Les urgences

Les brèves audiences de la commission parlementaire tenues la semaine dernière pour débattre des enjeux révélés par les fuites de données personnelles ont une fois de plus mis en lumière la vétusté des lois sur la protection des renseignements personnels.

Dans son récent rapport annuel déposé fin octobre, la vice-présidente de la Commission d’accès à l’information, l’instance chargée d’appliquer les lois sur l’accès aux documents publics et sur la protection des renseignements personnels, écrivait que les législations novatrices dont le Québec s’était doté il y a trois décennies « n’ont pas évolué au même rythme que la société ». Du côté de l’accès aux documents des organismes publics, « la législation actuelle et son application par les organismes publics ne favorisent pas une culture de transparence et d’accès aux documents qu’ils détiennent ». De même, « la quantité de données personnelles actuellement colligées, utilisées et communiquées par les organisations dépasse ce que l’on croyait possible à l’époque de l’adoption de ces lois ».

Les lois sur l’accès aux documents publics sont si dépassées qu’il faut sérieusement se demander s’il vaut toujours la peine de les invoquer. La Commission fait état d’un sondage selon lequel 82 % des répondants considèrent que l’accès aux documents est essentiel au bon fonctionnement d’une démocratie, mais à peine 44 % des répondants se disent satisfaits du niveau d’accès aux documents des organismes publics. Trois répondants sur quatre considèrent que le gouvernement devrait prendre des mesures pour s’assurer que plus d’informations soient facilement accessibles au public.

Au fil du temps, la portée des exceptions au droit d’accès a été étendue et certaines sont appliquées de façon tellement tatillonne qu’il faut souvent des années avant de déterminer si un document est effectivement accessible. Une revue radicale pour limiter les exceptions et les dispositions qui récompensent les organismes publics qui choisissent de mal gérer leurs documents publics pour ensuite en refuser l’accès en invoquant le fardeau trop lourd que leur impose le respect de la loi est un minimum.

Renseignements à la dérive

Début novembre, l’ensemble des organismes de protection des renseignements personnels canadiens exhortait les législateurs à faire en sorte que « toutes les organisations des secteurs public et privé participant au traitement des renseignements personnels soient assujetties aux lois sur la protection des renseignements personnels et que les lois accordent des pouvoirs accrus de contrôle comme ceux de rendre des ordonnances et d’imposer des pénalités, des amendes ou des sanctions ».

On pourrait assurément ajouter l’impérieuse nécessité de doter ces organismes des ressources suffisantes pour leur permettre d’agir de façon proactive en matière de protection des renseignements personnels. Dans un monde où ces ressources précieuses ont tant d’importance, il faut des organismes publics dotés de pouvoirs d’inspection et capables d’ordonner aux entreprises et aux organismes publics de prendre, en temps utile, des mesures conséquentes pour prévenir les fuites de données.

Le renforcement de la protection des renseignements personnels n’a pas à se faire au détriment de la transparence. Il faut se méfier d’une tendance persistante en certains milieux à faire passer pour de la protection de la vie privée ce qui n’est que des mesures pour camoufler des informations d’intérêt public. Par exemple, le registre des entreprises du Québec, pourtant créé pour rendre accessibles d’importants renseignements pour assurer la transparence, a été verrouillé pour empêcher les consultations étendues permettant de connaître l’identité de ceux qui possèdent des entreprises. En restreignant les finalités d’intérêt public de ce registre, on a empêché de le consulter à des fins d’information du public et de journalisme d’enquête.

L’équilibre nécessaire

La révision des lois sur la protection des renseignements personnels devra tenir compte du jugement de la Cour suprême voulant que celles-ci ne peuvent interdire de recueillir des renseignements à caractère publics ne comportant aucune information intime. Il faut baliser les interdictions se trouvant dans les lois sur la protection des renseignements personnels de manière à permettre l’exercice des activités expressives ne relevant pas de l’intimité des individus. Il faut certes protéger le droit à la vie privée et assurer un encadrement efficace de la collecte et de la communication de renseignements personnels. Mais il est excessif de considérer tout renseignement personnel comme relevant du seul bon vouloir du sujet.

Les données massives obtenues notamment par la collecte de renseignements personnels impliquent d’importants enjeux pour la collectivité. Maintenir le régime actuel, qui permet à une entreprise de faire ce qu’elle veut des renseignements personnels dès lors qu’elle en assure la sécurité et obtient un « consentement libre et éclairé » de chacun des individus, n’est plus une approche crédible en cette époque où ces données sont l’un des principaux vecteurs de création de la valeur dans l’univers connecté.

En traitant les données massives comme s’il suffisait de s’assurer que les individus aient consenti aux divers usages qu’en font les entreprises et les organismes publics, les lois actuelles ne font qu’en faciliter l’appropriation privée sans contrepartie. Les régulations publiques doivent faire plus que simplement vérifier si les individus ont consenti. Les lois doivent garantir que la valeur générée par les données massives bénéficie à la collectivité et que les décisions prises grâce à ces ressources communes à tous ne sont pas discriminatoires ou autrement préjudiciables.