COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC Dossier : 1006671 Nom de l’organisme : Commission scolaire Lester B. Pearson Date : 14 septembre 2015 Membre : M e Cynthia Chassigneux DÉCISION OBJET PLAINTE en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 1 . [1] Le 13 avril 2013, la Commission d’accès à l’information (la Commission) est saisie d’une plainte de la part de Monsieur … (le plaignant) à l’endroit de la Commission scolaire Lester B. Pearson (l’organisme). [2] Cette plainte porte sur la communication à l’extérieur du Québec par l’organisme de renseignements personnels concernant ses élèves et leurs parents ainsi que ses employés à l’entreprise Blackboard Connect inc. (l’entreprise) située aux États-Unis. [3] À la suite de cette plainte, la Commission a procédé à une enquête concernant cette pratique en matière de communication de renseignements personnels. LES FAITS [4] Selon l’enquête, l’organisme a conclu, en juin 2008, un contrat de service relatif à un système de communication téléphonique de masse (mass messaging system) avec l’entreprise. Ce système permettait de communiquer rapidement avec tous les parents en cas d’urgence : par exemple, dans les cas de fermeture pour tempête de neige ou toute autre mesure d’urgence liée à la sécurité des élèves. 1 RLRQ, c. A-2.1, Loi sur l’accès.
1006671 Page : 2 [5] L’enquête a également permis d’établir que les parents des élèves fréquentant l’organisme ainsi que ses employés ont été prévenus de la conclusion de ce contrat lors d’une conférence de presse tenue en février 2009. [6] Le contrat de service a pris fin en juin 2012. Ainsi, les renseignements personnels suivants ont été communiqués par l’organisme à l’extérieur du Québec de 2008 à 2012 en vertu du contrat le liant à l’entreprise : - concernant les employés, il semble que la communication portait sur leur langue de communication, sexe, numéro de téléphone (cellulaire, maison) ainsi que leur courriel autre que professionnel; - concernant les élèves et les parents, il semble que la communication portait sur les prénom et nom de famille des élèves, niveau scolaire, langue de communication, sexe, numéros de téléphone (maison, travail, cellulaire) ainsi que les adresses de courriel des parents. [7] Selon l’organisme, la communication des renseignements personnels à l’entreprise s’est faite dans le cadre d’un contrat de service répondant aux exigences de l’article 67.2 de la Loi sur l’accès et en tenant compte de l’article 70.1 de cette même loi. OBSERVATIONS AU TERME DE L’ENQUÊTE [8] Le 5 mars 2015, la Commission transmet à l’organisme un avis d’intention l’informant que, même s’il n’existe plus de lien juridique entre l’organisme et l’entreprise, elle pourrait néanmoins conclure que l’organisme a contrevenu aux articles 67.2 et 70.1 de la Loi sur l’accès dans le cadre de l’octroi de ce contrat de service. [9] Cet avis indique également que, pour éviter qu’une telle situation ne se reproduise, la Commission pourrait ordonner à l’organisme : - de prendre les mesures nécessaires afin que les contrats de services impliquant la communication de renseignements personnels qu’il conclura à l’avenir réfèrent aux dispositions de la Loi sur l’accès applicables aux renseignements communiqués, aux mesures prises pour s’assurer de leur caractère confidentiel, à leurs conditions d’utilisation et de conservation et à la signature d’un engagement de confidentialité; - d’adopter une directive établissant les conditions et les modalités visant à s’assurer que les renseignements personnels communiqués à
1006671 Page : 3 l’extérieur du Québec bénéficient d’une protection équivalant à celle prévue par la Loi sur l’accès. [10] Finalement, la Commission invite l’organisme à lui présenter ses observations écrites et à produire des documents afin de compléter son dossier dans les 30 jours de la date de réception de cet avis. [11] Le 27 mars 2015, M e …, directeur des services juridiques et des affaires corporatives de l’organisme, demande un délai supplémentaire à la Commission pour présenter les observations de l’organisme. La Commission accorde un délai supplémentaire à l’organisme jusqu’au 8 mai 2015. [12] Le 8 mai 2015, l’organisme présente ses observations à la Commission et l’informe qu’il « est présentement à mettre en place un processus afin de s’assurer du respect des dispositions de la [Loi sur l’accès] ». [13] Le 19 mai 2015, la Commission avise l’organisme qu’elle suspend sa décision jusqu’au 1 er septembre 2015 afin de lui permettre de l’informer des nouvelles directives adoptées en matière de communication de renseignements personnels à des tiers, notamment lors de la conclusion de contrats de service impliquant la transmission de renseignements personnels. [14] À ce jour, la Commission n’a reçu aucune nouvelle correspondance de la part de l’organisme. ANALYSE [15] La Loi sur l’accès prévoit que lorsqu’un organisme public entend communiquer des renseignements personnels, sans le consentement des personnes concernées, dans le cadre d’un contrat de service, ce dernier en plus d’être écrit doit contenir certains éléments 2 . Elle prévoit également que cette communication doit être inscrite dans un registre. 67.2. Un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise confié par l'organisme public à cette personne ou à cet organisme. Dans ce cas, l’organisme public doit : 2 Voir également les obligations découlant de la Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1 et, plus particulièrement l’article 26 de la loi.
1006671 Page : 4 1° confier le mandat ou le contrat par écrit; 2° indiquer, dans le mandat ou le contrat, les dispositions de la présente loi qui s'appliquent au renseignement communiqué au mandataire ou à l'exécutant du contrat ainsi que les mesures qu'il doit prendre pour en assurer le caractère confidentiel, pour que ce renseignement ne soit utilisé que dans l’exercice du mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration. En outre, l'organisme public doit, avant la communication, obtenir un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué, à moins que le responsable de la protection des renseignements personnels estime que cela n’est pas nécessaire. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service visé au premier alinéa doit aviser sans délai le responsable de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et doit également permettre au responsable d’effectuer toute vérification relative à cette confidentialité. […] 67.3. Un organisme public doit inscrire dans un registre toute communication de renseignements personnels visée aux articles 66, 67, 67.1, 67.2, 68 et 68.1, à l’exception de la communication d’un renseignement personnel requis par une personne ou un organisme pour imputer, au compte d’un membre d’un organisme public, de son conseil d’administration ou de son personnel, un montant dont la loi oblige la retenue ou le versement. [...] [16] De plus, la Loi sur l’accès prévoit que lorsque des renseignements personnels sont communiqués à l’extérieur du Québec, un organisme public doit s’assurer que les renseignements bénéficieront d’une protection équivalant à celle prévue par cette loi. 70.1. Avant de communiquer à l’extérieur du Québec des renseignements personnels ou de confier à une personne ou à un organisme à l'extérieur du Québec la tâche de détenir, d'utiliser ou de communiquer pour son compte de tels renseignements, l'organisme public doit s'assurer qu'ils bénéficieront d'une protection équivalant à celle prévue à la présente loi.
1006671 Page : 5 Si l’organisme public estime que les renseignements visés au premier alinéa ne bénéficieront pas d’une protection équivalant à celle prévue à la présente loi, il doit refuser de les communiquer ou refuser de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de les détenir, de les utiliser ou de les communiquer pour son compte. [17] L’enquête a démontré que le contrat de service conclu entre l’organisme et l’entreprise ne faisait pas référence aux dispositions de la Loi sur l’accès applicables aux renseignements communiqués à l’exécutant du contrat et aux mesures devant être prises par l’entreprise pour s’assurer de leur caractère confidentiel, des conditions d’utilisation et de conservation. [18] L’enquête a également mis de l’avant que rien ne permet d’affirmer que l’organisme a obtenu, avant la communication des renseignements personnels, d’engagement de confidentialité complété par les employés de l'entreprise qui pouvaient avoir accès à ces renseignements. [19] L’organisme a reconnu, le 8 mai 2015, que le contrat de service conclu avec l’entreprise « ne référait pas explicitement aux obligations prévues à la [Loi sur l’accès] ». Il a prétendu, néanmoins, qu’il avait « obtenu des engagements additionnels à l’égard des mesures de sécurité qui étaient mises en place par [l’entreprise] ». [20] Au soutien de cette prétention, l’organisme a transmis une lettre datée du 18 février 2009, en précisant que celle-ci reproduisait les engagements de l’entreprise « concernant notamment les procédures de rétention et de destruction des données et les ententes de confidentialité signées par les employés » et prévoyant « que l’accès aux renseignements devait être limité aux employés ». [21] L’organisme a également précisé qu’il avait « eu accès aux différentes politiques de l’entreprise concernant la protection des renseignements qui lui étaient transmis, lesquelles étaient disponibles sur le site du fournisseur et le contrat y référait ». [22] La Commission a pris connaissance de cette lettre dans laquelle il est précisé que : « The above opinion and information has been prepared by independent legal counsel on a mandate from [l’entreprise], as requested by [l’organisme]. The information should help explain the procedures taken by [l’entreprise] to protect information as well as provide information about the US Patriot Act,
1006671 Page : 6 arrangements between US and Canadian authorities, and access to our data. » [23] Cette lettre fait mention des enjeux inhérents au USA Patriot Act 3 . Elle rappelle également que dans les provinces canadiennes qui autorisent la communication de renseignements personnels à l’extérieur de leurs frontières, les organismes publics doivent s’assurer de l’équivalence de la protection accordée aux renseignements personnels. Elle énumère également, sous forme de liste, les mesures de sécurité prises par l’entreprise. [24] Dans sa correspondance du 8 mai 2015, l’organisme a également indiqué qu’il « est présentement à mettre en place un processus afin de s’assurer du respect des dispositions de la [Loi sur l’accès] ». À ce titre, il a transmis à la Commission un document intitulé Dispositions contractuelles relatives à la protection des renseignements personnels et confidentiels en précisant que tous les gestionnaires susceptibles de conclure des contrats de service impliquant la transmission de renseignements personnels à des tiers seront informés des nouvelles directives. [25] La Commission a pris connaissance de ce document qui mentionne que : « [l]es dispositions stipulées aux présentes font partie intégrante de tout mandat ou de tout contrat de service ou d’entreprise confié par [l’organisme] à une personne ou à un organisme, ci-après appelé « Fournisseur », lorsqu’un tel mandat ou contrat prévoit que [l’organisme] communique un renseignement personnel nécessaire à l’exercice du mandat ou du contrat, ci-après appelé « Contrat » et qui est visé par l’application de l’article 67.2 de la Loi sur l’accès aux documents des organismes publics et de la protection des renseignements personnels (la Loi sur l’accès). » [26] Ce document contient des dispositions relatives à la protection des renseignements personnels que le fournisseur s’engage à respecter (c.-à-d. confidentialité des renseignements, information de son personnel quant à la protection des renseignements, identification préalable, mesures de sécurité). Il fait également référence à un formulaire d’engagement de confidentialité qui devra être signé par toute personne à l’emploi du fournisseur ou ayant un lien contractuel. 3 Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, Pub. L. n°107-56, 2001 U.S.C.C.A.N. 272 (2001).
1006671 Page : 7 [27] Ce document contient aussi des dispositions quant à l’hébergement des données au Québec, mais aussi à l’extérieur du Québec. Il y est précisé qu’avant d’autoriser la communication des renseignements personnels à l’extérieur du Québec, l’organisme devra avoir reçu du soumissionnaire « les lois, règlements, procédures, normes, directives, politiques ou documents de même nature, de la province ou du pays où le soumissionnaire retenu détiendra les renseignements personnels et confidentiels ». [28] La Commission constate que l’organisme est disposé à prendre les mesures nécessaires pour se conformer aux exigences des articles 67.2 et 70.1 de la Loi sur l’accès. Toutefois, il n’a pas été démontré à la Commission que ces mesures étaient en vigueur ni que les gestionnaires ont été informés de celles-ci. L’organisme avait jusqu’au 1 er septembre 2015 pour en aviser la Commission. CONCLUSION [29] À la lumière de l’enquête et des observations de l’organisme et, même s’il n’existe plus de lien juridique entre l’organisme et l’entreprise et que l’organisme semble vouloir prendre les mesures nécessaires pour modifier ses pratiques en matière de communication de renseignements personnels à des tiers, la Commission conclut que l’organisme a contrevenu aux articles 67.2 et 70.1 de la Loi sur l’accès. POUR CES MOTIFS, LA COMMISSION : [30] DÉCLARE la plainte fondée; [31] ORDONNE à l’organisme de prendre les mesures nécessaires afin que les contrats de services impliquant la communication de renseignements personnels qu’il conclura à l’avenir réfèrent aux dispositions de la Loi sur l’accès applicables aux renseignements communiqués, aux mesures prises pour s’assurer de leur caractère confidentiel, à leurs conditions d’utilisation et de conservation et à la signature d’un engagement de confidentialité; [32] ORDONNE à l’organisme d’adopter une directive établissant les conditions et les modalités visant à s’assurer que les renseignements personnels communiqués à l’extérieur du Québec bénéficient d’une protection équivalant à celle prévue par la Loi sur l’accès; [33] RECOMMANDE à l’organisme de poursuivre son intention d’informer tous les gestionnaires pour qui il est pertinent de connaître cette information;
1006671 Page : 8 [34] ORDONNE à l’organisme d’informer la Direction de la surveillance de la Commission des mesures prises afin de respecter la présente décision dans un délai de 60 jours de sa réception. Cynthia Chassigneux Juge administratif
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.