Avis sur l'impartition des systèmes de gestion des permis de pêche et de chasse au ministère de l'Environnement et de la Faune 4 octobre 1999 Le 21 juillet 1999, M e Bernard Dionne, avocat à la Direction des affaires juridiques du ministère de l'Environnement et de la Faune (MEF), écrivait à M e Simon Lapointe afin que la Commission examine un projet de contrat établissant un système de gestion des permis de pêche et de chasse. La Commission a aussi reçu un mémoire de conception administrative préparé par la Direction générale des services informatiques gouvernementaux (DGSIG) pour le bénéfice de la Direction des territoires fauniques, de la réglementation et des permis du MEF. Un survol de ces documents révèle que le Ministère a retenu la recommandation de la DGSIG de procéder à une impartition des systèmes actuellement utilisés par le Service des permis (chasse et pêche). Il s'agit d'une impartition complète englobant le développement, l'implantation et l'exploitation. Le MEF nous a fourni une ébauche de contrat pour étude. Cependant, avant d'analyser le contenu de cet écrit sous les angles juridique et technologique tel qu'il fut demandé, il nous est apparu nécessaire de nous interroger sur quelques aspects fondamentaux qui concernent l'impartition et qui peuvent avoir un impact important sur la protection des renseignements personnels. Pour ce faire et pour bien cerner les enjeux reliés à ce projet, nous allons le décrire de manière succincte et présenter les arguments du MEF qui motivent la décision d'impartir. Puis nous.effectuerons un survol des problèmes causés par l'impartition et rappellerons le contenu d'un avis que la Commission a déjà rendu sur le sujet. Le projet et sa justification Les systèmes visés par l'impartition soutiennent un réseau de 1 300 dépositaires de permis de chasse et de pêche, à la disposition de 1 200 000 pêcheurs et de 459 000 chasseurs. Pour l'année 1997-1998, il y a eu émission de 1,3 millions de permis. Le rapport de la DGSIG mentionne qu'actuellement : « La clientèle des pêcheurs n'est pas répertoriée dans un fichier parce que le nom et l'adresse inscrits à la main sur le permis ne sont pas saisis. C'est un obstacle pour constituer les échantillons en vue des sondages et des enquêtes ». Un immense fichier contenant les données personnelles de 459 000 chasseurs passera donc sous la coupe du privé. On peut aussi deviner
l'intention du Ministère d'inclure les coordonnées des pêcheurs dans la nouvelle base de données. La DGSIG pose un constat de désuétude du système actuel et sa recommandation d'impartir repose en grande partie sur ce fait. L'argument économique est souligné mais ne tient pas la route, puisque le nouveau système ferait passer le coût de revient par permis de 1,47 $ actuellement à 1,88 $ après sa livraison. De plus, l'impartition de la partie développement est expliquée par des effectifs restreints en informatique et par l'absence d'expertise interne. Bien que nous puissions facilement concevoir que les systèmes utilisés actuellement soient désuets, la logique développée dans le rapport qui nous est soumis est fortement discutable. Elle se résume à : Le système étudié est désuet. Des impartiteurs, les firmes IBM et Digital, offrent des systèmes modernes. Il faut donc impartir. En fait, on peut moderniser un système sans avoir recours à l'impartition et cet aspect est ignoré dans l'étude présentée à la Commission. Dans son analyse pour le compte du MEF, la DGSIG s'interroge sur les impacts et enjeux reliés à ce dossier. On énumère dans le document une liste de sujets, sans les analyser. Un bref paragraphe mentionne le risque relié au choix du fournisseur et au degré de dépendance qui pourrait se développer vis-à-vis ce dernier. Un autre paragraphe nous apprend que les impacts sur la clientèle sont réduits à la disparition de points de vente et à des considérations d'ordre matériel comme la gestion.des stocks de formulaires. Il n'y a aucune analyse d'impacts portant sur les effets positifs et négatifs causés par l'impartition, ni sur les risques et leurs effets potentiels sous l'angle de la protection des renseignements personnels. Les problèmes liés à l'impartition Les problèmes reliés à l'impartition ont déjà été documentés dans le passé. Les principaux sont : • difficulté ou impossibilité de rapatriement à l'interne (irréversibilité); • perte de contrôle de l'activité impartie; • risques de captivité auprès d'un fournisseur; • risques liés à la prise de contrôle de l'impartiteur par une tierce partie; • risques de faillite; • contrat mal rédigé;
• non-respect du contrat; • escalade des coûts; • litiges entourant la piètre qualité des services rendus; • difficulté de suivi des contrats; • diminution du niveau de service; • perte d'expertise. l À notre point de vue, trois problèmes ou risques identifiés par les experts pourraient avoir un impact plus important sur la protection des renseignements personnels. Ce sont principalement l'irréversibilité de l'impartition, la perte de contrôle et la captivité auprès du fournisseur. En juillet 1994, les chercheurs Suzanne Rivard (HÉC), Michel Patry (HÉC) et Benoît A. Aubert (Université Laval) présentaient les résultats d'une recherche intitulée : L'impartition des activités informatiques au Canada : Portrait de 640 grandes entreprises. Nous allons référer à cette étude afin d'illustrer notre propos sur les trois risques identifiés ci-dessus. L'IRRÉVERSIBILITÉ Le MEF nous présente un projet d'impartition globale. Ce ministère demande à un éventuel impartiteur d'investir dans des équipements spécialisés et d'en assurer le financement. Ceci nécessite un contrat à long terme afin d'assurer un amortissement adéquat des investissements initiaux. Or, les.entreprises qui agissent ainsi ont généralement l'intention de confier définitivement à un fournisseur l'activité impartie. Aubert, Rivard et Patry viennent confirmer ce fait : « Il semble que les entreprises appartenant au profil d'impartition globale aient simplement décidé de ne plus s'impliquer dans l'exploitation du système informatique et de les confier définitivement aux fournisseurs. » (page 21) Dans le cas qui nous intéresse, même si l'intention du MEF n'était pas de confier définitivement l'activité visée à un impartiteur, la réalité économique aurait l'effet d'annihiler ce dessein. Nos trois chercheurs illustrent bien ce risque. « ... le coût de remplacement du fournisseur ou de retour des activités à l'interne est beaucoup plus élevé pour les entreprises qui impartissent plus. Souvent ces entreprises ont complètement désinvesti dans le domaine de l'informatique et ont donné peu à peu à des fournisseurs ce que certains qualifient de coeur des activités informatiques de l'entreprise. Le fournisseur ayant obtenu ce contrat est alors détenteur d'informations précieuses pour l'entreprise et le coût de remplacement du fournisseur est alors plus élevé ». (pages 30 et 31)
« Par ailleurs, plus de la moitié ... de ces entreprises ont indiqué qu'un retour à l'interne des activités informatiques était dorénavant impossible. Parmi celles ...qui ont pu évaluer qu'un tel rapatriement est possible le coût de retour est estimé à 125% du coût annuel du contrat. » (page 31) On peut raisonnablement se demander s'il est acceptable qu'un système contenant des renseignements personnels confiés à l'État, soit cédé au secteur privé en permanence. « Une tâche complexe ou difficile à réaliser est plus difficile à évaluer. Par le fait même, l'impartition de cette tâche devient plus risquée puisque les éléments de mesure se font rares ce qui rend la rédaction d'un contrat difficile. Cela peut mettre l'entreprise dans une position de faiblesse vis-à-vis du fournisseur. » (page 24) LE CONTRÔLE Certaines personnes pourraient suggérer que le caractère permanent de l'impartition projetée par le.MEF s'avère plus ou moins important, en autant que le tout soit soumis à des contrôles rigoureux. Dans les faits, l'entité qui investit dans un projet et qui par la suite le gère au quotidien détient le contrôle. Le projet qui nous est soumis, exige de l'impartiteur qu'il effectue la quasi-totalité des investissements requis. Les chercheurs Aubert, Rivard et Patry considèrent que le contrôle revient à la partie qui investit le plus et qu'il est avantageux qu'il en soit ainsi : « ...la partie dont l'investissement est le plus important (pour la production du résultat final) doit avoir le contrôle des décisions afin de s'approcher le plus possible d'une décision optimale. ». (page 7) « Selon la notion des effets de contrôle, en impartissant ainsi les activités plus techniques, l'entreprise-cliente délègue le contrôle de cette activité au fournisseur. ». (page 23) Le cas du MEF inquiète. Le Ministère veut se retirer du champ de la gestion des permis de chasse et de pêche. En confiant cette activité à une entreprise, il n'a d'autre choix que de lui en confier le contrôle. Est-il correct qu'une firme privée ait le contrôle sur un fichier de renseignements personnels fournis par des citoyens dans le but d'obtenir un service de nature étatique? LA CAPTIVITÉ Une entreprise qui impartit doit prendre des mesures afin d'éviter d'être captive du fournisseur qu'elle choisit. Elle doit, en cas de non-respect du contrat, pouvoir changer de fournisseur. À l'expiration d'un contrat, elle doit mettre son impartiteur en concurrence avec des compétiteurs afin de conclure un contrat qui lui est avantageux. Plus une activité est spécifique ou unique, moins il existe de firmes spécialisées dans ce secteur d'activité. Plus une activité demande des investissements élevés, plus il est
difficile pour un concurrent de prendre la relève, car il doit lui aussi refaire ces investissements. Les risques de captivité sont alors élevés. L'activité que projette d'impartir le MEF est très spécifique et commande des investissements élevés de la part du fournisseur..Au sujet de ce type de situation Aubert, Rivard et Patry écrivent : « ...les investissements spécifiques présentent un risque puisqu'ils lient le client et le fournisseur dans leur relation contractuelle et demandent l'ajout de garanties diverses au contrat. Ces investissements pourraient par exemple permettre au fournisseur de demander, lors du renouvellement du contrat, un prix plus élevé puisque les compétiteurs auraient à refaire l'investissement spécifique pour offrir le même service. » (page 26) « Ainsi on remarque que les entreprises qui ont des profils d'impartition CPU ou globale estiment pouvoir compter sur un nombre moins élevé de fournisseurs pour remplacer leur fournisseur actuel Dès lors, seuls les fournisseurs ayant effectué ces investissements spécifiques sont en mesure d'offrir le service requis. » (page 30) Le projet du MEF comporte des risques évidents de captivité. En cas de problèmes concernant la confidentialité, quelle emprise aurait alors le Ministère sur une entreprise rébarbative sachant qu'elle ne peut être remplacée facilement? Mais serait-il possible de contrer tous ces risques par une gestion serrée du contrat? Il faut demeurer critique à ce sujet. Dans la réalité, les risques ne se concrétisent pas nécessairement en problèmes vécus. On peut choisir de courir des risques en toute connaissance de cause, surtout si le gain financier potentiel se montre appréciable. On ne peut cependant avoir la même attitude lorsque les enjeux débordent le strict point de vue comptable. L'impartition d'un système alimenté par des données personnelles sur des citoyens qui reçoivent un service de l'État, soulève avant toute chose des questions éthiques. L'avis de la Commission Le 13 juin 1994, la Commission émettait un avis concernant certaines questions relatives à la consolidation ou à l'impartition de sept centres de traitement informatique du gouvernement du Québec. Dans cet avis, la Commission invitait à s'interroger sur des questions d'ordre éthique avant de mettre à exécution son projet. « En fait la Commission estime que le gouvernement devrait, dans un premier temps, répondre à la question suivante : qui peut physiquement détenir l'information nominative concernant les citoyens? Est-il raisonnable et opportun de confier au secteur privé, en tout ou en partie, la gestion de renseignements personnels recueillis par l'État?
Quelles sont les attentes des contribuables, des personnes bénéficiaires de l'aide sociale, des étudiants à qui on octroie un prêt ou une bourse lorsqu'ils confient à l'État des renseignements personnels, parfois particulièrement sensibles à leur sujet? » La Commission concluait ainsi : « Avant de se délester de ses responsabilités à l'égard de la gestion et du traitement de la multitude de renseignements personnels qu'il détient, le gouvernement doit s'astreindre à résoudre la question suivante : l'impartition des sept centres de traitement informatique risque-t-elle de rompre la relation de confiance qui persiste entre l'État et ses citoyens? Selon la Commission, le maintien de cette essentielle relation de confiance dépend exclusivement de la certitude qu'auront les citoyens que les renseignements personnels confiés à l'État sont, en tout temps, traités sans risque de bris de confidentialité et par des personnes à l'abri de tout conflit d'intérêts, apparent ou réel. La Commission considère que ces objectifs pourraient difficilement être atteints si la gestion et le traitement de renseignements personnels devaient être confiés au secteur privé. » Il est bien clair que le système que se propose d'impartir le MEF est loin de posséder la même envergure que le projet soumis à la Commission à l'époque. Il faut cependant prévoir que si de nombreux ministères et organismes réalisent des impartitions système par système, à plus ou moins brève échéance, l'addition de celles-ci équivaudront à une impartition d'envergure. L'impartition des sept centres informatiques ne s'est pas concrétisée et les questions soulevées à ce moment ne semblent pas avoir trouvé réponse. RECOMMANDATION Après examen du dossier présenté par le MEF à la Commission, il nous apparaît important de rappeler non seulement à ce ministère, mais aussi au gouvernement l'importance des questions éthiques.soulevées par l'impartition d'activités étatiques, où des données personnelles fournies par les citoyens sont en jeu. Le lien de confiance État-citoyen est toujours menacé. La Commission maintient donc la position qu'elle rendait publique en 1994 et s'inquiète de voir confier au secteur privé la globalité d'une activité comme la gestion des permis de pêche et de chasse. Ces inquiétudes à l'égard de la protection des renseignements personnels étaient d'ailleurs partagées à l'époque. Au moment de l'abandon de la privatisation des centres informatiques en 1994, le lecteur d'une émission d'affaires publiques de Radio-Canada disait : « Le gouvernement ne privatisera pas ses centres de traitement informatique La présidente du Conseil du trésor, Pauline Marois, préfère les fusionner à l'intérieur de l'État. Elle refuse de céder à des intérêts privés des banques de données confidentielles. » Madame Marois précisait d'ailleurs « La confidentialité des données, pour nous, c'est un principe fondamental et cela ne doit jamais être remis en cause. » Si le gouvernement a jugé bon de ne pas aller de l'avant avec ce projet à l'époque, il serait périlleux de le faire de façon indirecte à la pièce.
Si le MEF ou un autre organisme gouvernemental voulait aller de l'avant avec tout projet d'impartition où des renseignements personnels sont en jeu, il lui faudrait préalablement réaliser une étude d'impacts et tenir un débat public sur le sujet. Le Ministère doit continuer sa réflexion à la lueur des arguments soulevés par la Commission dans son avis de juin 1994.
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.