Québec, le 15 avril 2013 … … Université du Québec à Montréal C. P. 8888, succ. Centre-Ville Montréal (Québec) H3C 3P8 Objet : … c. Université du Québec à Montréal (UQAM) Plainte du 22 février 2011 N/Réf. : 11 03 44 La présente donne suite à la plainte que M. … (le plaignant) a adressée à la Commission d’accès à l’information (la Commission) le 22 février 2011 à l’endroit de l’Université du Québec à Montréal (UQAM) selon laquelle cette dernière aurait diffusé sur Internet des renseignements personnels le concernant, et ce, sans autorisation préalable. VERSION DU PLAIGNANT Selon la version des faits du plaignant, ce dernier aurait eu accès, en consultant le site Internet de l’UQAM, aux renseignements personnels suivants : le code permanent, le nom, le prénom, un autre code, les numéros de téléphone à domicile ainsi qu’au travail et l’adresse courriel UQAM concernant 14 personnes, dont lui-même. Ces renseignements sont répertoriés dans un tableau dont copie est remise à la Commission. Ce même tableau comporte également une colonne affichant la rubrique « note ». Le plaignant affirme que ces renseignements personnels étaient accessibles à tout utilisateur du site Internet en question selon les constatations récurrentes qu’il a faites antérieurement. Le 8 septembre 2011, l’analyste enquêteur de la Commission requérait de la part du plaignant un complément d’information afin de poursuivre le traitement de sa plainte. Le 20 novembre 2011, le plaignant précisait que l’accessibilité aux renseignements personnels en question émanait d’une consultation sur le site Internet officiel de l’UQAM dans la section intitulée « Moodle » sous l’onglet « MAE7000 ». Cette consultation s’est effectuée à plusieurs reprises entre la deuxième semaine de janvier et la première semaine de février 2011. - 1 -
- 2 - VERSION DE L’UQAM À la suite de ces allégations, la Commission a effectué une enquête afin de valider la conformité des agissements de l’UQAM eu égard à ses obligations légales en matière de protection des renseignements personnels. Le 31 mai 2011, l’analyste enquêteur de la Commission invitait le Secrétaire général de l’UQAM à fournir sa version des faits ainsi que toute information pertinente en lien avec la plainte déposée. Le 26 juillet 2011, certains éléments factuels ont été fournis par le Secrétaire général. Ce dernier indiquait notamment que le contenu du tableau auquel le plaignant réfère comporte diverses coordonnées qui concernent 14 étudiants inscrits au cours « Recherche en éducation : nature et méthodologie – MAE7000, groupe 30, trimestre Hiver 2011 ». Ce cours était donné par une professeure titulaire au département d’éducation et formation spécialisées à l’UQAM. Après vérification auprès de la professeure concernée, celle-ci ignore la provenance du document (tableau) auquel on fait référence; elle ne l’a jamais eu en sa possession ni ne l’a diffusé sur un site Internet. Ne connaissant pas l’adresse du site sur lequel des usagers auraient eu accès à ces renseignements, l’UQAM n’est pas en mesure de valider davantage l’état de la situation auprès de son service de l’informatique et des télécommunications. Le 5 avril 2012, le Secrétaire général de l’UQAM complétait sa version des faits à la lumière des précisions apportées par le plaignant le 20 novembre précédent. Ses prétentions se résument comme suit : il a contacté le service de l’informatique et des télécommunications de l’UQAM pour se faire expliquer le fonctionnement de la plateforme « Moodle »; la période de sauvegarde mensuelle des informations sur la plateforme étant expirée après 12 mois, le contenu visé par la plainte n’est plus accessible; il n’est pas en mesure de confirmer si le tableau soumis à la Commission a été diffusé sur la plateforme « Moodle » aux mois de janvier et février 2011; la professeure titulaire du cours en question lui a assuré qu’en aucun temps elle n’a préparé, ni eu en sa possession, ni publié sur Internet le tableau auquel on renvoie;
- 3 - la plateforme d’apprentissage « Moodle » est utilisée par l’UQAM depuis 2007 par les enseignants et étudiants, et ce, par le biais d’un accès sécurisé; son usage requiert un code d’usager ainsi qu’un mot de passe pour y accéder; l’étudiant qui consulte la plateforme n’a accès qu’aux renseignements personnels qui le concernent; lorsque l’enseignant active son cours sur la plateforme, celle-ci génère une liste d’étudiants dans un format « tableau » comportant cinq colonnes et reproduisant les renseignements suivants : code permanent, nom, prénom, code d’usager et courriel UQAM; cette liste n’est pas accessible aux étudiants par le biais de la plateforme et ne contient aucunement les numéros de téléphone à domicile ou au travail, ni le code de cours, ni la note de l’étudiant; la « liste de participants » à laquelle un étudiant inscrit au cours peut avoir accès sur la plateforme ne contient pas les renseignements personnels tels que : code permanent, numéros de téléphone ou code d’usager des étudiants; le document fourni à la Commission ne correspond pas à la forme des outils mis à la disposition des enseignants et étudiants sur la plateforme « Moodle »; pour accéder aux notes de l’étudiant, ce dernier doit utiliser un logiciel sécuritaire en s’identifiant par l’entremise d’un code d’accès et d’un mot de passe; l’étudiant n’a accès qu’à ses propres résultats; l’UQAM ne peut expliquer de quelle façon le plaignant a obtenu les renseignements personnels en question mais assure que la plateforme « Moodle » est sécuritaire et ne peut être la source des informations reproduites dans le tableau tel que généré; aucune autre plainte n’a été portée à l’attention de l’UQAM relativement à la protection des renseignements personnels répertoriés sur la plateforme « Moodle ». ANALYSE Après avoir pris en considération les versions respectives du plaignant et de l’UQAM, la Commission constate que certaines affirmations sont contradictoires et inconciliables. D’une part, le plaignant affirme que les renseignements personnels reproduits dans un tableau qu’il a remis à la Commission proviennent d’une consultation effectuée en 2011 sur la plateforme « Moodle » disponible sur le site Internet de l’UQAM.
- 4 - D’autre part, l’UQAM expose de façon détaillée le fonctionnement de la plateforme et démontre en quoi le résultat obtenu par le plaignant ne peut provenir de son site sécurisé. Quant à la forme du tableau en question, celle-ci diffère des outils qui sont mis à la disposition des utilisateurs de la plateforme. Que la consultation soit effectuée par un étudiant ou un enseignant, l’UQAM démontre que le résultat ne peut d’aucune façon correspondre à la reproduction obtenue par le plaignant. Au surplus, la professeure titulaire du cours en question atteste qu’elle n’a pas diffusé l’information concernée sur quelque site Internet que ce soit. L’article 122.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 1 prévoit que la Commission a pour fonction de surveiller l’application de cette même loi. La Commission est chargée d’assurer le respect et la promotion de la protection des renseignements personnels. En vertu de l’article 53 de la Loi sur l’accès, les renseignements personnels sont confidentiels sauf pour quelques exceptions, lesquelles sont inapplicables en l’espèce. Ainsi, la règle générale de confidentialité s’applique dans le présent cas. L’article 123 de la Loi sur l’accès octroie à la Commission des pouvoirs d’enquête relativement à l’application et l’observation de la loi. La version fournie par le plaignant n’est pas appuyée par une démonstration probante selon laquelle celui-ci aurait eu accès aux renseignements personnels relatés en consultant la plateforme « Moodle » sur le site Internet de l’UQAM. En effet, le document reproduisant les données ne comporte aucun indice permettant d’identifier l’adresse Internet sur laquelle l’information aurait été disponible ni l’hyperlien permettant d’y accéder. Aussi, ce document n’affiche aucun logo institutionnel ou marque distinctive qui aurait permis de relier son contenu à l’UQAM. En contrepartie, l’UQAM assure que sa plateforme est sécurisée. Elle ajoute que les outils mis à la disposition des utilisateurs ne permettent pas d’obtenir ces renseignements. Au surplus, le panorama que génère la plateforme en question se distingue de celui qui a été fourni par le plaignant. Il n’y a pas d’adéquation quant au format ni quant à la substance des données. CONCLUSION 1 L.R.Q., c. A-2.1, ci-après appelée « Loi sur l’accès ».
- 5 - Dans les circonstances, la Commission conclut que l’UQAM a démontré qu’elle respecte ses obligations en matière de protection des renseignements personnels concernant l’exploitation de sa plateforme « Moodle ». En conséquence, la Commission est d’avis que la plainte présentée le 22 février 2011 n’est pas fondée et procède à la fermeture du présent dossier. Alain Morissette Juge administratif
ANNEXE 53. Les renseignements personnels sont confidentiels sauf dans les cas suivants : 1° la personne concernée par ces renseignements consent à leur divulgation; si cette personne est mineure, le consentement peut également être donné par le titulaire de l'autorité parentale; 2° ils portent sur un renseignement obtenu par un organisme public dans l'exercice d'une fonction juridictionnelle; ils demeurent cependant confidentiels si l'organisme les a obtenus alors qu'il siégeait à huis-clos ou s'ils sont visés par une ordonnance de non-divulgation, de non-publication ou de non-diffusion. 122.1. La Commission a pour fonction de surveiller l'application de la présente loi et de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1). La Commission est aussi chargée d'assurer le respect et la promotion de l'accès aux documents et de la protection des renseignements personnels. 123. La Commission a également pour fonctions : 1° de faire enquête sur l'application de la présente loi et sur son observation; 2° d'approuver les ententes conclues entre les organismes en vertu de l'article 172; 3° de donner son avis sur les projets de règlement qui lui sont soumis en vertu de la présente loi, sur les projets d'entente de transfert de renseignements, de même que sur les projets de décrets autorisant l'établissement de fichiers confidentiels; 4° d'établir, si elle le juge opportun, les règles de tenue du registre visé à l'article 67.3; 5° de veiller au respect de la confidentialité des renseignements personnels contenus dans les dossiers ayant trait à l'adoption d'une personne et détenus par un organisme public; 6° de veiller au respect de la confidentialité des renseignements personnels contenus dans le dossier que le curateur public détient sur une personne qu'il représente ou dont il administre les biens. - 6 -
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.