La Commission d’accès est vigilante

À l’heure actuelle, il n’est pas possible de répertorier les incidents ayant lieu et impliquant les renseignements personnels des citoyens.
Photo: Jacques Nadeau Archives Le Devoir À l’heure actuelle, il n’est pas possible de répertorier les incidents ayant lieu et impliquant les renseignements personnels des citoyens.

Le 14 juillet, Le Devoir « révélait » que des renseignements personnels sur les citoyens étaient communiqués entre organismes et faisait référence au personnage de « Big Brother » afin d’illustrer son propos. Le 16 juillet, Le Devoir exprimait ses préoccupations quant au partage d’informations au sein de l’appareil étatique.

 

Afin de bien comprendre les mécanismes de communication prévus à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, il semble que certains éléments doivent être remis dans leur contexte. Au Québec, le législateur a prévu un régime de protection qui impose, comme prémisse à la collecte, à la communication ou à l’utilisation de renseignements personnels, le consentement libre, manifeste et éclairé de la personne concernée.

 

Les deux articles mentionnés précédemment font référence à une clause qui prévoit une communication au bénéfice de la personne concernée. Or, il va sans dire que cette clause est rarement utilisée dans le cadre d’entente de communication entre organismes. En effet, les organismes élaborent des ententes de communication afin de mettre en oeuvre des programmes dont ils ont la gestion et, la plupart du temps, ces communications sont prévues expressément dans leurs lois respectives.

 

Ces ententes doivent être soumises à l’analyse rigoureuse de la Commission, qui doit rendre un avis motivé en prenant en considération l’impact de la communication sur la vie privée des personnes concernées.

 

Dans certains cas, les projets soumis à la Commission reçoivent un avis défavorable et doivent être modifiés pour réduire l’impact de la communication sur la vie privée des personnes ou encore être abandonnés afin que le consentement des personnes soit sollicité.

 

Par ailleurs, les organismes ont la responsabilité d’informer les personnes des communications de renseignements personnels les concernant. Notons que les avis de la Commission sont publiés sur son site Internet.

 

Il est indéniable que les avancées technologiques permettent aujourd’hui l’analyse et le croisement efficace de fichiers de données. Les risques de dérives sont bien présents, notamment en ce qui concerne les incidents de sécurité, la perte ou le vol de renseignements personnels.

 

À l’heure actuelle, il n’est pas possible de répertorier les incidents ayant lieu et impliquant les renseignements personnels des citoyens. Les organismes publics et les entreprises n’ont toujours aucune obligation d’informer les personnes concernées par une violation de la confidentialité.

 

La Commission a de tout temps été préoccupée par la protection des renseignements personnels des citoyens et c’est dans cet esprit qu’elle plaide en faveur d’une déclaration obligatoire des incidents de sécurité impliquant des renseignements personnels, tout comme cela se fait en Alberta, en Australie et dans certains états américains.

À voir en vidéo