Le 6 novembre dernier, le Commissariat à la protection de la vie privée du Canada publiait un communiqué à l’effet que les commissaires fédéral, provinciaux et territoriaux à l’information et à la protection de la vie privée avaient adopté une résolution commune réclamant une modernisation du cadre législatif applicable en matière de protection des renseignements personnels. Le Québec, par le biais de Me Diane Poitras, présidente par intérim de la Commission d’accès à l’information, est signataire de cette résolution.
La protection des renseignements personnels n’a jamais autant été d’actualité que cette année, avec les nombreuses fuites de données sensibles dont les médias ont fait état et qui ont touché des millions de québécois. Pensons notamment au vol de renseignements personnels dont tous les particuliers membres du Mouvement Desjardins ont été victimes. C’est donc dans l’air du temps et avec raison que les commissaires à l’information et à la protection de la vie privée sonnent l’alarme sur la désuétude des différentes lois visant à protéger les renseignements personnels des individus et assurer l’accès à l’information.
Cette résolution, sans précédent, exhorte le gouvernement canadien ainsi que celui des provinces et territoires à mettre à jour leurs législations respectives en matière d’accès à l’information et protection des renseignements personnels. Plus précisément, la résolution demande une mise à jour législative qui respecterait 26 principes divisés en quatre grands axes soient: la protection des renseignements personnels (13), l’accès à l’information (7), l’application des lois (3) et les engagements des commissaires (3).
Parmi ces principes nous retrouvons notamment: […]
« Pour la protection des renseignements personnels
[…]
Toutes les organisations des secteurs public et privé doivent établir et implanter des cadres de gestion de la protection des renseignements personnels qui incluent au minimum des politiques et des pratiques conçues pour se conformer aux lois applicables en vigueur et se tenir prêtes à démontrer qu’elles assument leurs responsabilités;
[…]
Les organisations des secteurs public et privé doivent déclarer aux organismes de surveillance les incidents de sécurité impliquant des renseignements personnels et en aviser les personnes concernées;
[…]
Pour l’accès à l’information
[…]
Les informations d’intérêt public sont divulguées de manière proactive;
Le droit d’accès s’applique aux informations détenues par les organismes publics quelle qu’en soit la forme, y compris les courriers électroniques, les messages texte, etc.
En ce qui concerne l’application des lois
Les individus disposent de moyens efficaces pour faire valoir leurs droits d’accès et ceux relatifs au respect de leur vie privée et à la protection de leurs renseignements personnels. Ils peuvent se plaindre qu’une organisation ne respecte pas ses obligations légales;
Des organismes de surveillance indépendants, efficaces et suffisamment financés disposent de pouvoirs de contrôle étendus et adaptés à l’environnement numérique, tels que des pouvoirs d’enquête et d’audit à leur propre initiative, des pouvoirs de contraindre à témoigner et d’exiger la production de documents dans le cadre de révisions et d’enquêtes, le cas échéant, des pouvoirs d’ordonnance et des pouvoirs d’imposer des pénalités, des amendes et des sanctions.
[…]
(nos soulignements) »
Au Québec, l’urgence d’agir est bien présente. Les principales lois applicables en la matière, soient la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi sur l’accès dans le secteur privé ») et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (ci-après « Loi sur l’accès dans le secteur privé ») ont été respectivement adoptées en 1993 (entrée en vigueur en 1994) et en 1982. L’une est vieille de 25 ans alors que l’autre à plus de 35 ans. Certes, la Loi sur l’accès dans le secteur public a bénéficié de plusieurs modifications au fil des ans, mais aucune refonte majeure.
Actuellement, les entreprises privées n’ont pas l’obligation d’établir de politique interne relativement à la protection des renseignements personnels qu’elles détiennent. Elles ne doivent prendre que « les mesures de sécurité propre à assurer la protection des renseignements personnels »1. Du côté des organismes publics, il existe cependant certaines dispositions contraignantes dont l’article 7 du Règlement sur la diffusion de l’information et sur la protection des renseignements personnels et l’article 7 de la Directive sur la sécurité de l’information du conseil du Trésor qui obligent l’établissement de certaines normes et politiques en matières de protection des renseignements personnels et de sécurité de l’information. Par contre, autant les organisations privées que publiques n’ont pas l’obligation de divulguer les incidents de sécurité auprès des organismes de surveillance. Ces divulgations se font plutôt sur une base volontaire auprès de la Commission d’accès à l’information. L’obligation de divulguer à la personne visée par l’incident de sécurité n’est pas non plus prévue dans nos lois provinciales. Depuis le 1er novembre 2018, cette obligation de divulgation (aux organismes de surveillance et à la personne visée) est, par contre, prévue aux articles 10.1 et suivants de la Loi fédérale.
Concernant l’accessibilité à l’information, les organismes publics sont très peu enclins à partager les informations qu’ils détiennent, et ce, même si elles sont à haut potentiel de réutilisation. Cela pourrait possiblement changer considérant que le Gouvernement du Québec a comme ambition claire de valoriser ses données et de les redonner aux citoyens dans le cadre de sa Stratégie de transformation numérique gouvernementale 2019-2023. Cependant, beaucoup de travail reste à faire afin de changer la mentalité des organismes publics, à ce niveau. Même que certains utilisent parfois des prétextes un peu farfelus pour refuser l’accès à de l’information. Cela fut notamment le cas d’une décision de 2017 de la Commission d’accès à l’information qui a donné raison à une municipalité de refuser l’accès à des documents considérant qu’ils étaient trop volumineux pour être transmis sur une clé USB.
Également, certains principes de la résolution commune visent spécifiquement l’efficience des organismes de surveillance. Au Québec, c’est la Commission d’accès à l’information qui assure ce rôle. Malheureusement, tout juriste exerçant en matière d’accès à l’information peut facilement constater le sous-financement dont la Commission est victime et qui entraîne parfois des délais de plusieurs années avant qu’une demande de révision ne soit entendue.
Finalement, dans un article de LaPresse.ca, daté du 7 novembre 2019, il était mentionné qu’il était de l’intention de la ministre de la Justice, Sonia Lebel, de déposer un projet de loi dans les prochains mois afin de moderniser le cadre légal sur l’usage des renseignements personnels. Reste à voir si cette promesse se concrétisera, car ce n’est pas la première fois qu’elle est faite.
Commentaires