Le 5 mai dernier, M. Éric Caire, ministre délégué à la transformation numérique gouvernementale a déposé le Projet de loi n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives
Ce projet de loi modifie, entre autres, la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1) et la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).
À propos de ce projet de loi
“Ce projet de loi modifie principalement la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement.
En matière de sécurité de l’information, le projet de loi prévoit notamment l’obligation, pour les organismes publics, d’assurer la sécurité des ressources informationnelles et de l’information qu’ils détiennent ou qu’ils utilisent, ainsi que celle de prendre, en cas d’atteinte ou de risque d’atteinte à la confidentialité, à la disponibilité ou à l’intégrité de ces ressources ou de cette information, toutes les mesures visant à en corriger les impacts ou à en réduire le risque. Il prévoit également que le président du Conseil du trésor dispose de tous les pouvoirs nécessaires pour soutenir les organismes publics en cas d’une telle atteinte ou d’un tel risque d’atteinte, dont celui de conclure des ententes avec toute personne ou avec tout organisme au Canada ou à l’étranger.
En matière de transformation numérique, le projet de loi prévoit notamment qu’un organisme public doit établir un plan de transformation numérique dont le président du Conseil du trésor détermine les modalités.
Le projet de loi instaure par ailleurs un nouveau cadre de gestion des données numériques gouvernementales qui sont détenues par les organismes publics. Il établit que de telles données constituent un actif informationnel stratégique du patrimoine numérique gouvernemental dont la mobilité et la valorisation, aux fins administratives ou de services publics qu’il énonce et compte tenu de leur nature, de leurs caractéristiques et des règles d’accès et de protection qui autrement les régissent, sont d’intérêt gouvernemental.
Ce nouveau cadre de gestion instauré par le projet de loi permet au gouvernement de désigner des sources officielles de données numériques gouvernementales. Ces sources officielles pourront, lorsque cela est nécessaire à une fin administrative ou de services publics, recueillir des données numériques auprès d’organismes publics, les utiliser et les communiquer à ces derniers, de même que recueillir auprès de toute personne des renseignements, incluant des renseignements personnels.
Le projet de loi prévoit que le gouvernement doit notamment préciser les données qui sont concernées, ainsi que les fins administratives ou de services publics pour lesquelles ces données peuvent faire l’objet d’une autorisation de mobilité ou de valorisation. Le projet de loi établit que la désignation d’une source officielle de données numériques gouvernementales se fait sur recommandation conjointe du président du Conseil du trésor et du ministre responsable de l’organisme public qui détient les données concernées, sauf lorsque certaines de ces données sont détenues par le ministre de la Santé et des Services sociaux ou par un organisme public sous sa responsabilité, auquel cas la désignation de la source se fait sur recommandation de ce ministre.
Le projet de loi prévoit des règles particulières lorsque les données numériques gouvernementales concernées comprennent des renseignements personnels. Il établit notamment que, dans un tel cas, les fins précisées par le gouvernement doivent être dans l’intérêt public ou au bénéfice des personnes concernées. Il prévoit aussi que l’organisme public désigné comme source officielle de données numériques gouvernementales doit procéder à une évaluation des facteurs relatifs à la vie privée, établir des règles de gouvernance à l’égard de tels renseignements qui doivent être approuvées par la Commission d’accès à l’information et soumettre à cette dernière, à chaque année, un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués.
Pour permettre la mise en œuvre des nouvelles mesures, le projet de loi modifie le cadre de gouvernance applicable en matière de ressources informationnelles. Il crée ainsi les fonctions de chef gouvernemental de la sécurité de l’information, de chef gouvernemental de la transformation numérique et de gestionnaire des données numériques gouvernementales. Il détermine les responsabilités liées à ces fonctions et prévoit qu’elles sont assumées par le dirigeant principal de l’information. Il donne à ce dirigeant un rôle accru à l’égard des organismes publics, incluant celui de formuler des indications d’application, de signifier des attentes, de surveiller la mise en œuvre des obligations prévues par la loi, d’autoriser la mobilité ou la valorisation de données et d’exiger des renseignements ou des rapports concernant leurs activités. Le projet de loi crée également les fonctions de chef délégué à la sécurité de l’information et de gestionnaire délégué aux données numériques gouvernementales et détermine les responsabilités qui y sont rattachées. Ces responsabilités sont assumées, sauf exception, par les dirigeants de l’information des organismes publics, dont les conditions de désignation sont par ailleurs modifiées.
Le projet de loi prévoit que le gestionnaire des données numériques gouvernementales peut confier à un organisme public le mandat de diffuser des données ouvertes ou un jeu de données en format ouvert. Il donne également au gouvernement des pouvoirs réglementaires pour encadrer la gestion des données numériques gouvernementales, entre autres ceux d’exclure des données de l’application de certaines dispositions, de déterminer des normes de qualité des données et
d’établir des règles applicables aux organismes publics visés par une autorisation de mobilité ou de valorisation des données.
Le projet de loi renforce le rôle du président du Conseil du trésor à l’égard des organismes publics, notamment en lui donnant les pouvoirs d’établir des mécanismes de contrôle, de procéder à des audits et de désigner une personne pour vérifier si un organisme public respecte les dispositions de la loi.
Le projet de loi modifie la Loi sur l’administration publique pour préciser les fonctions du président du Conseil du trésor en lien avec le nouveau cadre établi. Pour permettre l’application des mesures concernant la mobilité et la valorisation des données numériques gouvernementales, il modifie également les régimes spécifiques de protection des renseignements prévus par la Loi sur l’administration fiscale, la Loi sur l’assurance maladie et la Loi sur les services de
santé et les services sociaux.
Enfin, le projet de loi modifie la Loi concernant le cadre juridique des technologies de l’information pour régulariser certains procédés de signature électronique de documents par les représentants d’un ministère ou d’un organisme. Il contient également des dispositions diverses et transitoires, dont une disposition validant rétroactivement la signature électronique de ces documents, ainsi qu’une disposition qui reporte au 13 juin 2026 l’obligation du président du Conseil du trésor de faire rapport au gouvernement sur l’application de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et l’opportunité de maintenir ou de modifier ses dispositions.”