Québec, le 28 février 2002 Secrétariat du Conseil du trésor Édifice J 885, Grande Allée Est, 4 e étage Québec (Québec) G1R 6C2 N/Réf. : 01 11 63 Le 17 décembre dernier, vous nous transmettiez le « Cadre de gestion sur l’accès à l’information et la protection des renseignements personnels du Secrétariat du Conseil du trésor en vue du développement et de l’entretien de la solution GIRES ». Pendant que nous poursuivons l’analyse de la solution GIRES elle-même, nous souhaitons formuler quelques commentaires à l’égard du cadre de gestion qui vise à assurer la protection des renseignements personnels du projet GIRES. Les principes fondamentaux et la Loi sur l'accès aux documents des orga-nismes publics et sur la protection des renseignements personnels (Loi sur l’accès) Le cadre de gestion rappelle que la Loi sur l’accès adoptée en 1982 reprend les principes de l’OCDE en matière de protection des renseignements personnels. Une section appelée « Contexte légal » introduit les liens entre le Code civil du Québec, la Charte des droits et libertés et la Loi sur l'accès. Cette dernière nous est ensuite décrite sous la rubrique « Règles administratives découlant de la Loi sur l’accès ». Bien qu’il puisse être utile de se rappeler les principes de l’OCDE et de situer le Code civil et la Charte des droits et libertés, leur énoncé laisse planer un
2 doute quant à la prépondérance du principe à appliquer dans l’administration publique. La Loi sur l’accès établit les règles en matière de protection des rensei-gnements personnels et celles-ci sont prépondérantes à toutes les lois du Québec. Ainsi, les principes de l’OCDE et du Code civil introduisent des notions qui sont parfois différentes de celles qui régissent les organisations gouvernementales. À titre d’exemple, la notion de pertinence des données recueillies élargit la notion de stricte nécessité qui régit la collecte de renseignements personnels. L’utilisation et les finalités Le cadre de gestion traduit les règles québécoises en matière de collecte, d’accès et d’utilisation, de droit d’accès par la personne concernée, de communication à l’extérieur de l’organisme et de conservation. Au chapitre de l’utilisation des renseignements personnels, on y énonce ce qui suit : « Il faut, par ailleurs, appliquer le critère d’utilisation que l’on retrouve à l’article 37 du Code civil du Québec qui est celui d’une fin compatible avec celle de la constitution du dossier. » L'article 37 du Code civil met en parallèle la pertinence des données recueillies avec l'utilisation à des fins compatibles de ces données. Le législateur a, dans la Loi sur l'accès, volontairement restreint la règle de cueillette à la néces-sité, il nous est donc permis de croire que l'utilisation doit aussi être interprétée de façon plus rigoureuse et être restreinte aux seules finalités qui auront permis de justifier la collecte. Nous sommes d’avis que l’utilisation doit être restreinte aux seules fins identifiées au moment de la cueillette, signifiées à la personne concernée et ins-crites dans la déclaration de fichier remise à la Commission. Ainsi, on ne peut élargir les limites de l’utilisation aux fins compatibles avec celles de la constitution du dossier.
3 Un cadre garantissant la protection des renseignements personnels dans GIRES Le projet GIRES consiste à la mise en place d’une infrastructure commune soutenant la gestion des ressources financières, humaines et matérielles. Cette infrastructure sera rendue disponible aux ministères et organismes publics qui sont ultimement responsables d’assumer la gestion des ressources finan-cières, humaines et matérielles de leur organisation et d’assurer la protection des renseignements personnels qu’ils détiennent en ces matières. Le déploiement d’une solution commune aura pour effet d’uniformiser les pratiques des ministères et organismes en matière de gestion. Il nous apparaît toutefois important que soient clarifiés les rôles et responsabilités des ministères et organismes quant aux renseignements personnels qui seront contenus et gérés par GIRES et les rôles et responsabilités des organismes centraux comme le Secrétariat du Conseil du trésor (SCT) et le Contrôleur des finances eu égard à ces mêmes renseignements personnels. Quels seront les renseignements personnels détenus par les organismes centraux dans GIRES? Le cadre de gestion décrit la responsabilité du respon-sable de l’accès du SCT comme suit « effectuer le traitement des demandes d’accès qui visent les renseignements détenus par le SCT, qu’ils soient acces-sibles ou confidentiels ». Quels seront ceux détenus par les ministères et orga-nismes? Quels seront les accès, les communications et les possibilités d’exploitation réservées aux organismes centraux? Quelles seront les communications entre ministères et organismes et comment GIRES rendra possibles ces communications? Comment entend-on concilier les objectifs de consolidation et d’intégration de l’information gouvernementale et le respect du cloisonnement des organisations gouvernementales en matière de renseignement personnel? À cet égard, il nous semble opportun de rappeler que la Commission émettait la réserve suivante à l’égard du projet de loi sur l’Administration publique : « Par ailleurs, la Commission rappelle que ces deux dispositions législatives ne doivent en aucune façon mettre de côté l’un des principes fondamentaux de la Loi sur l’accès, soit le cloisonne-ment de chacun des organismes publics aux fins de la gestion des renseignements personnels. » (99 20 19)
4 La clarification des rôles et responsabilités viendra asseoir l’efficacité du cadre de gestion sous étude et confirmer le respect du cloisonnement des orga-nismes publics qui détiennent juridiquement les fichiers de renseignements per-sonnels. Pour conclure, soulignons qu’il nous est toujours impossible d’identifier quels seront les fichiers de renseignements personnels des organisations gouver-nementales qui seront contenus dans GIRES. À ce stade-ci, nous ne pouvons, non plus, mesurer l’impact d’ouvrir l’accès d’un système de gestion des ressources humaines, financières et maté-rielles à tous les employés de l’État. Un travailleur, lorsqu’il agit dans sa zone de vie privée au travail, par exemple dans l’administration de ses conditions de travail, est en droit de s’attendre au respect de sa vie privée. La concentration dans des fichiers du système GIRES des données relatives à l’utilisation de l’infrastructure commune par un fonctionnaire dans le cadre de l’exercice de ses fonctions et dans sa zone privée de même que les possibilités de traçage et de constitution de profil à partir de ces données demeurent une préoccupation importante. De même, la gestion des contrôles des accès et la répartition des res-ponsabilités à cet égard devront être examinées. Ceci étant dit, afin d'être en mesure d'émettre un avis sur la solution GIRES, nous souhaitons que les échanges se poursuivent avec vos responsables pour bien comprendre la portée de cette solution que le Conseil du trésor entend implanter. Nous demeurons à votre disposition. Veuillez agréer, Madame, l’expression de nos sentiments les meilleurs. La Présidente, /cg JENNIFER STODDART
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.