Québec, le 30 août 2013 Monsieur Maître Commission scolaire Y. Objet : … c. Commission scolaire Y. Plainte du 7 mai 2012 N/Réf. : 100 47 98 La présente donne suite à la plainte que monsieur … (le plaignant) adressait à la Commission d’accès à l’information (la Commission) le 7 mai 2012 à l’endroit de la Commission scolaire … (l’organisme) reprochant à cette dernière d’avoir communiqué à un tiers des renseignements personnels le concernant ainsi que son enfant. De façon plus spécifique, le plaignant mentionne que l’organisme a transmis à l’entreprise Flip Design vers le mois d’avril 2012, sans son consentement, les prénom et nom de son enfant ainsi que son adresse et son numéro de téléphone. VERSION DU PLAIGNANT Dans sa correspondance du 7 mai 2012, le plaignant explique que son enfant fréquente l’école secondaire publique … , laquelle compte environ 2000 élèves et relève de l’organisme. À la suite d’une décision obligeant les élèves à porter l’uniforme pour l’année scolaire 2012-2013, un contrat est intervenu entre l’école et un fournisseur de vêtements, Flip Design, prévoyant notamment la divulgation à cette entreprise privée des renseignements personnels énumérés précédemment. Le consentement du plaignant n’a pas été requis. Le 26 avril 2012, le plaignant contacte le responsable de l’accès au sein de l’organisme afin d’obtenir une justification de cette façon de faire. Le 1 er mai 2012, le Secrétaire général de l’organisme confirme par écrit au plaignant la transmission de ces renseignements par l’école à l’entreprise en - 1 -
- 2 - question et reconnait que l’autorisation préalable des parents aurait été requise afin de permettre à ceux qui le désirent de retirer leurs coordonnées de la liste transmise à Flip Design. Une démarche est faite auprès des autorités de l’école afin que les parents soient avisés de leur droit que les renseignements personnels qui les concernent soient retirés du fichier. Le 4 mai 2012, l’école achemine un communiqué aux parents référant à la décision prise par son Conseil d’établissement d’implanter une collection de vêtements pour la prochaine année scolaire. Le bulletin d’information réitère que la liste confectionnée n’aurait pas dû être communiquée au fournisseur externe sans avoir offert la possibilité aux parents qui le souhaitaient d’y soustraire les renseignements personnels les concernant. Le plaignant dénonce la pratique de l’organisme et demande à la Commission d’exiger de l’école qu’elle informe chaque personne visée par le processus et qu’elle précise quels renseignements ont été communiqués au tiers. De plus, il souhaite que l’organisme et l’école prennent les moyens nécessaires pour que ces renseignements soient extraits du fichier du fournisseur et mettent en place des mesures pour qu’une telle situation ne se reproduise plus. Pour compléter le dossier, le plaignant transmet à la Commission une copie du contrat d’exclusivité intervenu entre l’organisme et Flip Design, lequel prévoit une clause selon laquelle l’organisme doit fournir au fabricant la liste complète des élèves de l’école, incluant leur adresse et leur numéro de téléphone (article 13). Cette clause précise également que ces renseignements ne devront être utilisés qu’aux fins de réaliser l’objet du contrat, qu’ils demeurent confidentiels et qu’ils devront être détruits au terme de l’exécution de ce contrat. VERSION DE L’ORGANISME Le 10 septembre 2012, M e … , Secrétaire générale et responsable de l’accès au sein de l’organisme, réfère à la correspondance du 1 er mai précédent par laquelle son prédécesseur reconnaissait que l’organisme avait commis une erreur en divulguant à Flip Design des renseignements personnels concernant les élèves de l’école … Elle ajoute que l’organisme, soucieux de respecter ses obligations en matière de protection des renseignements personnels, a entrepris des actions concrètes afin de corriger la situation.
- 3 - Au niveau de l’école, un bulletin d’information a été notifié aux parents le 4 mai 2012 afin de les rassurer sur la prise en charge du problème. De plus, une note émanant conjointement de l’école et de Flip Design leur a été transmise au mois de juillet suivant les avisant de la possibilité de requérir que les renseignements les concernant soient supprimés du fichier. Au niveau de la Commission scolaire, le conseil des commissaires a décidé de donner suite à l’une des recommandations soumises par le Protecteur de l’élève selon laquelle les parents seront informés de la possibilité de faire retirer du fichier transmis les renseignements les concernant. Des instructions ont été émises à cette fin aux directions d’écoles par le directeur général adjoint de l’organisme. Ce dernier a également décidé de faire modifier le contenu des contrats intervenus entre les écoles visées, dont celle à l’origine du présent débat, et Flip Design afin d’y inclure des clauses assurant l’octroi préalable du consentement des personnes concernées avant la transmission de renseignements personnels. Aussi, l’organisme a exigé du fournisseur que celui-ci détruise complètement les fichiers transmis. Finalement, un rappel sera fait à toutes les directions des écoles secondaires concernant l’importance devant être accordée à la protection des renseignements personnels. À cet égard, de la formation continue est offerte aux membres du personnel et des différentes directions et des documents de référence sont à la disposition de ceux qui consultent le portail de la Commission scolaire. Le 28 septembre 2012, M e … nuance la position affichée précédemment par l’organisme. Elle renvoie à l’article 67.2 de la Loi sur l’accès et soumet, après réflexion, que la transmission des renseignements à Flip Design respectait les prescriptions légales en cette matière. Elle estime que le contrat écrit intervenu entre l’école et Flip Design avant la transmission des renseignements personnels en litige satisfaisait aux exigences du législateur. En fait, le seul élément manquant, à savoir le libellé des dispositions législatives pertinentes, pouvait s’induire implicitement du texte. Néanmoins, elle précise que l’organisme est disposé dans l’avenir à rédiger de nouveaux contrats comportant expressément cette mention. Quant au reste, M e … reprend en substance les éléments soumis à l’attention de la Commission lors de sa correspondance du 10 septembre 2012. Elle joint en annexe la politique approuvée par le Service du secrétariat général et des communications de l’organisme en matière de transmission et d’utilisation des renseignements personnels par des tiers ainsi que le formulaire d’engagement que doit signer chaque fournisseur externe susceptible de recevoir ces données confidentielles.
- 4 - Le 19 novembre 2012, M e … répond à des questionnements additionnels formulés par l’enquêtrice de la Commission. À cette occasion, elle confirme que l’école … avait obtenu de la part de Flip Design un engagement à traiter les données de façon confidentielle (16 mars 2012) par le biais d’une clause prévue au contrat, et ce, avant leur divulgation le 29 mars suivant. Elle joint à son envoi un courriel qui atteste cette assertion. Quant à l’engagement du tiers plus explicite contenu dans une annexe spécifique (annexe 2 du contrat), elle indique que la signature du fournisseur n’a été reçue qu’à ce jour, le 19 novembre 2012. Le 29 janvier 2013, M e … fait une mise à niveau des actions supplémentaires posées par l’organisme pour respecter rigoureusement ses obligations en matière de protection des renseignements personnels. Ainsi, des informations pertinentes ont été transmises aux mois de novembre et décembre 2012 à tous les directeurs d’écoles secondaires où est implanté le port du costume et une copie du nouveau contrat plus complet et étayé leur a été fournie, incluant ses annexes dont la substance est plus exhaustive et précise qu’auparavant. Elle en achemine un exemplaire de chaque à la Commission. ANALYSE La Commission a notamment pour fonction de surveiller l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 1 tout en assurant le respect et la promotion de la protection des renseignements personnels, en l’occurrence ceux qui concernent une personne physique et permettent de l’identifier. À ce titre, elle peut faire enquête sur l’observation des normes établies. L’article 53 de la Loi sur l’accès prévoit qu’un renseignement personnel est confidentiel sauf quelques exceptions qui ne s’appliquent pas au cas sous étude. Les prénom, nom, adresse et numéro de téléphone de personnes physiques entrent dans cette catégorie. Néanmoins, l’article 67.2 de la Loi sur l’accès, auquel réfère M e … , édicte une règle particulière en octroyant à l’organisme un pouvoir discrétionnaire l’autorisant à communiquer un renseignement personnel à toute personne, sans le consentement de la personne concernée, lorsque cette transmission est nécessaire à l’exécution d’un contrat d’entreprise confié par l’organisme à cette 1 L.R.Q., c. A-2.1, ci-après appelée «Loi sur l’accès».
- 5 - personne. En ce cas, des conditions strictes doivent être satisfaites de façon cumulative. Dans la présente affaire, l’école … , qui relève de l’organisme, a effectivement signé au mois de mars 2012 un contrat d’entreprise avec un fournisseur externe pour la fabrication et la livraison de costumes que ses élèves devront porter lors de l’année scolaire subséquente. La logistique entourant la prise des commandes ainsi que les séances d’essayage des vêtements convainc la Commission que la divulgation des coordonnées des 2000 élèves concernés était nécessaire pour l’accomplissement du mandat confié à la compagnie. Partant de cette prémisse, il importe d’analyser si chacun des critères énumérés à l’article 67.2 de la Loi sur l’accès a été respecté en temps utile par l’organisme comme le prétend sa procureure. D’abord, la Commission constate que le contrat est intervenu et a été confié au fournisseur par écrit; la première condition est satisfaite. Deuxièmement, le contrat doit contenir les dispositions de la Loi sur l’accès qui s’appliquent au renseignement communiqué à l’exécutant du contrat ainsi que les mesures qu’il doit prendre pour en assurer le caractère confidentiel, pour que le renseignement ne soit utilisé que dans l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration. Sur cet aspect, M e … soumet que la clause 13 du contrat, dans sa forme initiale, rencontrait déjà les exigences légales. Après en avoir pris connaissance, la Commission est d’avis que le libellé original du contrat au mois de mars 2012, avant d’avoir été bonifié par l’organisme, n’était pas suffisamment explicite sur la nature des obligations incombant aux cocontractants pour conclure au respect intégral des conditions imposées par le législateur. La disposition législative pertinente n’était pas reproduite dans le contrat et aucune annexe ne spécifiait de façon claire les mesures envisagées pour assurer le caractère confidentiel des renseignements divulgués. Cependant, ces lacunes ont été postérieurement corrigées par l’organisme, ce dernier ayant pris soin de parfaire le contenu du contrat tout en ajoutant des annexes qui satisfont maintenant les critères énoncés ci-devant. La Commission prend acte de cette bonification qui dénote un souci par l’organisme d’améliorer ses pratiques en matière de divulgation de renseignements personnels à des tiers. Troisièmement, l’organisme devait, avant de communiquer les renseignements au fournisseur, obtenir un engagement de confidentialité complété par toute personne
- 6 - susceptible d’y avoir accès. Une lecture du contrat, dans sa forme originale, permet de conclure que cet aspect n’était pas couvert au départ. La sous-section «obligations du fabricant» ne contient pas cet élément impératif et aucun document joint ne comblait cette omission. Par ailleurs, ce défaut a également été corrigé par l’organisme ultérieurement. En effet, l’annexe 2 accompagnant la nouvelle version du contrat et s’intitulant «Engagement du fournisseur contractuel concernant la communication et l’utilisation de renseignements personnels» répond maintenant à cette obligation. De plus, la Commission constate que cet engagement écrit énumère de façon précise les responsabilités du fournisseur en vertu de la Loi sur l’accès et contient la signature d’un représentant autorisé depuis le 19 novembre 2012. La Commission rappelle toutefois que cet engagement doit être complété par toute personne à qui les renseignements peuvent être communiqués et invite dorénavant l’organisme à valider ce volet impératif lorsqu’il utilisera de nouveau le pouvoir discrétionnaire que lui accorde l’article 67.2 de la Loi sur l’accès. La Commission est d’avis que les correctifs apportés par l’organisme après le dépôt de la plainte à l’étude satisfont aux exigences légales de l’article 67.2 de la Loi sur l’accès. À l’évidence, les commettants de l’organisme ont réagi promptement et de façon sérieuse aux revendications du plaignant, mettant en place des mesures efficaces et sécurisantes. L’organisme a même élevé ses standards de qualité au-delà de ce que la loi lui impose en insérant dans la nouvelle formule de contrat une clause permettant aux parents qui en feront la demande, avant la transmission au tiers, de faire retirer les renseignements les concernant sur la liste qui sera distribuée. Ainsi, même si l’article 67.2 de la Loi sur l’accès permet la divulgation de renseignements personnels sans le consentement de la personne concernée lorsque les conditions édictées sont par ailleurs satisfaites, une option de retrait sera offerte aux parents désireux de se prévaloir de ce choix. Cette approche flexible dénote un souci de tenir compte des préoccupations des parents en matière de confidentialité des renseignements personnels les concernant. Finalement, l’organisme a reçu la confirmation de la part de Flip Design que tous les renseignements personnels communiqués en raison de l’exécution du contrat pour la fourniture des vêtements aux élèves ont été supprimés par ce tiers le 19 novembre 2012, au terme de l’accomplissement de ses obligations contractuelles. Considérant ce qui précède, la Commission conclut que l’organisme respecte maintenant ses obligations légales, qu’il a suffisamment informé les parents de
- 7 - l’état de la situation en lien avec la divulgation de renseignements personnels à son fournisseur et qu’il a mis en place des mesures concrètes pour éviter qu’un tel imbroglio ne se produise de nouveau. La Commission est d’avis que les demandes du plaignant ont été pleinement satisfaites et qu’il n’y a pas lieu d’ordonner à l’organisme la mise en oeuvre d’autres mesures. CONCLUSION En conséquence, la Commission est d’avis que la plainte présentée le 7 mai 2012 est devenue sans objet et procède à la fermeture du présent dossier. Alain Morissette Juge administratif
ANNEXE L.R.Q., c. A-2.1. LOI SUR L’ACCÈS AUX DOCUMENTS DES ORGANISMES PUBLICS ET SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS 53. Les renseignements personnels sont confidentiels sauf dans les cas suivants : 1° la personne concernée par ces renseignements consent à leur divulgation; si cette personne est mineure, le consentement peut également être donné par le titulaire de l'autorité parentale; 2° ils portent sur un renseignement obtenu par un organisme public dans l'exercice d'une fonction juridictionnelle; ils demeurent cependant confidentiels si l'organisme les a obtenus alors qu'il siégeait à huis-clos ou s'ils sont visés par une ordonnance de non-divulgation, de non-publication ou de non-diffusion. 54. Dans un document, sont personnels les renseignements qui concernent une personne physique et permettent de l'identifier. 67.2. Un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l'exercice d'un mandat ou à l'exécution d'un contrat de service ou d'entreprise confié par l'organisme public à cette personne ou à cet organisme. Dans ce cas, l'organisme public doit : 1° confier le mandat ou le contrat par écrit; 2° indiquer, dans le mandat ou le contrat, les dispositions de la présente loi qui s'appliquent au renseignement communiqué au mandataire ou à l'exécutant du contrat ainsi que les mesures qu'il doit prendre pour en assurer le caractère confidentiel, pour que ce renseignement ne soit utilisé que dans l'exercice de son mandat ou l'exécution de son contrat et pour qu'il ne le conserve pas après son expiration. En outre, l'organisme public doit, avant la communication, obtenir un - 1 -
- 2 - engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué, à moins que le responsable de la protection des renseignements personnels estime que cela n'est pas nécessaire. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service visé au premier alinéa doit aviser sans délai le responsable de toute violation ou tentative de violation par toute personne de l'une ou l'autre des obligations relatives à la confidentialité du renseignement communiqué et doit également permettre au responsable d'effectuer toute vérification relative à cette confidentialité. Le deuxième alinéa ne s'applique pas lorsque le mandataire ou l'exécutant du contrat est un membre d'un ordre professionnel. De même, le paragraphe 2° du deuxième alinéa ne s'applique pas lorsque le mandataire ou l'exécutant du contrat est un autre organisme public. 122.1. La Commission a pour fonction de surveiller l'application de la présente loi et de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1). La Commission est aussi chargée d'assurer le respect et la promotion de l'accès aux documents et de la protection des renseignements personnels.
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.