AVIS DE LA COMMISSION D'ACCÈS À L'INFORMATION CONCERNANT LE PROJET CONTACT (Volet organismes scolaires et établissements financiers) PRÉSENTÉ PAR LE MINISTÈRE DE L’ÉDUCATION DOSSIER 02 19 60 JUIN 2004
TABLE DES MATIÈRES INTRODUCTION..............................................................................................................1 1. PORTÉE DE L'ÉVALUATION....................................................................................1 2. DESCRIPTION SOMMAIRE DU PROJET.................................................................2 3. ÉVALUATION DU PROJET........................................................................................3 3.1 Le nouveau rôle de mandataire confié aux organismes scolaires ..........................3 3.2 La communication de renseignements personnels aux établissements financiers .5 3.3 La sécurité des échanges et des accès à l'information............................................6 3.4 La conservation des informations...........................................................................6 3.5 La vérification des engagements de protection des renseignements personnels....7 CONCLUSION ..................................................................................................................8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ INTRODUCTION Le projet CONTACT est un projet majeur qui s’inscrit dans une démarche d’amélioration des services à la clientèle de l’Aide financière aux études (AFE) au ministère de l’Éducation du Québec (MEQ) et qui fait largement appel aux nouvelles technologies de l’inforoute, notamment l’Internet. Ce projet s’applique autant pour les communications avec la clientèle étudiante, leurs parents, leur conjoint et leur répondant que pour les liens avec les partenaires et les fournisseurs d’information. Le projet rejoint les orientations gouvernementales en matière de prestation électronique de services. Il fait suite aux rapports et recommandations de deux groupes de travail : le rapport déposé en 1994 par le groupe de travail sur le régime d’aide financière aux étudiantes et étudiants présidé par M. Guy MacDonald et le rapport réalisé en 1997 par un comité d’experts sur les modalités de remboursement de la dette d’études présidé par M. Claude Montmarquette. C’est en 1998 que les responsables de l’AFE ont entrepris de revoir en profondeur les façons de faire en procédant à la réalisation du projet CONTACT. Quoique plusieurs recommandations des groupes de travail ont été mises en place, certaines recommandations importantes restaient à développer, lesquelles impliquaient plus spécifiquement la création d’un nouveau rôle de mandataire confié aux organismes scolaires et nécessitaient le déploiement de nouvelles technologies. Au cours de la dernière année, la création d’un nouveau rôle de mandataire confié aux organismes scolaires a été réalisée. À cet égard, l’entente de collaboration en matière d’aide financière aux études fait partie du document indiqué ci-après. Ainsi, afin de bien circonscrire l’impact de ces changements en regard de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès), le Bureau de l’accès à l’information et protection des renseignements personnels du MEQ transmettait à la Commission, le 19 février 2004, un document intitulé « Projet CONTACT Orientations sur la protection des renseignements personnels », et ce, afin d’obtenir un avis de la Commission sur la communication par liens électroniques de renseignements personnels aux organismes scolaires et aux établissements financiers. 1. PORTÉE DE L'ÉVALUATION Le projet CONTACT couvre plusieurs volets, soit : 1. La numérisation des documents 2. L’utilisation d’Internet par les étudiantes et étudiants pour les demandes d’aide financière, bourses et la transmission de formulaires 3. La communication par liens électroniques de renseignements personnels aux organismes scolaires et aux établissements financiers Page 1 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ 4. La gestion du travail à partir d’un outil de flux automatisé de travail (workflow) 5. La gestion de la correspondance 6. Les échanges électroniques avec le ministère du Revenu. La présente analyse couvre uniquement le volet 3 concernant la communication par liens électroniques de renseignements personnels aux organismes scolaires et aux établissements financiers. L’analyse a porté principalement sur la conformité du projet en regard des principes de protection des renseignements personnels. Les mesures de sécurité ont été abordées de façon non exhaustive et la sécurité en place n'a pas fait l'objet de corroboration. L’évaluation du projet CONTACT repose principalement sur les informations contenues dans les documents qui nous furent transmis par les responsables du MEQ, sur des rencontres d’information et de discussions effectuées avec les représentants désignés ainsi que sur l’envoi de questions spécifiques. 2. DESCRIPTION SOMMAIRE DU PROJET Le projet CONTACT vise à améliorer l’accessibilité et l’équité des services offerts, à faciliter les communications avec la clientèle, à maximiser la participation et les échanges électroniques avec les organismes scolaires 1 et les établissements financiers, à réduire les manipulations et à automatiser les traitements et, enfin, à mettre en place un mode de fonctionnement simple, souple et efficace. En regard du système actuel (PRATIC), quoiqu’il y ait eu une optimisation de la technologie utilisée, celle-ci ne permet pas un rapprochement avec la clientèle et les partenaires, soit les organismes scolaires et les établissements financiers, et de mieux communiquer avec eux. S’ajoute également l’incapacité de soutenir les efforts de déconcentration progressive des opérations vers le réseau des organismes scolaires à des coûts justifiables. De plus, la volonté gouvernementale de simplifier et de faciliter l’accès aux services gouvernementaux de même que l’objectif de rapprocher ces derniers de la population impliquent un besoin d’amélioration du contexte de la prestation du service. Ainsi, le projet CONTACT permettra une plus grande participation des partenaires à l’administration du régime par la possibilité qu’ils auront d’intervenir sur le dossier étudiant. Il y aura une réduction des délais et l’amélioration des services par la déconcentration des opérations vers les organismes scolaires tout en conservant le traitement massif des demandes, la numérisation des documents et la gestion automatisée des opérations centralisées. 1 Les organismes scolaires désignent les commissions scolaires de même que les établissements, c’est-à-dire les écoles, les centres de formation professionnelle, les centres d’éducation des adultes, les collèges et les universités. Page 2 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ Le projet CONTACT introduit un nouveau rôle de mandataire confié aux organismes scolaires en regard du fonctionnement du régime d’aide financière. Ce rôle sera régi par une entente de collaboration. De par le nouveau mandat délégué aux organismes scolaires et pour tenir compte des différentes réalités des organismes, la répartition des activités liées à l’aide financière aux études a donné lieu à la création de différents profils de prestation de services. Chaque organisme scolaire fait le choix du profil de prestation de services qu’il souhaite offrir. Ces profils vont d’un profil simple qui permet de fournir un soutien de base à la clientèle, incluant l’accès au dossier étudiant Internet (DÉI), à un profil complet qui permet d’offrir une assistance conseil à la clientèle, de consulter les dossiers en utilisant le nouveau système CONTACT et de traiter ces dossiers à l’aide du même système que les employés de l’AFE. Les communications avec les organismes scolaires et les établissements financiers se feront par liens électroniques. Ainsi, la confirmation de renseignements scolaires se fera par échange électronique de fichiers ou par une transaction interactive (Internet). De même, l’amélioration des processus d’échanges d’information se fera en regard de l’émission des certificats de garantie et de la remise des bourses. Notamment, le dépôt direct du versement de la bourse s’effectuera dans le compte bancaire de l’étudiante ou étudiant. La solution permettra également la transmission électronique par les établissements financiers des données nécessaires au calcul et au paiement des intérêts ainsi qu’aux autres activités de la gestion des prêts et du recouvrement. Le projet CONTACT implique la mise en place d’une infrastructure de technologie et de sécurité récente qui permettra d’assurer la protection des renseignements personnels. 3. ÉVALUATION DU PROJET Le projet CONTACT implique de nombreux échanges de renseignements personnels pour lesquels une évaluation des mesures de protection et de conformité à la Loi sur l’accès mérite d’être effectuée. 3.1 Le nouveau rôle de mandataire confié aux organismes scolaires Par la réalisation du projet CONTACT et les nouvelles règles d’attribution du régime d’aide financière, l’organisme scolaire exerce un nouveau rôle de mandataire, tel que confirmé par une entente de collaboration. Cette entente repose sur les bases de l’article 67.2 de la Loi sur l’accès. 67.2 Un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement nominatif à toute personne ou organisme si cette communication est nécessaire à l'exercice d'un mandat Page 3 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ confié par l'organisme public à cette personne ou à cet organisme. Dans ce cas, l'organisme public doit: 1 o °confier ce mandat par écrit; 2 o °indiquer, dans ce mandat, les dispositions de la présente loi qui s'appliquent au renseignement qui lui a été communiqué ainsi que les mesures qu'il doit prendre pour que ce renseignement ne soit utilisé que dans l'exercice de son mandat et pour qu'il ne le conserve pas après son expiration. […]. Actuellement, de par leur rôle dans l’attribution de l’aide financière aux études, les responsables de l’aide financière dans un organisme scolaire ne peuvent accéder à certaines informations que si l’AFE obtient le consentement à la divulgation des renseignements personnels de la personne concernée. Étant donné le fonctionnement du système PRATIC et du regroupement des informations, l’accès à certains affichages n’est possible qu’avec le consentement de tous les intervenants impliqués dans le dossier. Or, le nouveau rôle de mandataire confié aux organismes scolaires ne requiert plus l’obtention du consentement à la divulgation des renseignements personnels. L’entente de collaboration stipule à l’article 8 que l’organisme scolaire reconnaît le caractère confidentiel des renseignements personnels qui sont communiqués ou recueillis dans le cadre de son mandat. En regard de cet article, certains points requièrent des précisions. À l’article 8 e), il est stipulé que l’organisme scolaire s’engage à n’accéder qu’aux seuls dossiers des personnes qui le fréquentent et des personnes qu’il est autorisé à desservir par l’AFE. À cet égard, il y a lieu de se demander comment s’effectue un tel contrôle? Les responsables au MEQ mentionnent à ce sujet : « Dans un premier temps, un accès est accordé à un gestionnaire local. Ce gestionnaire local est associé à un numéro de transit ou à un code d’établissement selon qu’il est un gestionnaire local pour un établissement financier ou pour un établissement d’enseignement. L’usager créé par ce gestionnaire local a par défaut la même association que celle du gestionnaire local, soit un numéro de transit ou un numéro d’établissement d’enseignement. Dans CONTACT, chaque dossier étudiant est associé à un code d’établissement d’enseignement et à un code d’établissement financier. Donc, si le code d’accès d’un usager est associé au même code d’établissement que le dossier étudiant, l’accès au dossier est accordé à l’usager concerné. » Page 4 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ À l’article 8 g), il est stipulé que l’organisme scolaire s’engage à ne pas communiquer à un étudiant les renseignements concernant ses parents, son répondant ou son conjoint, sauf si ceux-ci ont autorisé par écrit une telle communication. À ce sujet, quelles sont les mesures appropriées qui sont prises afin de ne pas révéler à l’étudiante ou à l’étudiant plus d’informations qu’ils n’auraient pu le faire avec l’utilisation du formulaire papier, notamment celle relative aux parents? Les responsables au MEQ mentionnent à ce sujet : « […] Le responsable doit prendre connaissance de l’écrit qui l’habilite à communiquer à un étudiant les renseignements concernant ses parents avant de procéder à la communication des renseignements. En ce qui concerne l’assistance que le responsable peut offrir à titre d’exemple pour évaluer si un étudiant pourrait être éligible à de l’aide et à quel montant en utilisant le logiciel de calcul, les données utilisées pour les parents ou le conjoint seront des données déclarées par l’étudiant sur une base estimative. En ce qui a trait à des explications portant sur un calcul effectué par le système CONTACT, la consultation du dossier de l’étudiant par le responsable indique le montant de contribution établi pour l’intervenant mais pas les données utilisées pour en arriver à ce montant (revenus, exemptions, etc.). Les données utilisées pour déterminer la contribution de l’intervenant se retrouvent dans le dossier de l’intervenant, ce qui implique un geste volontaire ou une action supplémentaire à effectuer par le responsable pour les consulter. Le fait que les données de chaque intervenant (étudiant ou conjoint) se retrouvent dans un dossier distinct est une mesure concrète permettant d’assurer la divulgation des renseignements à l’intervenant concerné. » 3.2 La communication de renseignements personnels aux établissements financiers Le MEQ communique, aux établissements financiers, différents renseignements concernant les personnes dont ils sont créanciers en matière de prêts d’étude. Ces renseignements sont des données d’identification et des données relatives à la gestion des prêts. Selon l’article 67 de la Loi sur l’accès, la communication des renseignements nominatifs est faite sans le consentement de la personne concernée puisque la communication est nécessaire à l’application d’une loi au Québec. Cette communication s’appuie également sur les articles 15, 24 et 28 de la Loi sur l’aide financière aux études. Les échanges de fichiers de transactions monétaires qui s’effectuent entre l’AFE et les établissements financiers se font par l’entremise du ministère des Finances et sont conformes à la norme 05 de l'Association canadienne des paiements. Page 5 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ 3.3 La sécurité des échanges et des accès à l'information Dans le projet CONTACT, la sécurité des échanges et des accès à l’information constitue un enjeu important en matière de protection des renseignements personnels. La Commission comprend que le projet CONTACT intégrera dans les échanges d’information les mécanismes de sécurité nécessaires à la protection des renseignements personnels qui y seront véhiculés. Ainsi, les responsables du projet CONTACT présentent l’architecture de sécurité qui indique la mise en place d’un mode sécuritaire de transmission de l’information empêchant toute intrusion dans le système ainsi que toute altération des données, et ce, afin de garantir la protection des renseignements personnels et l’intégrité des informations transmises. Il est prévu la mise en place de mécanismes simples et efficaces d’authentification et d’identification qui seront conformes aux exigences de la Loi concernant le cadre juridique des technologies de l’information. Les infrastructures d’authentification respectent également les normes internationales (LDAP, X509 et autres) et se conforment aux exigences gouvernementales et ministérielles en matière de gestion de la sécurité. De plus, l’échange sécuritaire de l’information repose sur l’utilisation du protocole SSL, de gardes-barrières, de la journalisation des accès et autres mécanismes de protection. Une politique de sécurité doit encadrer l’octroi des privilèges d’accès et la gestion des mots de passe. Un gestionnaire local 2 est désigné dans chaque organisme scolaire et dans chaque établissement financier pour s’assurer de la gestion des accès par les personnes autorisées à accéder au système CONTACT. Les utilisateurs de CONTACT dans un organisme scolaire ou dans un établissement financier n’ont accès qu’aux dossiers des étudiantes et étudiants les concernant. 3.4 La conservation des informations La conservation des images des documents sur disque magnéto-optique est une technologie récente qui est utilisée depuis quelques années au MEQ. Les responsables au MEQ indiquent à cet égard : « Présentement, l’Aide financière aux études ne dispose pas d’outil ou de technique lui permettant de pouvoir détruire de façon systématique l’information spécifique à un étudiant enregistré sur le disque magnéto-2 Le gestionnaire local réfère à la personne désignée à titre d’administrateur local du système de sécurité applicative. Page 6 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ optique lorsque, à titre d’exemple, il a reçu confirmation que la dette de l’étudiant est remboursée. Lorsque l’archivage du projet CONTACT sera abordé, l’Aide financière aux études examinera les moyens qui pourraient faciliter la destruction de façon systémique d’information spécifique sur le disque magnéto-optique. » Quoique la flexibilité sur support numérique offre la possibilité d’une conservation plus longue de certains documents, la Commission considère que la Loi sur l’accès n’est pas tributaire de la technologie. Par conséquent, la conservation des informations sur support numérique doit être soumise à un calendrier de conservation et des règles strictes de destruction des informations doivent être appliquées afin de respecter l’exigence de l’article 73 de la Loi sur l'accès : 73. Lorsque l'objet pour lequel un renseignement nominatif a été recueilli est accompli, l'organisme public doit le détruire, sous réserve de la Loi sur les archives (chapitre A-21.1). 3.5 La vérification des engagements de protection des renseignements personnels Le rôle de mandataire a une incidence importante en regard de l’application de mesures de sécurité, de la gestion des profils d’accès, de l’analyse des journaux des accès et de l’application des exigences de l’entente de collaboration afin de s’assurer de la protection adéquate des renseignements personnels. Les responsables au MEQ nous indiquent que des efforts ont été déployés pour informer les organismes scolaires sur le contenu de l’entente. De plus, l’accès au système CONTACT est accordé qu’après avoir reçu la formation requise en fonction du profil demandé. Enfin, une équipe de l’AFE, soit celle du contrôle de l’aide, est à mettre en place un processus d’assurance qualité consistant en une vérification a posteriori par échantillonnage des dossiers traités tant par les agents à l’interne que par les responsables de l’AFE. Ce processus sera intégré à la politique de vérification que l’AFE mettra en place. Page 7 su r 8
Avis concernant le projet CONTACT Commission d'accès à l'information - DAE ____________________________________________________________________________________________________________ CONCLUSION Le projet CONTACT vise, entre autres, à maximiser la participation et les échanges électroniques avec les organismes scolaires et les établissements financiers. La Commission prend acte que le projet CONTACT introduit un nouveau rôle de mandataire confié aux organismes scolaires en regard du fonctionnement du régime d’aide financière et que ce rôle sera régi par une entente de collaboration qui repose sur les bases de l’article 67.2 de la Loi sur l’accès. La Commission prend acte que la communication de renseignements personnels aux établissements financiers s’effectue en regard de l’article 67 de la Loi sur l’accès et s’appuie également sur les articles 15, 24 et 28 de la Loi sur l’aide financière aux études. La Commission comprend que le projet CONTACT intégrera dans les échanges d’information les mécanismes de sécurité nécessaires à la protection des renseignements personnels qui y seront véhiculés. La Commission considère que la conservation actuelle des informations sur disque magnéto-optique doit être soumise à un calendrier de conservation et que des règles strictes de destruction des informations doivent être appliquées afin de respecter l’exigence de l’article 73 de la Loi sur l'accès. La Commission prend acte de la mise en place d’un processus d’assurance qualité et que ce processus sera intégré à la politique de vérification que l’AFE mettra en place. La Commission indique qu’elle se réserve le droit de procéder à toute vérification qu’elle jugera utile quant à la mise en place de ce projet. Compte tenu de ce qui précède, la Commission émet un avis favorable à l’égard du volet 3 du projet CONTACT portant sur la communication par liens électroniques de renseignements personnels aux organismes scolaires et aux établissements financiers. Page 8 su r 8
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.