Commission d’accès à l’information du Québec Dossier : 1014089-S
Nom de l’organisme : Centre de services scolaires de Montréal
Date : 29 octobre 2021
Membre :
M e Lina Desbiens
DÉCISION RECTIFIÉE 1
ENQUÊTE en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 2 .
APERÇU [1] La Commission d’accès à l’information (la Commission) a mené une enquête sur les pratiques de la Commission scolaire de Montréal (CSDM), maintenant appelé le Centre de services scolaire de Montréal (CSSDM), en matière de validation de l’identité des personnes qui formulent une demande d’accès à des renseignements personnels. [2] L’enquête s’est déroulée sur plusieurs années au cours desquelles l’organisme a collaboré de façon constante avec la Commission. Les pratiques de l’organisme ont d’ailleurs évolué au cours de cette période. Dans ses observations, il informe la Commission de son intention de se conformer à toute directive ou recommandation pour la mise en place de mesures d’identification répondant à la fois aux exigences de la Commission, tout en rencontrant les plus hauts standards de sécurité.
1 Décision du 24 septembre 2021. 2 RLRQ, c.A-2.1, la Loi sur l’accès.
1014089-S Page : 2
AVIS D’INTENTION ET OBSERVATIONS [3] Le 28 janvier 2021, la Commission a transmis un avis d’intention informant l’organisme qu’à la lumière des informations dont elle disposait, la Commission pourrait conclure que le CSSDM : • ne respecte pas l’article 64 de la Loi sur l’accès en collectant une copie certifiée et valide de deux pièces d’identité (une avec adresse, une autre avec photo) des personnes qui font des demandes d’accès à leurs renseignements personnels à distance; • ne respecte pas l’article 65 de la Loi sur l’accès en n’informant pas les personnes concernées des conséquences de refuser de transmettre, par la poste ou par courriel, une copie de deux pièces d’identité (une avec adresse, une autre avec photo), avec leurs demandes d’accès à des renseignements personnels à distance dans l’éventualité où elles ne pourraient pas se présenter en personne aux bureaux de la CSDM; • n’informe pas les personnes concernées de leurs droits d’accès et de rectification prévus par la loi. Et qu’en l’état actuel du dossier, la Commission pourrait ordonner à la CSDM : • de cesser de collecter les copies certifiées et valides de deux pièces d’identité (une avec adresse, une autre avec photo) des personnes qui font des demandes d’accès à leurs renseignements personnels à distance; • d’informer les personnes qui font une demande d’accès à des renseignements personnels à distance : i. des conséquences de refuser que leur identité soit validée de la façon prescrite par la CSDM dans l’éventualité où elles ne pourraient pas se présenter en personne aux bureaux de la CSDM; ii. de leurs droits d’accès et de rectification prévus par la loi. [4] Conformément à l’article 129 de la Loi sur l’accès, la Commission a invité l’organisme à fournir ses observations et un délai lui a été accordé pour ce faire. [5] Dans ses observations, l’organisme soumet un nouvel accusé réception aux demandes de renseignements personnels 3 offrant deux options aux demandeurs d’accès pour la validation de leur identité qui se fait à distance.
3 Observations additionnelles, 7 juillet 2021.
1014089-S Page : 3
ANALYSE 1. Le CSSDM est assujetti à la Loi sur l’accès [6] Le CSSDM est un organisme public, scolaire plus particulièrement 4 titre, il est assujetti à la Loi sur l’accès qui établit des règles relatives à la collecte, à l’utilisation, à la communication et à la conservation des renseignements personnels. 2. Le caractère personnel des pièces d’identité [7] La Loi sur l’accès prévoit que sont personnels, les renseignements qui concernent une personne physique et permettent de l’identifier, et ce, quelle que soit la forme du document où ils sont inscrits 5 . De plus, un renseignement peut être qualifié de renseignement personnel qu’il soit utilisé seul ou avec d’autres [8] Les pièces d’identité telles que le passeport, le permis de conduire, la carte d’assurance maladie, une carte d’étudiant, pour ne citer que celles-ci, contiennent des informations qui permettent d’identifier une personne physique. Il en va ainsi des noms, prénoms, date de naissance, sexe, adresse, photographie pouvant y figurer. [9] Il en va également des numéros qui peuvent être inscrits sur ces pièces. En effet, ces numéros sont propres à une personne physique qui, en principe, les conserve toute sa vie. Il s’agit d’identifiants uniques. [10] Par conséquent, les différentes informations contenues sur une pièce d’identité avec photo, exigée par l’organisme, sont des renseignements personnels au sens de la Loi sur l’accès, puisqu’elles font connaître quelque chose permettant de distinguer une personne physique d’une autre 7 . 3. La nécessité de la collecte de renseignements personnels [11] La Loi sur l’accès prévoit qu’un organisme public ne peut recueillir que les renseignements personnels nécessaires à l’exercice de ses attributions 8 .
. À ce
4 Loi sur l’accès, articles 3 et 6. 5 Loi sur l’accès, articles 1 et 54. 6 Il en va ainsi, par exemple, du nom d’une personne physique. Loi sur l’accès, article 56. 7 Ségal c. Centre des services sociaux du Québec [1988] CAI 315. 8 Article 64 de la Loi sur l’accès.
6 .
1014089-S Page : 4
[12] Pour faire cette démonstration, l’organisme doit démontrer le caractère légitime, important et réel de cette collecte et la proportionnalité de l’atteinte à la vie privée qu’elle constitue quant aux objectifs poursuivis 9 . Le caractère légitime, important et réel de la collecte des renseignements personnels [13] La Loi sur l’accès prévoit qu’une demande d’accès à des renseignements personnels adressée à un organisme public doit être formulée par écrit et par une personne physique justifiant de son identité à titre, entre autres, de personne concernée, de représentant, de titulaire de l’autorité parentale 10 . [14] Pour répondre à cette exigence, l’organisme doit vérifier l’identité du demandeur, ce qui implique une collecte de renseignements personnels. [15] En l’espèce, l’organisme veut s’assurer de ne pas transmettre « erronément aucun renseignement personnel à un tiers sans le consentement de la personne concernée » 11 . [16] Cet objectif est légitime, important et réel, compte tenu des obligations de l’organisme en matière de protection des renseignements personnels qu’il détient. Proportionnalité de l’atteinte à la vie privée en lien avec l’objectif recherché [17] L’organisme doit colliger des renseignements personnels afin d’atteindre son objectif. Toutefois, la collecte de renseignements personnels constitue une atteinte à la vie privée. Cette atteinte doit donc être proportionnelle à l’objectif recherché. [18] Pour évaluer la proportionnalité de l’atteinte à la vie privée, il faut tenir compte de la nature sensible des renseignements personnels collectés, des autres moyens à la disposition de l’organisme et des conséquences pour les personnes concernées. [19] D’abord, le CSSDM exigeait systématiquement une copie certifiée de deux pièces d’identité. Il demandait une pièce avec adresse et une autre avec photo
9 Laval (Société de transport de la Ville de) c. X., [2003] C.A.I. 667 (C.Q.); Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 9397; Centre des services partagés du Québec et Secrétariat du Conseil du Trésor, CAI 1007894-S, 18 octobre 2018. 10 Article 94 de la Loi sur l’accès. 11 Réponse de la CSDM en date du 14 juin 2016.
1014089-S Page : 5
avant de traiter la demande d’accès formulée par une personne physique à des renseignements personnels 12 . [20] Le CSSDM a modifié sa pratique 13 . En effet, il ne recueille plus systématiquement la copie des pièces d’identité. Dorénavant, le processus de validation de l’identité du demandeur se fait différemment selon que la demande est faite en personne ou à distance. Identification des personnes [21] Désormais, le CSSDM valide l’identité du demandeur qui fait une demande d’accès à des renseignements personnels en personne en consignant une note au dossier de sa demande d’accès 14 . [22] La Commission prend acte de cette modification, laquelle fait écho aux décisions rendues quant à l’utilisation des pièces d’identité à des fins de validation de l’identité d’une personne 15 . [23] En effet, la Commission rappelle qu’un organisme public peut demander aux personnes de présenter une pièce d’identité, avec ou sans photo, sans en colliger le contenu. Identification à distance [24] La Commission est consciente des défis que pose la dématérialisation des services offerts aux citoyens dans le respect des lois 16 et des droits des personnes concernées, notamment en ce qui a trait à l’identification des personnes physiques. En effet, identifier une personne physique permet d’avoir la certitude que la personne avec laquelle on entre en contact est bien la personne qu’elle prétend être. Se pose dès lors la question de savoir comment acquérir cette certitude lorsque l’identification doit se faire à distance. Cette identification peut se faire à partir de caractéristiques, connaissances ou objets que la personne à identifier présente ou possède 17 .
12 Réponse de la CSDM en date du 14 juin 2016. 13 Réponse de la CSDM en date du 14 juin 2016. 14 Réponse de la CSDM en date des 4 avril 2017 et 25 mai 2020. 15 Voir notamment, Skyventure Montréal, CAI 101888, 16 septembre 2013; Commission scolaire de la Capitale et Ministère de l’Éducation, du Loisir et du Sport, CAI 111534-S et 111582-S, 9 septembre 2015; Les 3 Pilliers, CAI 1018507-S, 14 février 2020. 16 Voir notamment Code de la sécurité routière, RLRQ, c. C-24.2, article 61; Loi sur l’assurance maladie, RLRQ, c. A-29, article 9.0.0.1. 17 Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1, article 40, la LCCJTI.
1014089-S Page : 6
[25] Ainsi, lorsqu’un organisme public offre une prestation électronique de services, comme en l’espèce, il doit ne recueillir que les renseignements personnels nécessaires à la réalisation de la démarche concernée 18 . [26] Au regard des décisions et autres documents produits ici et ailleurs 19 , force est de constater que plusieurs méthodes sont utilisées comme l’envoi par la poste ou par courriel d’une copie d’une pièce d’identité dont certains éléments ont été caviardés, l’identification à deux facteurs ou à l’aide de secrets partagés 20 ou encore le recours à la visioconférence ou à un répondant autorisé 21 . [27] Force est aussi de constater que, sans privilégier une méthode ou une autre, ces documents insistent sur le fait que même si l’identification doit se faire à distance, les principes de nécessité et d’information préalable demeurent. 22 [28] En l’espèce, dans le contexte de la pandémie de la Covid-19, les demandes à distance sont devenues la règle, et par conséquent, l’organisme a revu sa pratique pour l’identification 23 . [29] Ainsi, dans l’accusé réception 24 transmis par l’organisme, deux options sont offertes pour confirmer l’identité du demandeur et sont ainsi décrites : 1) Le demandeur d’accès peut prendre rendez-vous avec un membre de l’équipe d’accès à l’information à l’adresse suivante : accesdoc@csdm.qc.ca. Cette rencontre peut se tenir via la plateforme ZOOM et vise à permettre au demandeur de s’identifier en visioconférence, en exhibant une pièce d’identité
18 COMMISSION D’ACCÈS À L’INFORMATION, Guide en matière de protection des renseignements personnels dans le développement des systèmes d’information à l’intention des ministères et organismes publics, 2002 (mis à jour en 2015). 19 COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS, Téléservices et protection de la vie privée, décembre 2018 (https://www.cnil.fr/en/node/25013); CENTRE D’ANALYSE DES OPÉRATIONS ET DÉCLARATIONS FINANCIÈRES DU CANADA, Méthodes pour vérifier l’identité de personnes ou pour confirmer l’existence de personnes morales ou d’entités autres qu’une personne morale, octobre 2019 (https://www.fintrac-canafe.gc.ca/guidance-directives/client-clientele/Guide11/11-fra); COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, Lignes directrices en matière d’identification et d’authentification, juin 2016 (https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/identites/identification-et-authentification/auth_061013/). 20 Centre des services partagés du Québec et Secrétariat du Conseil du Trésor, CAI 1007894-S, 18 octobre 2018. 21 Barreau du Québec, CAI 1014346-S, 24 février 2020. 22 La Commission tient également à rappeler l’importance de la sécurité des documents transmis par la poste ou électroniquement (interception, intégrité, usurpation d’identité). Voir notamment la Loi sur l’accès, article 63.1; LCCJTI, articles 28 et suivants. 23 Observations additionnelles de l’organisme du 7 juillet 2021. 24 Accusé réception joint aux observations du 7 juillet 2021.
1014089-S Page : 7
valide avec photo. Cette façon de procéder n’implique aucune collecte de vos renseignements personnels; ou 2) Le demandeur peut également transmettre, par courriel, une pièce d’identité valide avec photo et son nom. Tous les autres renseignements personnels contenus dans cette pièce d’identité peuvent être masqués. La copie de la pièce d’identité sera détruite à la suite de sa validation. CONCLUSION [30] La Commission conclut que la pratique du CSSDM décrite dans la première option minimise l’atteinte à la vie privée, laquelle ne doit pas être disproportionnée par rapport à l’objectif poursuivi. Elle permet d’identifier le demandeur d’accès dans le respect de la loi. Cette façon de faire apparait proportionnelle à l’objectif poursuivi. Elle permet d’identifier le demandeur d’accès dans le respect de la loi et n’implique pas la conservation de renseignements personnels une fois l’identité validée 25 . [31] Quant à la deuxième option, elle implique une communication par courriel de renseignements personnels permettant d’identifier le demandeur d’accès. Les demandeurs sont invités à limiter les renseignements transmis au nom et à la photo apparaissant sur la pièce d’identité. [32] La Commission constate qu’il s’agit d’une collecte de renseignements personnels permettant d’atteindre l’objectif d’identification adéquate des demandeurs d’accès. [33] Cette façon de procéder apparait proportionnelle, puisque les renseignements personnels demandés sont limités au strict nécessaire pour permettre l’identification, soit la photographie et le nom. De plus, ces renseignements ne sont jamais enregistrés et la copie de la pièce d’identité est détruite à la suite de sa validation. [34] La collecte de renseignements permet à une personne ne pouvant utiliser l’identification par Zoom de quand même présenter une demande à distance. L’atteinte à la vie privée du demandeur d’accès qui peut ainsi faire sa demande à distance est à son avantage. [35] Toutefois, la transmission de renseignements personnels ou confidentiels dans le corps d’un courriel n’est pas un mode de transmission sécuritaire.
25 La Compagnie Jean Duceppe, CAI 1022182-S, 28 juillet 2021.
1014089-S Page : 8
[36] À cet égard, l’article 63.1 de la Loi sur l’accès prévoit que : 63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. [37] Dans ses observations 26 , le CSSDM exprime sa volonté d’assurer la mise en place des mesures d’identification répondant à la fois aux exigences de la Commission, tout en rencontrant les plus hauts standards de sécurité. Il invite d’ailleurs la Commission à faire des recommandations à cet égard. C’est pourquoi la Commission recommande à l’organisme de mettre à la disposition des demandeurs d’accès un moyen de communication sécuritaire pour transmettre leurs renseignements personnels, notamment un courriel sécurisé qui peut être accessible par son site Web. POUR CES MOTIFS, LA COMMISSION : [38] PREND ACTE des modifications apportées à la procédure d’identification des personnes qui formulent une demande d’accès à des renseignements personnels; [39] RECOMMANDE de mettre à la disposition des demandeurs d’accès un moyen de communication sécuritaire pour transmettre leurs renseignements personnels, notamment un courriel sécurisé qui peut être accessible par son site Web.
Original signé M e Lina Desbiens Membre de la Commission, section de surveillance
26 Observations du 25 mai 2020.