La Commission d’accès est vigilante

À l’heure actuelle, il n’est pas possible de répertorier les incidents ayant lieu et impliquant les renseignements personnels des citoyens.
Photo: Jacques Nadeau Archives Le Devoir À l’heure actuelle, il n’est pas possible de répertorier les incidents ayant lieu et impliquant les renseignements personnels des citoyens.

Le 14 juillet, Le Devoir « révélait » que des renseignements personnels sur les citoyens étaient communiqués entre organismes et faisait référence au personnage de « Big Brother » afin d’illustrer son propos. Le 16 juillet, Le Devoir exprimait ses préoccupations quant au partage d’informations au sein de l’appareil étatique.

 

Afin de bien comprendre les mécanismes de communication prévus à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, il semble que certains éléments doivent être remis dans leur contexte. Au Québec, le législateur a prévu un régime de protection qui impose, comme prémisse à la collecte, à la communication ou à l’utilisation de renseignements personnels, le consentement libre, manifeste et éclairé de la personne concernée.

 

Les deux articles mentionnés précédemment font référence à une clause qui prévoit une communication au bénéfice de la personne concernée. Or, il va sans dire que cette clause est rarement utilisée dans le cadre d’entente de communication entre organismes. En effet, les organismes élaborent des ententes de communication afin de mettre en oeuvre des programmes dont ils ont la gestion et, la plupart du temps, ces communications sont prévues expressément dans leurs lois respectives.

 

Ces ententes doivent être soumises à l’analyse rigoureuse de la Commission, qui doit rendre un avis motivé en prenant en considération l’impact de la communication sur la vie privée des personnes concernées.

 

Dans certains cas, les projets soumis à la Commission reçoivent un avis défavorable et doivent être modifiés pour réduire l’impact de la communication sur la vie privée des personnes ou encore être abandonnés afin que le consentement des personnes soit sollicité.

 

Par ailleurs, les organismes ont la responsabilité d’informer les personnes des communications de renseignements personnels les concernant. Notons que les avis de la Commission sont publiés sur son site Internet.

 

Il est indéniable que les avancées technologiques permettent aujourd’hui l’analyse et le croisement efficace de fichiers de données. Les risques de dérives sont bien présents, notamment en ce qui concerne les incidents de sécurité, la perte ou le vol de renseignements personnels.

 

À l’heure actuelle, il n’est pas possible de répertorier les incidents ayant lieu et impliquant les renseignements personnels des citoyens. Les organismes publics et les entreprises n’ont toujours aucune obligation d’informer les personnes concernées par une violation de la confidentialité.

 

La Commission a de tout temps été préoccupée par la protection des renseignements personnels des citoyens et c’est dans cet esprit qu’elle plaide en faveur d’une déclaration obligatoire des incidents de sécurité impliquant des renseignements personnels, tout comme cela se fait en Alberta, en Australie et dans certains états américains.

NOUVELLE INFOLETTRE

« Le Courrier des idées »

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel. Les envois débuteront la fin de semaine du 19 janvier 2019.

1 commentaire
  • François Bélanger Boisclair - Inscrit 22 juillet 2014 08 h 29

    Protection insuffisante

    La loi actuelle permet une utilisation abusive des renseignements personnels dans un but différent de ceux qui ont justifié sa collecte. Le registre des armes à feu par exemple a été utilisé par les corps policiers pour retrouver des personnes pour amendes impayées. Il s’agit d’une utilisation abusive de renseignement dans un autre but. Cette pratique devrait être purement interdite quand son utilisation n’est pas justifiée par une situation qui vise à agir de manière immédiate pour protéger la vie d’une personne. Même dans un tel cas, une fois la menace passée, la personne dont les renseignements ont été utilisés devrait être systématiquement informée de l’utilisation de cette clause dérogatoire de manière précise.

    La loi devrait aussi forcer chacun des ministères, sociétés d’État, corps policier ou organismes privés à rendre publique sur son site Internet la nature du transfert d’information qu’elle effectue avec un tiers. Cette information devrait spécifier de manière précise le type d’information et en vertu de quelles entente ou loi elle le fait et avec qui.

    L’obligation de déclarer un bris de confidentialité aux intéressés devrait être aussi systématique et immédiate sous peine de forte amende.