectement, avec un particulier dont les renseignements personnels ont été divulgués au chercheur,

(vi) avisera immédiatement par écrit l’entité prescrite, ou la personne ou l’entité qui n’est pas une entité prescrite, si le chercheur ne fait pas une chose visée au présent alinéa.

(3) L’entité prescrite, ou la personne ou l’entité qui n’est pas une entité prescrite, qui est avisée par un chercheur auquel la personne ou l’entité a divulgué des renseignements personnels en vertu de l’alinéa (1) b) que le chercheur n’a pas fait une chose visée à l’alinéa (2) c) en avise immédiatement le commissaire si l’avis du chercheur se rapporte au vol, à la perte ou à l’utilisation ou la divulgation non autorisées de renseignements personnels.

Requêtes présentées en vertu des art. 302, 304 et 305 de la Loi

7. (1) La Commission du consentement et de la capacité maintenue en application de la Loi de 1996 sur le consentement aux soins de santé est prescrite comme organisme pour l’application des articles 302, 304 et 305 de la Loi.

(2) Pour l’application des paragraphes 302 (10), 304 (4) et 305 (10) de la Loi, lorsqu’elle examine une requête en application de l’article 302, 304 ou 305 de la Loi, la Commission du consentement et de la capacité doit se conformer aux articles 73 à 79 de la Loi de 1996 sur le consentement aux soins de santé.

Exigences supplémentaires : par. 308 (2) de la Loi

8. Les exigences supplémentaires suivantes sont prescrites pour l’application du paragraphe 308 (2) de la Loi :

1. Le fournisseur de services avise le particulier dans un langage clair et facile à comprendre et l’avis comprend une description générale de la façon dont les renseignements personnels ont été perdus, volés ou utilisés ou divulgués sans autorisation.

2. Le fournisseur de services informe le particulier de toutes les mesures qu’il a prises pour :

i. empêcher qu’un vol ou une perte semblable ou une utilisation ou une divulgation non autorisées semblables ne se reproduise,

ii. atténuer les éventuelles conséquences préjudiciables que le vol, la perte ou l’utilisation ou la divulgation non autorisées pourraient entraîner pour le particulier.

3. Le fournisseur de services fournit au particulier les coordonnées d’un de ses employés pouvant lui donner des renseignements supplémentaires sur le vol, la perte ou l’utilisation ou la divulgation non autorisées.

Circonstances prescrites : par. 308 (3) de la Loi

9. Chacune des circonstances suivantes est prescrite pour l’application du paragraphe 308 (3) de la Loi :

1. Le fournisseur de services a des motifs raisonnables de croire que les renseignements personnels ont été utilisés ou divulgués sans autorisation par une personne qui savait ou aurait dû savoir qu’elle les utilisait ou les divulguait sans autorisation.

2. Le fournisseur de services a des motifs raisonnables de croire que les renseignements personnels ont été volés.

3. Le fournisseur de services a des motifs raisonnables de croire que les renseignements personnels qui ont été volés, perdus ou utilisés ou divulgués sans autorisation ont été à nouveau utilisés ou divulgués, ou le seront à nouveau, sans autorisation.

4. La perte ou l’utilisation ou la divulgation sans autorisation de renseignements personnels s’inscrit dans un contexte de pertes semblables, ou d’utilisations ou de divulgations sans autorisation semblables, de renseignements personnels dont le fournisseur de services a la garde ou le contrôle.

5. Le fournisseur de services a des motifs raisonnables de croire que les renseignements personnels qu’il a divulgués à une entité prescrite, ou à une entité ou une personne qui n’est pas une entité prescrite, en vertu du paragraphe 293 (1), (2) ou (3) de la Loi ont été volés ou perdus ou utilisés ou divulgués sans autorisation par l’entité prescrite ou par la personne ou l’entité qui n’est pas une entité prescrite.

6. Un employé du fournisseur de services est congédié, suspendu ou fait l’objet d’une mesure disciplinaire en raison du vol, de la perte ou de l’utilisation ou de la divulgation non autorisées de renseignements personnels par l’employé.

7. Un employé du fournisseur de services démissionne et le fournisseur de services a des motifs raisonnables de croire que la démission est liée à une enquête ou à une autre mesure qu’il a prise relativement au vol, à la perte ou à l’utilisation ou à la divulgation non autorisées de renseignements personnels par l’employé.

8. Le fournisseur de services établit que la perte ou l’utilisation ou la divulgation sans autorisation de renseignements personnels est importante, compte tenu de toutes les circonstances pertinentes, notamment :

i. la nature délicate des renseignements personnels qui ont été perdus ou utilisés ou divulgués sans autorisation,

ii. le volume de renseignements personnels qui ont été perdus ou utilisés ou divulgués sans autorisation,

iii. le nombre de personnes dont les renseignements personnels ont été perdus ou utilisés ou divulgués sans autorisation,

iv. la question de savoir si plus d’un fournisseur de services a été impliqué dans la perte ou l’utilisation ou la divulgation non autorisées des renseignements personnels.

Exigences prescrites : alinéa 309 (1) b) de la Loi

10. (1) Pour l’application de l’alinéa 309 (1) b) de la Loi, le présent article prescrit les exigences à l’égard de la conservation, du transfert et de l’élimination des dossiers.

(2) Toute mention au présent article d’un dossier vaut mention d’un dossier dont le fournisseur de services a la garde ou le contrôle et qui contient des renseignements personnels recueillis par ce dernier pour les besoins de la prestation d’un service.

(3) Lorsqu’il élimine un dossier, le fournisseur de services :

a) prend des mesures raisonnables pour protéger le dossier contre le vol ou la perte ou contre une utilisation ou une divulgation non autorisées;

b) prend des mesures raisonnables pour s’assurer que les renseignements personnels figurant dans le dossier ne peuvent pas être reconstitués ni récupérés;

c) consigne le dossier qui a été éliminé d’une façon qui ne consigne aucun des renseignements personnels qui y figurent.

(4) Le fournisseur de services qui cesse de fournir le service auquel un dossier se rapporte ne doit pas transférer le dossier à un autre fournisseur de services afin de lui permettre de continuer à fournir le service, sauf si l’autre fournisseur de services dispose d’une politique de conservation des dossiers prévue par le présent article qui traite de la conservation du type de dossier transféré.

(5) Le fournisseur de services établit et tient à jour une politique de conservation des dossiers conformément au présent article et s’y conforme.

(6) La politique doit énoncer ce qui suit :

a) chaque type de dossier tenu par le fournisseur de services et une description des renseignements personnels qui y figurent, y compris le format de tenue du dossier;

b) le classement de chaque type de dossier en fonction de la nature plus ou moins délicate des renseignements personnels qui y figurent, ainsi que la façon dont ces renseignements sont habituellement utilisés ou divulgués par le fournisseur de services;

c) la période pendant laquelle le fournisseur de services conservera chaque type de dossier;

d) la méthode qu’emploiera le fournisseur de services :

(i) soit pour éliminer chaque type de dossier d’une manière compatible avec le paragraphe (3),

(ii) soit pour entreposer ou transférer le dossier d’une manière compatible avec le paragraphe (4), si le fournisseur de services cesse de fournir le service auquel le dossier se rapporte.

(7) Pour établir la période visée à l’alinéa (6) c), le fournisseur de services tient compte de ce qui suit :

1. La question de savoir si un autre fournisseur de services a lui aussi la garde ou le contrôle du dossier ou s’il en a besoin pour fournir un service.

2. La question de savoir si, à son avis, le dossier est un dossier pour lequel un particulier a un droit d’accès en vertu de l’article 312 de la Loi.

3. La question de savoir si le dossier se rapporte à des circonstances faisant ou pouvant faire l’objet d’une instance autre que celle visée à l’alinéa 312 (1) c) de la Loi.

4. La question de savoir si le ministre ou un autre fournisseur de services lui a fait savoir qu’il pourrait avoir besoin des renseignements à une fin énoncée à la disposition 3 du paragraphe 283 (1) de la Loi ou à l’alinéa 291 (1) d) de la Loi.

5. Toute autre exigence prévue par la Loi ou une autre loi qui se rapporte à la période de conservation du dossier par le fournisseur de services.

Rapport au commissaire

11. (1) Au plus tard le 31 mars de chaque année, le fournisseur de services fait rapport au commissaire des renseignements suivants :

1. Le nombre de demandes d’accès à un dossier qui lui ont été présentées au cours de l’année précédente en vertu du paragraphe 313 (1) de la Loi.

2. Le nombre de fois où le fournisseur de services, en réponse à une demande présentée au cours de l’année précédente en vertu du paragraphe 313 (1) de la Loi, a refusé de permettre l’accès à tout ou partie d’un dossier, ainsi que le nombre de fois où il s’est prévalu de chacun des alinéas ou, dans le cas d’un refus opposé en vertu de l’alinéa 312 (1) d) de la Loi, de chacun des sous-alinéas du paragraphe 312 (1) de la Loi, pour le faire.

3. Le nombre de fois où le fournisseur de services a répondu dans les 30 jours suivant la réception d’une demande présentée en vertu du paragraphe 313 (1) de la Loi et le nombre de fois où il a prorogé le délai de réponse à une telle demande d’au plus 90 jours en application du paragraphe 314 (3) de la Loi.

4. Le nombre de demandes de rectification d’un dossier présentées à un fournisseur de services au cours de l’année précédente en vertu du paragraphe 315 (2) de la Loi et le nombre de fois où le fournisseur de services, en réponse à une telle demande :

i. a rejeté la demande parce qu’il n’a pas estimé que la rectification était justifiée en vertu du paragraphe 315 (9) de la Loi,

ii. s’est prévalu soit du paragraphe 315 (6), soit du paragraphe 315 (10) de la Loi pour rejeter la demande,

iii. a reçu une déclaration de désaccord rédigée en vertu du paragraphe 315 (12) de la Loi.

5. Le nombre de fois où le fournisseur de services a répondu dans les 30 jours suivant la réception d’une demande de rectification d’un dossier présentée en vertu du paragraphe 315 (2) de la Loi et le nombre de fois où il a prorogé le délai de réponse à une telle demande d’au plus 90 jours en application du paragraphe 315 (4) de la Loi.

6. Le nombre de fois où des renseignements personnels dont le fournisseur de service a la garde ou le contrôle, et qui ont été recueillis afin de fournir un service, ont été volés.

7. Le nombre de fois où des renseignements personnels dont le fournisseur de service a la garde ou le contrôle, et qui ont été recueillis afin de fournir un service, ont été perdus.

8. Le nombre de fois où des renseignements personnels dont le fournisseur de service a la garde ou le contrôle, et qui ont été recueillis afin de fournir un service, ont été utilisés sans autorisation.

9. Le nombre de fois où des renseignements personnels dont le fournisseur de service a la garde ou le contrôle, et qui ont été recueillis afin de fournir un service, ont été divulgués sans autorisation.

10. Le nombre de fois où des renseignements personnels dont le fournisseur de service a la garde ou le contrôle, et qui ont été recueillis afin de fournir un service, ont été utilisés d’une manière qui ne correspond pas à l’exposé des pratiques du fournisseur de services relatives aux renseignements visé à l’alinéa 311 (1) a) de la Loi.

11. Le nombre de fois où des renseignements personnels dont le fournisseur de service a la garde ou le contrôle, et qui ont été recueillis afin de fournir un service, ont été divulgués d’une manière qui ne correspond pas à l’exposé des pratiques du fournisseur de services relatives aux renseignements visé à l’alinéa 311 (1) a) de la Loi.

(2) Le rapport exigé par le paragraphe (1) est transmis au commissaire selon les moyens électroniques et sous le format qu’établit ce dernier.

12. Omis (entrée en vigueur de dispositions du présent règlement).