Le projet de loi 97, Loi de 2026 sur le plan pour protéger l’Ontario (mesures budgétaires) introduit des modifications importantes au régime ontarien d’accès à l’information et de protection de la vie privée en modernisant la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) et la Loi sur l’accès à l’information municipale et la protection de la vie privée (LAIMPVP). Pour les institutions municipales, les conseils scolaires, les collèges et universités, les hôpitaux et les organismes d’État, cette réforme constitue avant tout une réponse législative aux pressions opérationnelles persistantes associées au régime actuel.
Ces entités font face à un volume croissant de demandes; à des dossiers électroniques de plus en plus volumineux et complexes; à des requêtes répétitives, générées par l’intelligence artificielle ou qui se recoupent; ainsi qu’à des attentes accrues quant à la rapidité et l’exhaustivité – souvent sans bénéficier de ressources supplémentaires ni de soutien structurel. Le projet de loi 97 reconnaît que le cadre précédent, bien que partant d’une intention louable, était de plus en plus difficile à appliquer de manière cohérente et justifiable. Des réformes similaires menées dans d’autres provinces laissent entrevoir une tendance générale à mettre en place des régimes d’accès qui restent fondés sur des principes solides, tout en étant plus adaptés aux institutions publiques modernes.
Cet article résume la réforme prévue par le projet de loi 97, qui a été publié parallèlement à deux nouveaux règlements importants de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique. Pour en savoir plus, consultez notre article Ontario introduces cyber and educational technology regulations (en anglais seulement).
Des échéanciers qui reflètent mieux les réalités institutionnelles
Le projet de loi 97 réajustera la plupart des échéances prévues par la LAIPVP et la LAIMPVP en remplaçant les jours civils par des jours ouvrables. Le délai de base pour répondre à une demande passera de 30 jours à 45 jours ouvrables. Ce changement à lui seul réduira considérablement la pression artificielle exercée sur les institutions qui ne disposent que de peu de personnel assigné à l’accès à l’information, et sur celles dont les postes touchant à la protection de la vie privée sont partagés ou dont la gestion des dossiers est décentralisée.
La législation élargira également la marge de manœuvre des institutions pour allonger les délais, notamment en rendant possible une deuxième prorogation dans certaines circonstances bien définies, telles qu’un volume de dossiers exceptionnellement important ou des enjeux imprévus de consultation ou de personnel. Les modifications proposées par le projet de loi 97 changeront aussi la donne pour les conseils scolaires, les municipalités et les organismes de santé qui reçoivent régulièrement des demandes générales portant sur plusieurs années et visant de grands volumes de documents électroniques.
Plan prévoyant un accès échelonné aux documents : un outil pratique pour les demandes volumineuses
La mise en place de plans d’accès échelonné constitue l’une des propositions concrètes les plus importantes du projet de loi 97. Les institutions pourront répondre aux demandes volumineuses ou complexes en proposant une approche structurée et par étapes pour la recherche, l’examen et la communication des documents.
Une institution sera autorisée à proposer un plan d’accès échelonné lorsque :
- la recherche de documents entraverait abusivement les fonctions habituelles des membres du personnel;
- la portée de la demande est trop vaste en raison de la période couverte;
- les efforts de préparation nécessaires entraveraient abusivement les activités normales de l’institution en raison du volume de documents;
- la personne à l’origine de la demande a présenté plusieurs demandes, et l’ensemble de celles-ci entraveraient abusivement les activités normales de l’institution.
Le plan doit être présenté par écrit et :
- diviser la demande en différentes catégories de documents et préciser les secteurs de l’institution dans lesquels la recherche doit être effectuée;
- établir un calendrier indiquant si et quand des décisions relatives à l’accès seront prises pour chaque catégorie, ainsi que la date à laquelle les documents, en totalité ou en partie, seront communiqués ou produits.
Les demandeurs et demandeuses disposeront de 30 jours ouvrables pour accepter le plan, proposer des modifications ou réduire la portée de leur requête; à défaut, il leur sera possible de faire appel.
La décision initiale de proposer un plan et la première modification apportée à ce dernier peuvent toutes deux être contestées auprès du Commissaire à l’information et à la protection de la vie privée (CIPVP). La personne qui a présenté la demande a l’obligation de répondre. Si elle ne réagit pas de manière appropriée dans le délai légal imparti (et ne fait pas appel, s’il y a lieu), la demande sera considérée comme abandonnée.
Une fois un plan proposé, le délai de traitement prévu par la loi pour la demande initiale est suspendu le temps que le demandeur ou la demandeuse réponde, après quoi il recommence à courir; l’institution peut proposer un autre plan tant que ce délai n’aura pas expiré.
Les institutions peuvent modifier un plan d’accès échelonné au besoin. Si la proposition initiale et la première modification peuvent faire l’objet d’un recours, les modifications ultérieures ne sont pas susceptibles d’appel, ce qui confère aux institutions une grande souplesse pour adapter leurs plans en fonction de leurs réalités.
Estimations des frais pour contrôler la portée et l’échéancier
Le projet de loi 97 renforce les règles relatives aux estimations des frais et les harmonise avec les procédures d’accès échelonné et les délais de réponse. Particulièrement :
- les institutions seront expressément tenues d’informer les demandeurs et demandeuses de leur droit de solliciter une exonération des frais, et devront fournir une estimation de ceux-ci avant l’expiration du délai de réponse;
- à la fin du jour où une estimation des frais est donnée, le délai de réponse est suspendu.
Bref, les estimations des frais constitueront un point de contrôle procédural plus formel, aligné sur les mécanismes d’accès échelonné et de délai de réponse.
Documents sensibles sur le plan politique (LAIPVP)
Les modifications proposées dans le projet de loi 97 ajouteraient une nouvelle disposition à la LAIPVP, de sorte que celle-ci ne s’appliquerait plus aux documents détenus ou contrôlés par les ministres, leur cabinet ou les adjointes et adjoints parlementaires. Une fois entrées en vigueur, ces modifications excluront généralement les documents d’adjointes et adjoints ministériels et parlementaires du champ d’application de la LAIPVP, à l’exception de ceux à la fois contrôlés par une ou un ministre et sous la garde ou le contrôle d’une institution.
Exclusion des documents sensibles sur le plan de la cybersécurité
Ni la LAIPVP ni la LAIMPVP ne s’appliqueront aux « documents préparés et recueillis » en vertu de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique. Cette exclusion touchera :
- les documents contenant les noms des personnes-ressources désignées pour assurer la cybersécurité au sein de chaque organisme du secteur public, ainsi que ceux des personnes désignées pour les remplacer;
- les évaluations (ou des résumés) de la situation ou des progrès d’une entité du secteur public pour ce qui touche la cybersécurité;
- les documents contenant les noms d’applications logicielles qui ont été achetées – ou acquises d’une autre manière – par les conseils scolaires, qui sont détenues ou exploitées par des tiers et qui peuvent accéder aux renseignements personnels d’élèves;
- tout autre document dont la divulgation pourrait raisonnablement compromettre la cybersécurité d’une entité du secteur public.
Pour les institutions de plus en plus ciblées par les rançongiciels et autres cybermenaces – notamment les conseils scolaires et les hôpitaux –, cette modification apportera un solide fondement juridique en soustrayant au droit d’accès du public certains documents sensibles sur le plan de la sécurité. La protection est mise en œuvre par le biais d’une exclusion limitant la compétence, ce qui invite à une interprétation plus favorable à l’institution en cas de contestation.
Cette exclusion repose sur un lien légal avec la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique. On peut toutefois se demander si un document doit être expressément exigé ou produit en vertu de cette loi pour être admissible, ou s’il suffit qu’il soit simplement lié aux activités de cybersécurité menées pour s’y conformer.
Aligner la gouvernance de la protection de la vie privée prévue par la LAIMPVP sur celle prévue par la LAIPVP
Lorsque la LAIPVP a été modifiée en 2025 pour imposer l’obligation de signaler les violations, de réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) et de moderniser plus généralement le régime de conformité entourant la protection de la vie privée, la LAIMPVP n’a pas été révisée en conséquence. Le projet de loi 97 corrige ce déséquilibre en modifiant la LAIMPVP de manière à :
- instaurer l’obligation de signaler les violations de la vie privée au CIPVP et d’en informer les personnes concernées lorsqu’il existe un risque réel de préjudice grave;
- exiger des institutions municipales qu’elles réalisent des EFVP avant de recueillir des renseignements personnels, et qu’elles actualisent ces évaluations en cas de changements importants concernant l’utilisation ou la communication de ces renseignements;
- imposer une obligation légale expresse de mettre en œuvre des mesures de protection administratives, techniques et physiques raisonnables afin de protéger les données à caractère personnel;
- exiger des institutions municipales qu’elles tiennent un registre des atteintes à la vie privée et qu’elles communiquent chaque année des statistiques à ce sujet au CIPVP;
- étendre le rôle de contrôle du CIPVP, entre autres en lui conférant le pouvoir d’examiner les pratiques des institutions se rapportant à l’information lorsqu’il existe des motifs raisonnables de croire que la LAIMPVP a été enfreinte, et de rendre des ordonnances exécutoires;
- mettre en place des mesures de protection des dénonciateurs, permettant aux particuliers de signaler en toute confidentialité au CIPVP les violations présumées de la LAIMPVP.
Ces changements élargiront considérablement les obligations courantes que la LAIMPVP impose aux institutions en matière de protection de la vie privée; renforceront le rôle de surveillance du CIPVP et exigeront une approche plus structurée et proactive de la gouvernance de la protection de la vie privée ainsi que de la gestion des violations et des risques dans l’ensemble du secteur public municipal.
Conclusion et prochaines étapes
Le projet de loi 97 apportera à la fois des avantages et des contraintes aux institutions de l’Ontario.
Pour ce qui est de l’accès à l’information, la réforme tient compte des défis opérationnels auxquels les institutions sont soumises depuis des années et offre un allègement significatif à cet effet grâce à des délais plus longs, des plans d’accès échelonné, des modalités claires pour l’estimation des frais et des exceptions ciblées. Utilisés à bon escient, ces outils devraient aider les institutions à gérer le volume, les difficultés et les attentes de manière plus durable.
Cependant, le projet de loi ne fait pas que réduire les obligations. Pour les institutions municipales, les nouvelles dispositions de la LAIMPVP quant à la gouvernance de la protection de la vie privée instaurent un cadre de conformité plus formel et proactif : renforcement de la surveillance exercée par la CIPVP et obligation de signaler les violations, de documenter les EFVP, de prendre certaines mesures de protection et de tenir un registre des violations. Le respect de ces exigences demandera un travail ciblé, à un moment où de nombreuses institutions sont confrontées à des restrictions budgétaires, à des contraintes de dotation et à des priorités concurrentes.
Parmi les mesures concrètes que les établissements devraient envisager dès maintenant, mentionnons :
- réviser les procédures d’accès à l’information pour tenir compte des délais fixés en jours ouvrables, des plans d’accès échelonné, des prolongations et des suspensions accordées pour l’estimation des frais;
- former le personnel chargé de l’accès à l’information et des programmes sur les circonstances et les modalités permettant d’utiliser de manière justifiable les plans d’accès échelonné et les prolongations;
- pour les institutions municipales – évaluer les pratiques actuelles de protection de la vie privée à la lumière des nouvelles exigences de la LAIMPVP, notamment en ce qui concerne les EFVP, la gestion des violations, les mesures de protection et la tenue de registres;
- trouver des moyens pragmatiques et adaptés pour respecter ces nouvelles obligations sans alourdir inutilement les processus ni dédoubler le travail.
Le projet de loi 97 offre aux établissements l’occasion de redéfinir leurs pratiques d’accès et de protection de la vie privée de manière plus durable. Grâce à une planification minutieuse et à une mise en œuvre proportionnée, cette réforme peut réduire la pression de façon ciblée, tout en renforçant la gouvernance de la protection de la vie privée par des moyens gérables et non contraignants.
