droitdu.net

Un site utilisant Plateforme OpenUM.ca

Résumé des recommandations concernant les nouvelles technologies dans le rapport Rétablir l’équilibre de la Commission d’Accès d’Information

29 octobre 2016
Commentaires
Permalien

Selon le Global Right information Rating et le Center for Law and Democracy, le Québec se classe au 10e rang des 14 juridictions canadiennes selon une « série d’indicateurs visant à déterminer la force de la législation en vigueur selon sept catégories : droit d’accès, portée, procédures de présentation des demandes, exceptions et refus, appels, mesures de sanction et de protection, initiatives de promotion ». Le rapport quinquennal de la Commission d’accès à l’information rappelle ce classement : dans une conférence de presse, le 06 octobre 2016, Jean Chartier, président de la Commission d’accès à l’information, a souligné que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé doivent être revues en profondeur puisqu’elles ne l’ont jamais été. Lors de la présentation de l’ensemble des 67 recommandations proposées au gouvernement par monsieur Chartier, celui-ci s’est dit préoccupé par les enjeux d’importance tel que l’apparition des nouvelles technologies.

Le sixième rapport quinquennal présente ses recommandations sous trois axes : la transparence des organismes, la protection de la vie privée et le mouvement mondial des données ouvertes. L’axe protection des données est au cœur de nombreuses recommandations, notamment puisque nous « assistons à l’érosion de la vie privée et de la protection des renseignements personnels dans le contexte des environnements électroniques ». Un problème alarmant est souligné par le rapport Rétablir l’équilibre à l’effet que les demandes d’accès portent régulièrement sur des documents qui n’existent pas au moment de la demande. En effet, plusieurs données enregistrées dans des banques de données nécessitent la production d’un rapport afin d’obtenir les informations sous formes intelligibles. Toutefois, la Loi sur l’accès « ne s’applique qu’aux documents déjà confectionnés et détenus par les organismes publics » puisque l’article 1 prévoit que « [l]a présente loi s’applique aux documents détenus par un organisme public dans l’exercice de ses fonctions, que leur conservation soit assurée par l’organisme public ou par un tiers ».

Ainsi les demandes visant l’accès à des rapports produits avec l’aide de bases de données seront fréquemment refusées par les organismes qui invoquent l’article 1 et l’article 15 qui prévoit que « [l]e droit d’accès ne porte que sur les documents dont la communication ne requiert ni calcul, ni comparaison de renseignements ». Pour le président de la Commission, « [d]ans le contexte technologique actuel, le refus des organismes devient plus difficilement justifiable » puisque les banques de données sont facilement manipulables afin de produire différents documents et qu’elles sont d’importantes sources d’informations.

Le rapport suggère que cette disposition de la Loi sur les documents des organismes publics devrait plutôt s’apparenter à l’article 4 (3) de la Loi sur l’accès à l’information fédérale :

« [p]our l’application de la présente loi, les documents qu’il est possible de préparer à partir d’un document informatisé relevant d’une institution fédérale sont eux-mêmes considérés comme relevant de celle-ci, même s’ils n’existent pas en tant que tels au moment où ils font l’objet d’une demande de communication ».

La Commission a également abordé le problème de l’absence de documentation des échanges entre les organismes publics et les individus effectuant des demandes sous la Loi sur les documents des organismes publics. Selon la Commission, des « réponses inadéquates » peuvent résulter de cette gestion documentaire inadéquate. Elle recommande l’obligation pour les organismes publics de documentation des processus décisionnels.

La Commission a décidé d’aborder deux enjeux en matière de données ouvertes : « le choix des jeux de données dont la diffusion doit être priorisée et la protection des renseignements personnels qu’ils sont susceptibles de contenir ». La Commission reconnaît que les données ouvertes permettent d’accroître la transparence, mais qu’elles présentent également des défis importants. La Commission recommande d’« [a]dopter le principe de l’ouverture par défaut des données détenues par les organismes publics, sous réserve de motifs légitimes justifiant que certaines données ne peuvent être diffusées ».   Cette suggestion surprend, surtout que le rapport présente les risques inhérents aux données ouvertes, notamment en matière d’anonymisation.

La Loi sur l’accès prévoit à l’article 55 qu’un « renseignement personnel qui a un caractère public en vertu de la loi n’est pas soumis aux règles de protection des renseignements personnels prévues par le présent chapitre » et, ainsi, la diffusion ou le partage à des tiers peut être fait sans restriction. Le rapport de la Commission souligne le fait qu’au moment de l’adoption de la loi, « l’accessibilité à ces données et leur utilisation étaient jadis limitées par leur support (souvent papier) et leur mode de consultation (sur place ou photocopie), il est désormais possible de les rendre accessibles dans un format réutilisable à l’échelle planétaire ». La difficulté de contrôler la diffusion des banques de données ouvertes est également pointée du doigt dans le rapport comme un « facteur aggravant ».

Le rapport souligne la difficulté de circonscrire l’utilisation des banques de données à des fins spécifiques lorsque des renseignements sont publiés par souci de transparence. Le président de la commission tire la conclusion que des risques « d’atteinte à la vie privée des individus [sont] susceptibles de découler de l’accès à l’ensemble d’une banque de données dans un format électronique et les utilisations susceptibles d’en découler dépassent largement le motif d’intérêt public ayant mené à conclure à leur caractère public dans un but précis ».

Concernant les données ouvertes, une attention particulière est portée à la question de l’anonymisation et de la dépersonnalisation des renseignements personnels. Le rapport Rétablir l’équilibre rappelle que « l’anonymisation ou la dépersonnalisation de renseignements ne se limite pas à retirer d’une banque de données les identifiants directs d’une personne, comme son nom, son adresse, ou un numéro unique qui lui est attribué (ex. : son numéro d’assurance maladie, de permis de conduire ou d’assurance sociale » puisque dans plusieurs situations, des informations sans référence à un identifiant direct vont tout de même permettre d’identifier une personne selon le contexte. Pour Paul Ohm, Professeur titulaire à la Faculté de droit de l’Université de Chicago, le pouvoir de réidentification est très puissant et malgré que « some researchers have developed new techniques that do better than forget-and-release anonymization, these techniques have significant limitations ». Les récents développements technologiques qui permettent la réidentification des données dépersonnalisées augmentent évidemment les risques en matière de vie privée rattachés à la diffusion des données.

Le rapport présente également la position des sénateurs Gaëtan Gorce (Soc. – Nièvre) et François Pillet (ratt. UMP – Cher) indiquant que « les techniques de recoupement d’informations constituent un moyen très efficace pour percer l’anonymat des bases de données ».   Le rapport admet que « la diffusion de la même banque de données au grand public, en format ouvert, sans limitation quant à son utilisation, comporte évidemment un niveau de risque de réidentification beaucoup plus élevé », mais suggère tout de même d’adopter le principe de l’ouverture par défaut. Pour le Groupe de travail Article 29 sur la protection des données, le critère « des moyens susceptibles d’être raisonnablement mis en œuvre doit être appliqué pour apprécier si le procédé d’anonymisation est suffisamment fiable, c’est-à-dire si l’identification est devenue raisonnablement impossible » serait à privilégier. Le rapport Rétablir l’équilibre ne se prononce toutefois pas sur les techniques d’anonymisation, mais prévoit plutôt la minimisation des conséquences d’une réidentification en suggérant la mise en place d’« une stratégie d’intervention rapide en cas de réidentification de renseignements ou de diffusion accidentelle de renseignements permettant d’identifier un individu : par exemple, la suppression de la banque de données, la révision de son anonymisation, la récupération des données, etc. […] ».

Concernant la question des renseignements particulièrement sensibles que sont les données biométriques l’intégration de cette technologie dans des domaines variés de la vie quotidienne entraîne selon le rapport Rétablir l’équilibre « une désensibilisation des citoyens qui ne perçoivent plus les risques à l’égard de la protection des renseignements personnels ni l’impact que cette technologie peut avoir sur leur vie actuelle, mais aussi future ». L’article 45 de la Loi concernant le cadre juridique des technologies de l’information prévoit que « [l]a création d’une banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission d’accès à l’information. De même, doit être divulguée l’existence d’une telle banque qu’elle soit ou ne soit pas en service ».

Cette déclaration obligatoire serait fréquemment omise par les entreprises et organismes publics qui créent des banques de données biométriques selon les chiffres du rapport Rétablir l’équilibre et cela « empêche la Commission de s’assurer que celles-ci répondent à une nécessité justifiée, que d’autres solutions moins envahissantes ne peuvent être envisagées et que les risques d’atteinte à la protection des renseignements personnels sont réduits au minimum ». Les recommandations sur les données biométriques sont, notamment, le dépôt d’un rapport à la Commission 60 jours avant la mise en service ainsi que l’établissement de « mesures d’entreposage et de conservation des caractéristiques ou mesures biométriques propres à assurer leur confidentialité […] en imposant l’anonymisation irréversible des caractéristiques ou des mesures biométriques immédiatement après qu’elles aient été collectées ». Cette recommandation sur l’anonymisation irréversible des données biométriques m’apparaît paradoxale puisque les commentaires du rapport sur l’anonymisation des données affirment que les techniques de réidentification sont très fortes et en développement constant. L’utilisation des termes « raisonnablement impossibles », utilisés par le Groupe de travail Article 29, serait donc à privilégier.

L’article 10.1 de la LPRPDE sur l’obligation de déclaration aux commissaires de toute atteinte aux mesures de sécurité qui peuvent avoir un impact sur la protection des renseignements personnels « s’il est raisonnable de croire que l’atteinte présente un « risque réel de préjudice grave à l’endroit [d’une personne] » est accueillie favorablement par le président de la Commission puisque cette disposition est un incitatif à mettre des mesures de sécurité adéquates. Le rapport suggère donc de modifier la Loi sur l’accès et la Loi sur le privé afin « que l’obligation de déclarer à la Commission les incidents de sécurité portant sur des renseignements personnels y soit ajoutée » et que « les organismes publics et les entreprises soient obligés de notifier les personnes concernées lors de la survenance d’un incident de sécurité portant sur des renseignements personnels ».

Dans un article publié dans le Devoir par Pierre Trudel, professeur titulaire au Centre de recherche en droit public (CRDP) de l’Université de Montréal, celui-ci avance que

« la Commission a importé à l’égard des renseignements à caractère public le principe de finalité à l’origine conçu pour garantir la protection des renseignements personnels privés. Elle s’est mise à décider que des informations à caractère public l’étaient uniquement pour une finalité déterminée, mais pas pour une autre ».

Pour Pierre Trudel, « on a perverti le principe de finalité à l’origine destiné à assurer la protection des renseignements personnels privés » et la Commission a collaboré « à rompre le délicat équilibre entre la transparence et la confidentialité ». Finalement, Pierre Trudel affirme que « [l]e rapport Rétablir l’équilibre propose des avenues afin de restaurer un véritable droit d’accès aux documents publics considérables. Mais il y manque des mesures pour remédier au déficit de transparence induit par les interprétations de la Commission elle-même ».

La ministre responsable de l’Accès à l’Information et de la Réforme des institutions démocratiques, Rita de Santis, a profité de la Semaine du droit à l’information pour rappeler l’importance du droit à l’information « qui, au même titre que le droit à la vie privée est reconnu par la Carte des droits et libertés de la personne ». Dans un communiqué de presse, la ministre a également mentionné que la Loi sur l’accès se doit d’être modernisée afin de « mieux arrimer la réalité à l’aspect législatif ». Un projet de loi visant à réviser la Loi sur l’accès devrait d’ailleurs être déposé d’ici décembre 2016.   Elle a affirmé au Devoir être « en train de préparer des modifications substantielles à la loi afin de nous remettre en tête de la classe ».

Sur le même sujet

Derniers tweets