Mémoire de la Commission d’accès à l’information
sur le Projet de loi n
o
85
Loi sur le Centre de services administratifs
AVRIL 2005
MÉMOIRE DE LA COMMISSION D’ACCÈS À L’INFORMATION
CONCERNANT LE PROJET DE LOI N° 85
Loi sur le Centre de services administratifs
TABLE DES MATIÈRES
Introduction
1. L’assujettissement du Centre de services administratifs et de ses filiales à
l’application de la Loi sur l’accès
• Les critères d’assujettissement à l’application de la Loi sur l’accès
• Les obligations en matière d’accès à l’information
• Les obligations en matière de protection des renseignements personnels
2. L’impact du projet de loi n° 85 sur la protection des renseignements personnels
• La centralisation de renseignements personnels
• L’utilisation des renseignements personnels à d’autres finalités
• Les communications de renseignements personnels entre organismes
• Les règles de transparence
Conclusion
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
Présenté à l’Assemblée nationale le 16 décembre 2004, le Projet de loi n° 85, Loi sur le
Centre de services administratifs, s’inscrit dans une démarche de modernisation de l’État
et met en œuvre l’un des volets des orientations décrites dans le document Moderniser
l’État – Pour des services de qualité aux citoyens, Plan de modernisation 2004-2007
1
. En
proposant l’intégration de services de soutien administratif, ce projet de loi vise à
améliorer la prestation de services offerts aux organismes publics. Il s’ajoute à la mise en
place de Services Québec et au projet de gouvernement en ligne qui ont pour objectif
d’améliorer la prestation de services offerts, cette fois, aux citoyens.
Qu’il s’agisse d’intégration de services de soutien administratif, de Services Québec ou
de gouvernement en ligne, de nouvelles façons de faire s’inscriront dans la pratique
administrative de l’État québécois. Or, redéfinir les manières de dispenser les services
aux citoyens ou aux organismes publics n’aura pas d’impacts que sur les seules structures
administratives. Ces changements majeurs amèneront également des modifications
significatives à la façon dont les renseignements personnels circulent au sein de l’État
québécois.
Voilà pourquoi les membres de la Commission d’accès à l’information (la CAI)
remercient les membres de la commission parlementaire des finances publiques de lui
offrir l’opportunité de partager ses réflexions au sujet de l’impact que pourrait avoir le
projet de loi n° 85 sur la protection des renseignements personnels.
Essentiellement, la CAI a pour mandat de mettre en œuvre la Loi sur l’accès aux
documents des organismes publics et sur la protection des renseignements personnels
2
.
Cette loi détermine des volets importants du droit à l’information et du droit à la vie
privée, deux droits également reconnus par la Charte des droits et libertés de la
personne
3
. Plus de 2 600 organismes publics sont assujettis à l’application de la Loi sur
l’accès. La CAI exerce également les fonctions qui lui sont dévolues par la Loi sur la
protection des renseignements personnels dans le secteur privé
4
. La CAI est un
organisme multifonctionnel. Ce qui signifie qu’elle exerce à la fois des fonctions de
tribunal administratif et des fonctions de surveillance et de contrôle. Au chapitre de la
protection des renseignements personnels, la CAI est appelée à émettre des avis
concernant certains échanges de renseignements personnels entre organismes publics.
Créé par le Projet de loi n° 85, le Centre de services administratifs se verra confier un très
vaste mandat. L’article 4 de ce projet précise que le Centre a pour mission de fournir ou
de rendre accessibles aux organismes publics les biens et les services administratifs dont
ils ont besoin dans l’exercice de leurs fonctions, notamment en matière de ressources
humaines, financières, matérielles et informationnelles.
1
www.tresor.gouv.qc.ca, mai 2004.
2
L.R.Q., c. A-2.1, ci-après « la Loi sur l’accès ».
3
L.R.Q., c. C-12.
4
L.R.Q., c. P-39.1.
3
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
Dans la réalisation de sa mission, nous dit l’article 5, le Centre pourra notamment
• développer et fournir des produits et services en matière de technologie de
l’information et de télécommunication et en assurer la gestion et la maintenance ;
• développer et fournir des solutions d’affaires en gestion des ressources ;
• fournir tout autre service, professionnel ou autre, dont les organismes publics
peuvent avoir besoin ;
• procéder à des regroupements de services et les gérer.
Conformément à l’article 9, des ententes seront conclues entre le Centre et les organismes
publics qui requièrent un service. Le gouvernement pourra toutefois, par décret, tel que
l’y autorise l’article 10, rendre obligatoire, pour un ou plusieurs organismes publics, le
recours au Centre pour l’exécution d’un service.
L’article 16 reconnaît au Centre le pouvoir, avec l’autorisation du gouvernement,
d’acquérir ou de constituer toute filiale utile aux fins de la réalisation de sa mission. Le
Centre et les filiales dont il détient la totalité des actions pourront s’adjoindre un tiers
pour l’application d’une entente ou d’un décret. Toutefois, ajoute l’article 12, dans tous
les cas, l’application de l’entente ou du décret demeurera sous la direction et la
responsabilité du Centre ou de sa filiale.
Le mémoire de la CAI se divise en deux parties. La première partie formule quelques
commentaires concernant l’assujettissement du Centre de services administratifs et de ses
filiales à l’application de la Loi sur l’accès. La majeure partie du présent mémoire sera
toutefois consacrée à l’impact que pourrait avoir le projet de loi sur la protection des
renseignements personnels.
1.
L’assujettissement du Centre de services administratifs et de ses filiales à
l’application de la Loi sur l’accès
Critères d’assujettissement à la Loi sur l’accès
L’article 4 de la Loi sur l’accès stipule que les organismes gouvernementaux sont ceux
qui rencontrent l’une ou l’autre des conditions suivantes :
• La majorité des membres de l’organisme est nommée par le gouvernement ou un
ministre ;
• La loi ordonne que le personnel de cet organisme soit nommé suivant la Loi sur la
fonction publique ;
• Le fonds social de l’organisme fait partie du domaine de l’État.
Le Centre répond aux deux premiers critères : l’article 20 prévoit que les neuf membres
de son conseil d’administration sont nommés par le gouvernement alors que l’article 41
4
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
ordonne que le secrétaire et les autres membres du personnel du Centre soient nommés
suivant la Loi sur la fonction publique.
En ce qui concerne les filiales, l’article 17 prévoit expressément qu’elles sont assujetties à
l’application de la Loi sur l’accès. Cette précision écarte d’éventuels litiges où il pourrait
être soulevé qu’une filiale n’est pas assujettie à la Loi sur l’accès car son fonds social ne
fait pas entièrement partie du domaine public
5
.
Cet assujettissement du Centre et de ses filiales à l’application de la Loi sur l’accès les
obligera à se conformer aux obligations qu’impose cette loi en matière d’accès à
l’information et de protection des renseignements personnels.
Obligations en matière d’accès à l’information
Indissociable des notions de transparence et de démocratie, l’accès à l’information est un
des maillons importants de notre régime politique. Plusieurs manifestations de la
démocratie sont largement tributaires de l'accès à l'information détenue par l'État.
Exercice du droit de vote pour le choix de nos dirigeants, reddition de compte de
l'administration publique, voire même liberté d'expression, liberté d’opinion ou liberté de
presse ne seraient que des coquilles vides s'ils ne pouvaient s'appuyer sur une information
de qualité.
Maintes fois cité, cet extrait d’un jugement de la Cour suprême du Canada rappelle
comment les lois en matière d’accès à l’information assurent le maintien de la
démocratie :
61. La loi en matière d'accès à l'information a donc pour
objet général de favoriser la démocratie, ce qu'elle fait de
deux manières connexes. Elle aide à garantir, en premier
lieu, que les citoyens possèdent l'information nécessaire
pour participer utilement au processus démocratique, et, en
second lieu, que les politiciens et bureaucrates demeurent
comptables envers l'ensemble de la population
6
. […]
La reconnaissance du droit à l’information est énoncée comme suit à l’article 9 de la Loi
sur l’accès : toute personne qui en fait la demande a droit d’accès aux documents d’un
organisme public. Seule une exception énoncée expressément dans cette loi permet de
passer outre à ce droit. Par exemple, pourront être protégés certains renseignements
ayant,
dans
certaines
circonstances,
des
incidences
sur
les
relations
intergouvernementales,
les
négociations
entre
organismes
publics,
l’économie,
5
Un jugement rendu par la Cour d’appel en 2002 précise qu’une société à fonds social dont toutes les
actions sont détenues par l’État est un organisme dont le fonds social fait partie du domaine public. Ce
jugement laisse donc planer un doute sur l’assujettissement à la Loi sur l’accès des sociétés dont les
actions ou les parts ne sont pas toutes détenues par l’État. Pouliot c. Cour du Québec (Hydro-Québec
International), [2002] C.A.I. 463.
6
Dagg c. Canada (ministre des Finances), [1997] 2 R.C.S. 403, 433.
5
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
l’administration de la justice et la sécurité publique, les décisions administratives ou
politiques ou sur la vérification. La Loi sur l’accès protège également les renseignements
personnels.
À moins qu’une restriction à l’accès ne soit applicable, le Centre et ses filiales devront
donc rendre accessibles les documents qu’ils détiennent à toute personne qui en fera la
demande. L’exercice de ce droit d’accès contribuera à rendre transparente la façon dont le
Centre et ses filiales s’acquitteront de leurs missions.
Obligations en matière de protection des renseignements personnels
L’assujettissement du Centre et des filiales à l’application de la Loi sur l’accès signifie
également que ces organismes auront à assurer la protection des renseignements
personnels qu’ils seront appelés à détenir. Ils devront respecter le principe de
confidentialité de ces renseignements et ne les communiquer que dans la mesure prévue
par la Loi sur l’accès.
Parce que la nature même de sa mission risque de l’amener à détenir de nombreux
renseignements personnels, la CAI croit opportun de décrire ici les principales règles qui
gouvernent la protection de ces renseignements. Cette description facilitera par ailleurs la
compréhension des inquiétudes que soulève la CAI dans la deuxième partie de son
mémoire.
La Loi sur l'accès prévoit des règles applicables tout au long de la vie utile des
renseignements personnels détenus par un organisme public, depuis leur collecte, leur
utilisation, leur conservation, leur communication jusqu’à leur destruction.
En matière de collecte de renseignements personnels, l’article 64 prévoit qu'un
organisme public peut recueillir un renseignement personnel uniquement s'il est
nécessaire à l'exercice de ses attributions ou à la mise en œuvre d'un programme dont il a
la gestion. La règle de l’article 64 a pour but de limiter la collecte de renseignements
personnels. De plus, l’article 76 oblige un organisme public à déclarer à la CAI
l’établissement d’un fichier de renseignements personnels.
En matière d’utilisation des renseignements personnels, l’article 65 impose aux
organismes publics l’obligation d’informer les personnes au sujet desquelles ils
recueillent des renseignements personnels des fins pour lesquelles serviront ces
renseignements. Les organismes publics ne peuvent utiliser des renseignements
personnels à d’autres fins que celles pour lesquelles ils ont été recueillis. De plus, l’article
62 prévoit qu’un renseignement personnel n’est accessible, au sein d’un organisme,
qu’aux seules personnes à qui ce renseignement est nécessaire à l’exercice de leurs
fonctions.
6
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
En matière de conservation des renseignements personnels, l’article 72 énonce qu’un
organisme public doit veiller à ce que les renseignements personnels qu’il conserve soient
à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis.
En matière de communication de renseignements personnels, l’article 53 reconnaît le
principe général selon lequel les renseignements personnels sont confidentiels à moins
que la personne concernée ne consente à leur divulgation. L’article 59 interdit aux
organismes publics de communiquer ces renseignements personnels sans le consentement
de la personne concernée à moins que la Loi sur l’accès n’autorise la communication. Ces
exceptions à la règle de confidentialité seront décrites ci-après.
Finalement, en matière de destruction des renseignements personnels, l’article 73
oblige les organismes publics à détruire un renseignement lorsque l’objet pour lequel il a
été recueilli est accompli. En outre, le calendrier de conservation que chaque organisme
public doit établir conformément à la Loi sur les archives doit être respecté.
Par ailleurs, tout au long de la durée de vie d’un renseignement personnel, des mesures de
sécurité ou de protection appropriées devront être prises pour en assurer la
confidentialité.
Les communications de renseignements personnels entre organismes
Les articles 67, 67.1, 67.2, 68 et 68.1 de la Loi sur l’accès fixent les paramètres qui
doivent guider les organismes publics lors de la communication de renseignements
personnels sans le consentement de la personne concernée.
Les communications nécessaires à l’application d’une loi : l’article 67 de la Loi sur
l’accès précise qu’un organisme public peut communiquer un renseignement personnel à
toute personne ou organisme lorsque cette communication est nécessaire à l’application
d’une loi au Québec. Ces communications peuvent se faire sans qu’une entente à cet effet
n’ait été conclue. Elles n’ont pas à être précédées d’un avis de la CAI.
Les communications nécessaires à l’application de conditions de travail : l’article
67.1 stipule qu’un organisme public peut communiquer un renseignement personnel à
toute personne ou organisme si cette communication est nécessaire à l'application d'une
convention collective, d'un décret, d'un arrêté, d'une directive ou d'un règlement qui
établissent des conditions de travail. La communication n’a pas à être précédée d’un avis
de la CAI.
Les communications nécessaires à l’exercice d’un mandat : en vertu de l’article 67.2,
un organisme public peut communiquer un renseignement personnel à toute personne ou
organisme si cette communication est nécessaire à l’exercice d’un mandat confié par
l’organisme public à cette personne ou à cet organisme. Dans ce cas, le mandat doit être
confié par écrit et indiquer, entre autres, que le renseignement ne pourra être conservé au
terme du mandat. La communication n’a pas à être précédée d’un avis de la CAI.
7
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
Les communications nécessaires à l’exercice des attributions : l’article 68 autorise un
organisme public à communiquer à un autre organisme public un renseignement
nécessaire à l’exercice des attributions de l’organisme receveur ou à la mise en œuvre
d’un programme dont cet organisme a la gestion. Dans ce cas, une entente écrite doit être
conclue entre les deux organismes publics. Cette entente doit indiquer les moyens mis en
œuvre pour assurer la confidentialité des renseignements communiqués et elle doit être
soumise pour avis à la CAI conformément aux modalités énoncées à l’article 70.
Les communications aux fins de couplage et nécessaires à l’application d’une loi :
l’article 68.1 prévoit qu’un organisme public peut communiquer un fichier de
renseignements personnels aux fins de le comparer, le coupler ou l’apparier avec un
fichier détenu par une personne ou un organisme si cette communication est nécessaire à
l’application d’une loi au Québec. Tout comme pour les ententes visées par l’article 68,
ces opérations s’effectuent dans le cadre d’une entente écrite également soumise pour
avis à la CAI.
Finalement, conformément à l’article 67.3, un organisme public doit inscrire dans un
registre toute communication faite en vertu des articles 67, 67.1, 67.2, 68 et 68.1. Le
registre comprend notamment la nature ou le type des renseignements communiqués, les
personnes ou organismes qui reçoivent cette communication, l’usage projeté de ces
renseignements et les raisons justifiant cette communication.
2.
L’impact du Projet de loi n° 85 sur la protection des renseignements
personnels
Le Centre de services administratifs aura pour mission de fournir aux organismes publics
des services administratifs notamment en matière de ressources humaines, financières,
matérielles et informationnelles. Selon la CAI, il ne fait aucun doute qu’une telle mission
se concrétisera inévitablement par un échange de fichiers de renseignements personnels
entre les organismes publics et le Centre.
Dans quelle mesure y aura-t-il centralisation de l’information ? À quelles fins seront
utilisés les renseignements détenus par le Centre ? Comment seront encadrés les échanges
de renseignements ? La simple lecture du projet de loi ne permet pas de répondre à ces
questions. Ce n’est qu’au fur et à mesure que les ententes et décrets entreront en vigueur
qu’il sera possible de dresser un portrait exhaustif de l’impact réel du projet de loi sur la
circulation et la protection des renseignements personnels.
L’impact du projet de loi sur la protection des renseignements personnels dépendra
largement du nombre et de la nature de ces ententes et décrets. Il est évident que les
services de reprographie ou de publication offerts par le Centre n’auront pas les mêmes
conséquences sur les renseignements personnels qu’un service qui permettrait aux
organismes publics de mettre à jour leurs banques de données contenant des données
d’identité sur les citoyens. Par ailleurs, le rôle que les filiales et les tiers seront appelés à
8
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
jouer, rôle inconnu pour l’instant, pourrait entraîner des risques nouveaux pour la
protection des renseignements personnels.
À cette étape du processus, la CAI ne peut prétendre qu’elle a toute l’information
pertinente qui lui permettrait de tracer un portrait significatif des conséquences
qu’engendrera le projet de loi sur les renseignements personnels. Un tel constat
n’empêche toutefois pas la CAI d’attirer l’attention du législateur sur certaines questions
qui devraient faire l’objet d’une vigilance particulière.
Centralisation de renseignements personnels, utilisation des renseignements à des fins
non prévues au moment de la collecte par un ministère ou un organisme, respect des
règles en matière de communications de renseignements et de transparence seront les
sujets abordés dans le texte qui suit.
La centralisation de renseignements personnels
« Il convient d'établir des normes sévères quant aux
transferts de données personnelles entre les organismes. La
principale inquiétude a trait à la possibilité de regrouper, par
ces transferts, l'ensemble des données recueillies sur une
personne. L'informatique permet facilement le repérage et la
réunion des données. D'une façon générale, la loi devra
interdire les transferts de données personnelles entre fichiers.
Toutes les exceptions devront être inscrites dans des lois,
faisant ainsi l'objet d'un débat à l'Assemblée nationale. Ce
débat permettra aux citoyens de connaître les pratiques
actuelles en matière de transferts et aux parlementaires de
juger de leur pertinence et leur nécessité. »
7
Écrit il y a 24 ans, d’aucuns pourraient affirmer que ce texte de la Commission Paré, dont
le rapport servit de référence à la rédaction de la Loi sur l’accès, véhicule des idées
dépassées. Pourtant, la CAI croit que ces propos, malgré l’écoulement du temps, sont
toujours d’actualité. Ils le sont d’autant plus que la technologie offre aujourd’hui une
capacité de traitement de l’information que les membres de la Commission Paré n’auraient
même pas pu imaginer à l’époque.
Les technologies de l’information et des communications permettent maintenant de
colliger et de conserver un nombre presque illimité d’informations : convergence des
technologies et des réseaux, liens de communication ultra-rapides, protocoles de
communication communs (IP), standardisation des interfaces (duplication, réplication,
mémoires) et capacité de traitement favorisent un traitement centralisé de l’information.
À ces facteurs s’ajoutent les possibilités d’intégration de plusieurs systèmes en un seul, le
regroupement en un seul fichier des données réparties physiquement (fichier éclaté) dans
7
Commission d’étude sur l’accès du citoyen à l’information gouvernementale et sur la protection des
renseignements personnels, Information et liberté, Québec, 1981, p. 68.
9
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
plusieurs entités administratives et en des lieux différents, la création d’immenses silos de
données traitées par des progiciels de gestion intégrés.
Ce phénomène de centralisation qu’observe la CAI depuis plusieurs années est
particulièrement évident à la Régie de l’assurance maladie du Québec et au ministère du
Revenu mais également observable dans plusieurs secteurs d’activités gouvernementaux :
éducation, justice, gestion des ressources humaines, financières et matérielles. La
centralisation de l’information peut également résulter des fusions, que l’on songe aux
établissements de santé, de regroupements, d’intégrations d’organismes. Et bien souvent,
cette centralisation résulte simplement d’une volonté d’améliorer la performance
administrative. Dans ce contexte, le plan de modernisation de l’État présenté par le
gouvernement en mai 2004, et plus particulièrement la création de Services Québec et du
Centre de services administratifs, ont pour effet de permettre une plus grande
centralisation des renseignements personnels.
L’un des fondements des lois de protection des renseignements personnels, au Québec ou
ailleurs, est basé sur la nécessité de maintenir l'étanchéité des fichiers de renseignements
personnels détenus par les multiples entités et composantes de l'appareil administratif pour
éviter la centralisation de l’information. Entre ces entités et composantes, les échanges de
renseignements personnels, sans le consentement des personnes visées, ne peuvent avoir
lieu que dans des conditions très strictes, définies par la loi. Ces échanges de
renseignements personnels représentent l'exception, plutôt que la règle.
Pourquoi éviter la centralisation de l’information ? Essentiellement pour atteindre l’objectif
suivant: préserver l'individu contre la toute puissance de l'État. Cet objectif sera atteint si
des profils sur les individus ne peuvent être dressés et si le citoyen peut avoir l’assurance
que des décisions à son sujet ne pourront être fondées sur des renseignements personnels
colligés à son insu ou utilisés à des fins qu’il ignore. Invoquer mécanismes de sécurité et
garanties de confidentialité ne peut suffire à justifier la centralisation de l’information.
Le législateur doit maintenir et, au besoin, solidifier tous les garde-fous qui assurent aux
citoyens qu’un même organisme public ne puisse tout connaître à son sujet : ses revenus,
son état de santé, ses démêlés avec l'administration municipale au sujet de l'évaluation de sa
résidence; les infractions qu’il a commises au Code de la sécurité routière, ses échecs
scolaires, les prestations reçues en vertu d’un programme d’aide…
En 1995, dans un avis portant sur la consolidation des centres informatiques de divers
ministères, la CAI avait défendu l’importance de maintenir le cloisonnement des fichiers
au sein du futur serveur gouvernemental. Depuis ce temps, le Secrétariat du Conseil du
trésor a démontré que le respect de cette règle était possible. Puisque ces activités du
Secrétariat pourraient être transférées au nouveau Centre, la CAI comprend que le
cloisonnement des fichiers des différents clients du Centre demeurera une ligne de
conduite obligatoire.
Quoi qu’il en soit, les nouvelles façons de faire que propose le Projet de loi n° 85 se
traduiront fort probablement par une plus grande centralisation de renseignements
10
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
personnels au sein du Centre. Appelé à détenir de nombreux fichiers de renseignements
personnels, le Centre doit s’assurer que ces fichiers demeureront cloisonnés. Parce qu’il
permettrait de dresser des profils sur les citoyens, un décloisonnement aurait de sérieuses
conséquences sur la protection des renseignements personnels et sur le droit à la vie
privée.
La CAI recommande que la règle du cloisonnement des fichiers de renseignements
personnels soit expressément reconnue afin que le Centre de services administratifs
ne puisse, sans autre formalité, regrouper l’ensemble des données qu’il sera appelé à
détenir au sujet des citoyens.
L’utilisation des renseignements personnels à des fins non prévues
Outre la centralisation et les risques qui s’y rattachent, le fait que de nombreuses banques
de données soient concentrées en un seul endroit peut entraîner d’autres dangers pour la
protection des renseignements personnels.
L’expérience le démontre, l’existence de mégafichiers suscite la convoitise et multiplie
les chances que les renseignements qui y sont consignés soient utilisés à des fins
étrangères à celles pour lesquelles ils ont été recueillis. Afin de mettre en valeur leur actif
informationnel, des organismes publics pourraient vouloir procéder à des couplages de
fichiers pour mieux cerner les caractéristiques de leur clientèle, voire même pour en
commercialiser les résultats sous forme dénominalisée. Grâce au développement des
technologies, les usages secondaires des renseignements sont grandement facilités et
deviennent, de plus en plus, une voie qu’explorent les détenteurs de renseignements
personnels.
Ces usages secondaires peuvent parfois être fondés sur la recherche d’une meilleure
efficacité administrative, une réduction des coûts ou sur l’intention d’offrir de meilleurs
services aux citoyens. Il n’en demeure pas moins que toutes ces utilisations secondaires
se réalisent sans que le citoyen n’y ait consenti et, bien souvent, à son insu. À ce sujet, la
Cour suprême nous enseigne que des considérations budgétaires ou la commodité
administrative ne constituent pas des objectifs suffisants pour justifier une atteinte à un
droit fondamental
8
, tel le droit à la vie privée.
En ce qui concerne les utilisations secondaires, la CAI s’inquiète des effets que pourrait
avoir l’adoption d’une modification à la Loi sur l’accès présentement à l’étude devant
l’Assemblée nationale. Si l’article 31 du projet de loi n° 86
9
devait être adopté, un
organisme public pourrait utiliser un renseignement personnel à une autre fin que celle
8
Renvoi relatif à la rémunération des juges de la Cour provinciale de l’Île-du-Prince-Édouard, [1997]
3 R.C.S. 3, par. 281-285 ; Figueroa c. Canada (Procureur général), [2003] 1 R.C.S. 912, par. 65.
9
Projet de loi n° 86, Loi modifiant la Loi sur l'accès aux documents des organismes publics et sur la
protection des renseignements personnels et d’autres dispositions législatives. Le principe de ce projet
de loi a été adopté le 5 avril dernier.
11
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
pour laquelle il a été recueilli, sans le consentement de la personne concernée, dans
plusieurs cas :
1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a
été recueilli;
2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;
3° lorsque son utilisation est nécessaire à l'application d'une loi au Québec, que
cette utilisation soit ou non prévue expressément par la loi;
4° lorsque son utilisation est nécessaire à la prestation d'un service à lui rendre.
Cet amendement à la Loi sur l’accès, conjugué à la centralisation des informations au
Centre de services administratifs et à la capacité de traitement de l’information qu’offre
la technologie, pourrait entraîner des risques d’utilisations secondaires qui seraient non
négligeables pour la protection des renseignements personnels ou pour le droit à la vie
privée.
Doit-on s’en inquiéter ? La CAI croit que oui.
À toutes les étapes de sa vie, le citoyen doit divulguer à l’État une foule de
renseignements qui le concernent. Souvent, la loi force cette divulgation. Tel est le cas
lorsqu’une prestation financière est sollicitée ou pour respecter les obligations fiscales.
Cette divulgation peut également être faite pour assurer la qualité d’un service, par
exemple la prestation de soins de santé par un professionnel.
À défaut d’un consentement ou d’indications contraires explicites, le citoyen s’attend à ce
que les renseignements qu’il divulgue soient traités confidentiellement et uniquement aux
fins pour lesquelles ils ont été recueillis. La loi lui garantit même le respect de ces droits.
Cette attente caractérise le lien de confiance tissé entre les citoyens et l’État.
Préserver ce lien de confiance est essentiel. Autrement, les citoyens pourraient devenir
réticents à révéler des informations qui les concernent, au risque même de se priver d’un
avantage financier ou de services de qualité.
Les nouvelles façons de faire dans la gestion de l’État, qu’il s’agisse de partenariats
public-privé, de la mission confiée à Services Québec ou au Centre de services
administratifs, devraient se réaliser sans entraîner l’affaiblissement de ce lien de
confiance.
La CAI recommande donc que le Centre de services administratifs ait explicitement
l’obligation d’utiliser les renseignements personnels qu’il sera appelé à détenir
qu’aux seules fins pour lesquelles ils ont été recueillis ou aux seules fins nécessaires
pour mettre en œuvre les services qu’il dispensera aux organismes publics
conformément aux articles 9 et 10 du projet de loi.
12
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
Les communications de renseignements personnels
Si la Loi sur l'accès impose le respect de la règle de confidentialité des renseignements
personnels, elle ne crée pas pour autant un régime où sont interdites toutes formes de
communication entre organismes publics. Toutefois, ces échanges doivent se faire
conformément à la Loi sur l'accès. Ainsi, grâce à ces possibilités d’échanges, la Loi sur
l’accès ne constitue pas un obstacle à un « État réseau ».
Quelles seront les règles juridiques qui s’appliqueront aux communications de
renseignements personnels nécessaires à la mise en œuvre des ententes conclues en vertu
de l’article 9 du projet de loi ou des décrets adoptés en vertu de l’article 10 ?
Selon la CAI, les articles 68 et 68.1 de la Loi sur l’accès devraient s’appliquer dans tous
les cas où un organisme aura à communiquer des fichiers de renseignements personnels
au Centre. Ainsi, une entente écrite devrait prévoir ces communications et elle devrait
être soumise pour avis à la CAI.
Il est important, croit la CAI, qu’un contrôle a priori des échanges de renseignements
personnels entre les organismes publics et le Centre puisse être exercé afin d’assurer aux
citoyens que des mesures adéquates de protection des renseignements personnels seront
déployées et respectées. De plus, c’est cet examen a priori qui permet à la CAI de
s’assurer que seuls les renseignements nécessaires seront communiqués et d’exiger,
lorsque les circonstances le permettent, que les citoyens soient informés.
L’article 67 prévoit qu’un renseignement peut être communiqué sans le consentement de
la personne concernée lorsque la communication est nécessaire à l’application d’une loi
au Québec alors que l’article 67.2 autorise la communication nécessaire à la réalisation
d’un mandat. Dans ces deux cas, aucun contrôle a priori n’est exercé. Selon la CAI, la
possibilité d’une interprétation large des articles 67 et 67.2 de la Loi sur l’accès ne devrait
pas permettre que les communications de renseignements personnels entre les organismes
publics et le Centre aient lieu sans un contrôle a priori, considérant le contexte du projet
de loi.
Par ailleurs, la CAI s’interroge sur l’interprétation qui doit être donnée à l’article 11 du
projet de loi. Cet article prévoit que le gouvernement peut, dans la mesure et aux
conditions qu’il détermine, transférer au Centre tout document ainsi que tout bien en
possession d’un organisme public nécessaires pour l’application d’une entente ou d’un
décret visés aux articles 9 et 10.
Doit-on comprendre que cet article 11 permettrait au gouvernement d’adopter un décret
obligeant un organisme public à communiquer au Centre ses fichiers de renseignements
personnels ? Cette disposition aurait-elle pour effet d’écarter le contrôle a priori des
échanges de renseignements personnels par la CAI ?
13
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
Quelle sera la portée réelle de cet article 11 ? À quelles fins servira-t-il ? Pourra-t-il
justifier le transfert sans autre formalité de l’ensemble des fichiers de renseignements
personnels d’un organisme public vers le Centre ? À tout événement, la prudence semble
ici de mise. Selon la CAI, un contrôle des transferts de renseignements personnels entre
les organismes publics et le Centre devrait être exercé a priori. Ainsi, les articles 68 et
68.1 de la Loi sur l’accès ne devraient pas être écartés pour les transferts de
renseignements personnels prévus par l’article 11 du projet de loi.
La CAI recommande donc que le projet de loi précise que toutes les
communications de renseignements personnels qui seront rendues nécessaires pour
la mise en œuvre des ententes ou décrets prévus aux articles 9 et 10 lui soient
soumises pour avis conformément aux articles 68 et 68.1 de la Loi sur l'accès.
Les obligations de transparence
La Loi sur l'accès énonce diverses règles dont l’objet est d’assurer la transparence de la
gestion des renseignements personnels par les organismes publics.
Ainsi, conformément à l’article 76, l’établissement d’un fichier doit faire l’objet d’une
déclaration à la CAI. Cette obligation de déclaration risque toutefois d’être abolie si le
projet de loi n° 86 devait être adopté tel quel. Dorénavant, les organismes publics
devraient établir et maintenir à jour un inventaire de leurs fichiers de renseignements
personnels mais ils n’auraient plus l’obligation de les déclarer à la CAI.
En outre, l’article 67.3 assure la transparence des communications de renseignements
personnels entre organismes en obligeant ces derniers à inscrire dans un registre
accessible à toute personne qui en fait la demande les communications faites en vertu des
articles 67, 67.1, 67.2, 68 et 68.1.
Ces obligations qui découlent des articles 67.3 et 76 de la Loi sur l'accès suffisent-elles
pour assurer une réelle transparence de la gestion des renseignements personnels que fera
le Centre de services administratifs ?
La CAI estime que certaines actions additionnelles pourraient être envisagées pour
assurer une meilleure transparence. À cet égard, le rapport annuel de gestion et Internet
pourraient servir d’outil pour mieux informer les citoyens.
La CAI recommande donc que le Centre de services administratifs ait l’obligation,
dans son rapport annuel de gestion, de consacrer une section à sa gestion des
renseignements personnels. Pourrait y être dressé un inventaire des fichiers qu’elle
détient et l’utilisation qui en est faite. Par ailleurs, le Centre devrait faire état des
échanges de renseignements personnels réalisés avec ou par ses filiales et des tiers.
Toutes ces informations pourraient avantageusement être accessibles via l’Internet.
14
Mémoire de la CAI concernant le Projet de loi n
o
85, Loi sur le Centre des services administratifs
Conclusion
Les nouveaux modes de gestion mis en place depuis peu par le gouvernement ne seront
pas sans effets sur la protection des renseignements personnels. Tout comme pour les
partenariats public-privé ou la création de Services Québec, l’ajout du Centre de services
administratifs risque de se traduire par une plus grande circulation de renseignements
personnels et une centralisation accrue de ces renseignements au sein d’un seul
organisme public.
Afin d’assurer aux Québécois que la protection de leurs renseignements personnels ne
sera pas affectée par ces nouveaux modes de gestion, la CAI entend assurer pleinement le
mandat de surveillance que le législateur lui a confié.
En ce qui concerne le Projet de loi n° 85, la CAI formule les recommandations suivantes :
• que la règle du cloisonnement des fichiers de renseignements personnels soit
expressément reconnue afin que le Centre de services administratifs ne puisse,
sans autre formalité, regrouper l’ensemble des données qu’il sera appelé à détenir
au sujet des citoyens;
• que le Centre de services administratifs ait explicitement l’obligation d’utiliser les
renseignements personnels qu’il sera appelé à détenir qu’aux seules fins pour
lesquelles ils ont été recueillis ou aux seules fins nécessaires pour mettre en œuvre
les services qu’il dispensera aux organismes publics conformément aux articles 9
et 10 du projet de loi;
• que le projet de loi précise que toutes les communications de renseignements
personnels qui seront rendues nécessaires pour la mise en œuvre des ententes ou
décrets prévus aux articles 9 et 10 lui soient soumises pour avis conformément
aux articles 68 et 68.1 de la Loi sur l'accès;
• que le Centre de services administratifs ait l’obligation, dans son rapport annuel
de gestion, de consacrer une section à sa gestion des renseignements personnels.
Pourrait y être dressé un inventaire des fichiers qu’elle détient et l’utilisation qui
en est faite. Par ailleurs, le Centre devrait faire état des échanges de
renseignements personnels réalisés avec ou par ses filiales et des tiers. Toutes ces
informations pourraient avantageusement être accessibles via l’Internet.
15
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.