Commission d’accès à l’information du Québec Dossier : 05 11 77 Date : Le 30 mars 2006 Commissaire : M e Diane Boissinot X Demandeur c. LOTO-QUÉBEC Organisme DÉCISION OBJET : DEMANDE DE RÉVISION EN MATIÈRE D'ACCÈS formulée en vertu de l’article 135 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 1 . [1] Le 20 mai 2005, le demandeur s’adresse par télécopieur à la responsable de l’accès de l’organisme (la Responsable) afin d’obtenir une copie de tous les documents, avis et rapports concernant le Projet Méhari. [2] Le 26 mai suivant, la Responsable, se prévalant du délai supplémentaire de dix jours prévu à l’article 47 de la Loi, avise le demandeur qu’une réponse de sa part lui parviendra au plus tard le 20 juin 2005. [3] Le 20 juin 2005, la Responsable refuse au demandeur l’accès aux renseignements qu’il demande au motif qu’ils sont visés par les articles 22, 29, 37, 39 et 41 de la Loi. 1 L.R.Q., c. A-2.1, ci-après appelée la « Loi ».
05 11 77 Page : 2 [4] Le 24 juin 2005, le demandeur requiert la Commission d’accès à l’information (la Commission) de réviser cette décision de la Responsable. [5] Une audience se tient en la ville de Québec, le 20 janvier 2006, séance au cours de laquelle les parties sont complètement entendues. L'AUDIENCE A. LA PREUVE i) De l’organisme Témoignage de monsieur Martin Larose [6] Monsieur Larose occupe le poste de directeur à la Direction corporative, vérification interne de l’organisme. Il œuvre au sein de cette direction depuis 1995. Sa fonction consiste principalement à voir à tout ce qui touche la vérification interne et à analyser tous les rapports des conseils mandatés par l’organisme. [7] Il dépose sous pli confidentiel scellé, entre les mains de la Commission, les quatorze (14) documents en litige suivants : 1 Casino de Montréal – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (96 pages); 2 Casino du Lac-Leamy – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (41 pages); 3 Casino de Charlevoix – Analyse de risques, Projet Méhari, préparée le 25 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (54 pages); 4 Resto-Casino de Montréal – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (20 pages);
05 11 77 Page : 3 5 Resto-Casino Lac-Leamy – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (20 pages); 6 Hôtel Hilton Lac-Leamy – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (21 pages); 7 Société des casinos du Québec – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (23 pages); 8 Société des casinos du Québec, Rapport Consolidé – Analyse de risques, Projet Méhari, préparée le 20 mai 2003 sous l’égide de Samson Bélair Deloitte & Touche (10 pages); 9 Loto-Québec – Unités administratives – Analyse de risques, Projet Méhari, préparée le 21 mai 2003 sous l’égide de Samson Bélair Deloitte & Touche (59 pages); 10 Loto-Québec – Jeux – Analyse de risques, Projet Méhari, préparée le 21 mai 2003 sous l’égide de Samson Bélair Deloitte & Touche (79 pages); 11 Société des loteries vidéo du Québec – Analyse de risques, Projet Méhari, préparée le 15 janvier 2003 sous l’égide de Samson Bélair Deloitte & Touche (28 pages); 12 Société des bingos du Québec – Analyse de risques, Projet Méhari, préparée le 28 janvier 2003 sous l’égide de Samson Bélair Deloitte & Touche (29 pages); 13 Ingenio – Analyse de risques, Projet Méhari, préparée le 24 février 2003 sous l’égide de Samson Bélair Deloitte & Touche (14 pages); 14 Loto-Québec – Rapport Consolidé – Analyse de risques, Projet Méhari, préparée le 20 mai 2003 sous l’égide de Samson Bélair Deloitte & Touche (12 pages). [8] Il affirme que ces documents sont les seuls documents détenus par l’organisme qui sont susceptibles de répondre à la demande d’accès. Il ajoute que l’organisme n’en détient pas d’autres.
05 11 77 Page : 4 [9] Il explique dans quel contexte il a démarré le Projet Méhari au sein de l’organisme. En 1993, l’organisme s’est vu confier certains mandats par le gouvernement. De 1993 à 2000, à mesure qu’il exécute ces mandats, l’organisme développe différents secteurs de jeux à l’interne et par des filiales. Durant cette période, l’organisme et ses filiales ont ainsi vu le nombre de leurs employés passer de 700 à environ 7 000 et leurs opérations devenir plus complexes. Plusieurs systèmes informatiques gèrent différentes fonctions des casinos et des diverses filiales. Après l’année 2000/2001, il est apparu nécessaire d’obtenir un portrait global des stratégies déjà développées par l’organisme afin que la haute direction de l’organisme puisse assurer convenablement la gestion des risques et prendre à ce sujet des décisions éclairées. [10] Le témoin indique que les directions impliquées dans la sécurité, l’informatique et la vérification interne se sont mises au travail pour trouver la méthode qui convenait le mieux pour obtenir ce portrait global des risques et des contrôles et ainsi connaître le niveau de sécurité atteint. [11] Après examen, en 2002, l’organisme arrête son choix sur la méthode dite « Méhari » (MEthode Harmonisée d'Analyse de RIsques) développée par le CLUSIF (Club de la sécurité des systèmes d’information français). [12] Ainsi, c’est dans son rapport annuel de ses activités pour l’exercice 2003/2004 que l’organisme fait état de ces travaux pour la première fois (O-1, page 31). [13] Le témoin indique que la firme conseil Samson Bélair Deloitte & Touche possédait l’expertise voulue pour appliquer cette méthode « Méhari ». Les autorités de l’organisme lui ont donc confié le mandat de faire cette analyse selon cette méthode en concertation avec le personnel de la Direction corporative, vérification interne et celui de la Direction corporative, sécurité et technologies de l’information. [14] Au cours de l’exercice 2002/2003, quatorze rapports des travaux de cette équipe tripartite ont été préparés sous l’égide de la firme Samson Bélair Deloitte & Touche. Ce sont les documents en litige. [15] Le témoin Larose complète son témoignage en énumérant les cinq étapes et demie (5½) de l’approche Méhari appliquées dans le présent projet : 1) identifier les risques propres à un secteur d’activités, les mesurer et déterminer les impacts des risques sur les opérations; 2) identifier et cibler les ressources informatiques critiques ou sensibles en fonction des risques et des
05 11 77 Page : 5 impacts potentiels; 3) évaluer les forces et les faiblesses des mesures de contrôle ou des mécanismes de sécurité des infrastructures informatiques supportant les opérations de l’ensemble des secteurs d’activité; 4) analyser les résultats et identifier les axes d’amélioration (les 14 rapports en litige); 4.5) prendre les décisions à la haute direction; et 5) mettre en place les plans d’action pour réaliser les améliorations voulues. [16] Le témoin déclare que la force du projet Méhari est de cibler les aspects stratégiques et critiques des opérations. Il ajoute que la situation évolue tout le temps et que le suivi est continuel. [17] En réponse aux questions du demandeur, le témoin ajoute que les quatorze rapports ont été déposés à la haute direction et que des décisions ont été prises après le dépôt de ces rapports. Témoignage de monsieur Harold Côté [18] Monsieur Côté occupe, depuis le 26 juillet 2004, le poste de directeur à la Direction corporative de la sécurité et des technologies de l’information de l’organisme. Il œuvre à la sécurité informatique de l’organisme depuis mai 1989. Seulement dix personnes travaillent avec lui à la Vice-présidence corporative, sécurité. Il fait fréquemment appel à des consultants externes. [19] L’avocat de l’organisme demande à la Commission que permission soit donnée à Monsieur Côté de livrer le reste de son témoignage ex parte et à huis clos afin de démontrer, à partir du texte même des documents en litige, en quoi la divulgation de ces documents ou des renseignements qu’ils contiennent peut vraisemblablement avoir pour effet de réduire l’efficacité d’un dispositif de sécurité destiné à la protection d’un bien ou d’une personne au sens du deuxième alinéa de l’article 29 de la Loi. [20] Le demandeur consent de bonne grâce à cette façon de procéder et la Commission permet le témoignage ex parte et à huis clos de Monsieur Côté dans la mesure où cette façon de procéder demeure essentielle à la qualité de la preuve de l’organisme. La Commission se réserve le droit de cesser l’audition ex parte et à huis clos de ce témoin si elle en venait à la conclusion qu’il est possible au témoin de s’exprimer publiquement sans dévoiler le contenu des documents en litige et sans nuire à la qualité de la preuve de l’organisme. [21] Le témoin déclare que les quatorze documents en litige sont tous construits selon une même structure d’analyse; la présentation formelle et logique est, en substance, identique pour chacun des documents en litige; la méthode d’analyse utilisée est également substantiellement la même.
05 11 77 Page : 6 [22] Le témoignage ex parte et à huis clos de Monsieur Côté se concentre donc sur un seul des quatorze documents, savoir le onzième rapport, portant sur « Société des loteries vidéo du Québec » et contenant 28 pages; le contenu de chacune de ces pages, ou presque, est passé en revue par le témoin. [23] Considérant qu’une partie substantielle de son témoignage était de nature plutôt générale, la Commission demande toutefois au témoin d’en reprendre l’essentiel, publiquement. [24] Le témoin Côté explique alors que les documents en litige sont des analyses détaillées et descriptives des risques afférents aux systèmes informatiques et contiennent des recommandations précises quant aux améliorations à leur apporter et aux mesures de contrôles à instaurer. [25] Il rappelle que chacun des systèmes informatiques est identifié; ses composantes et sa configuration sont décrites, étudiées et analysées. Ces détails révélant les forces et les faiblesses de ces systèmes et des relations entre ceux-ci, il est convaincu que leur divulgation donnerait ouverture à toutes sortes d’attaques malveillantes. [26] Ainsi, le témoin est d’avis que la sécurité des ressources de l’organisme et de ses filiales serait mise en péril par la divulgation des documents demandés ou d’une partie de ceux-ci. ii) Du demandeur [27] Le demandeur ne présente aucun élément de preuve. B. LES ARGUMENTS i) De l’organisme [28] L’avocat de l’organisme annonce que le motif de refus basé sur l’article 41 de la Loi est abandonné par l’organisme. [29] Il annonce également que son argument principal est fondé sur l’application du deuxième alinéa de l’article 29 de la Loi conjointement avec son article 14. Ainsi, ce n’est que de façon subsidiaire qu’il plaidera les exceptions à l’accès fondées sur les articles 22 (alinéas 2 et 3), 37 et 39 de la Loi.
05 11 77 Page : 7 [30] L’avocat de l’organisme plaide que preuve est faite que les renseignements demandés forment le cœur même de toute la sécurité informatique de l’organisme et de ses filiales et que leur divulgation réduirait, de toute évidence, l’efficacité de ce système destiné essentiellement à la protection de biens. [31] Il est d’avis que les conditions d’application du deuxième alinéa de l’article 29 de la Loi sont réunies 2 . [32] Il soutient que les renseignements visés par le deuxième alinéa de l’article 29 formant la substance des documents en litige, la Commission doit appliquer la partie de l’article 14 de la Loi qui permet, dans ce cas, à l’organisme de refuser l’accès à la totalité des documents demandés. [33] L’avocat de l’organisme plaide subsidiairement que les articles 22, 37 et 39 peuvent également s’appliquer au cas qui nous occupe. ii) Du demandeur [34] Le demandeur ne fait pas valoir d’arguments sur l’application de l’article 29 de la Loi. Il présente toutefois certains arguments à l’encontre de l’application des autres articles soulevés subsidiairement par l’organisme. DÉCISION [35] J’ai examiné chacun des documents en litige. Ces quatorze rapports sont tous présentés sous une forme presque identique et suivent une méthode d’analyse quasi uniforme. [36] L’argument principal de l’organisme est fondé sur l’application du deuxième alinéa de l’article 29 de la Loi : 29. Un organisme public doit refuser de communiquer un renseignement portant sur une méthode ou une arme susceptible d'être utilisée pour commettre un crime ou une infraction à une loi. 2 Bergeron c. Québec (Ministère de la sécurité publique), C.A.I. Québec n o 03 22 15, 17 juillet 2005, c. Grenier, (AZ50331998, pages 10 et ss); Fédération des employées et employés de services publics inc. (C.S.N.) c. Société des traversiers du Québec, [1998] C.A.I. 164, (AZ998151025, page 5); X. c. Québec (Ministère de la sécurité publique), C.A.I. Québec n o 04 18 43, 30 mai 2005, c. Boissinot, paragraphes 34 et 47; Thériault c. Lévis (Ville de), [2002] C.A.I. 13, 18, 19.
05 11 77 Page : 8 Il doit aussi refuser de communiquer un renseignement dont la divulgation aurait pour effet de réduire l'efficacité d'un dispositif de sécurité destiné à la protection d'un bien ou d'une personne. [37] J’ai pu constater que les faits révélés par les témoignages de Messieurs Larose et Côté sont pertinents et conviennent à chacun des documents en litige, sans aucune exception. [38] La preuve et la lecture des documents en litige me convainquent que les renseignements contenus dans ces documents sont, de toute évidence, visés par le deuxième alinéa de l’article 29 et en constituent la substance. [39] L’organisme a eu raison de refuser l’accès à la totalité des documents demandés en application de cette disposition et en vertu de la partie ci-après soulignée de l’article 14 de la Loi : 14. Un organisme public ne peut refuser l'accès à un document pour le seul motif que ce document comporte certains renseignements qu'il doit ou peut refuser de communiquer en vertu de la présente loi. Si une demande porte sur un document comportant de tels renseignements, l'organisme public peut en refuser l'accès si ces renseignements en forment la substance. Dans les autres cas, l'organisme public doit donner accès au document demandé après en avoir extrait uniquement les renseignements auxquels l'accès n'est pas autorisé. [40] Étant donné que je peux disposer de tout le litige par la seule application du deuxième alinéa de l’article 29 de la Loi, il n’est pas nécessaire que je me prononce sur les autres motifs de refus soulevés par la Responsable dans sa réponse du 20 juin 2005 et qui n’ont pas été abandonnés en cours d’audition.
05 11 77 Page : 9 [41] POUR TOUS CES MOTIFS, la Commission REJETTE la demande de révision. DIANE BOISSINOT commissaire Avocate de l’organisme : M e France Bonsaint (M c Carthy Tétrault, avocats)
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.