La Commission souhaite « Rétablir l’équilibre » : Pour un renforcement de la protection des renseignements personnels dans les secteurs public et privé

Rapport quinquennal 2016Voici le troisième d’une série de quatre articles offrant un aperçu des recommandations formulées dans le rapport quinquennal 2016 de la Commission d’accès à l’information, intitulé Rétablir l’équilibre, à l’occasion de la tenue d’auditions publiques sur ce dernier.

Le troisième volet du rapport présente les suggestions de la Commission sur certaines problématiques inhérentes à la protection des renseignements personnels et à l’application de la Loi sur l’accès et de la Loi sur le privé en cette matière. En voici un résumé.

Tout d’abord, la Commission propose de modifier la Loi sur le secteur privé afin d’y inclure une obligation de responsabilité des entreprises et réitère la recommandation de son rapport quinquennal de 2011 de prévoir la création de la fonction de responsable de l’accès et de la protection des renseignements personnels en entreprise. Ces modifications visent à assurer une meilleure transparence quant à la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels par les entreprises et à renforcer la confiance des citoyens.

De plus, la Loi sur le privé prévoit déjà que les agents de renseignements personnels doivent publier leur nom et coordonnées ainsi que certains autres éléments prévus dans cette loi tous les deux ans, dans un journal de circulation générale dans chaque région où l’entreprise fait des affaires. Cependant, avec l’arrivée des sources d’information numérique et le développement des nouvelles habitudes de consultation de l’information, la Commission estime que le mode obligatoire de publication de ces avis publics devrait être remplacé par une diffusion sur Internet pour plus d’efficacité.

Pour la Commission, « rétablir l’équilibre » implique aussi l’actualisation de certains concepts relatifs à la protection des renseignements personnels afin qu’ils soient mieux adaptés aux nouveaux modèles d’affaires et neutres de façon à pouvoir évoluer au même rythme que la technologie. Elle a donc examiné, à cette fin, les notions de dossier, de renseignements personnels et de consentement utilisées dans la Loi sur l’accès et la Loi sur le privé, et invite le législateur à les modifier ou les repenser à la lumière de la réalité numérique et de la multiplication des usages possibles des renseignements personnels.

Dans un autre ordre d’idée, malgré les craintes de discrimination soulevées par l’utilisation des renseignements génétiques des citoyens, il n’existe encore aucune législation au Québec visant à encadrer explicitement le traitement de ces renseignements extrêmement sensibles. La Commission recommande que ceux-ci servent uniquement à des fins médicales, scientifiques ou judiciaires et que toute autre utilisation soit interdite et presse le législateur à légiférer à cette fin.

Le domaine de la biométrie compte également parmi les préoccupations de la Commission. En effet, la nature particulière des renseignements personnels recueillis par ces systèmes, marqués par des avancées technologiques spectaculaires au cours des dernières années, pose des défis en matière de protection de la vie privée et de sécurité de l’information. Elle est donc d’avis que des exigences supplémentaires pourraient être prévues dans la loi, afin d’éviter les problèmes relatifs à la protection de la vie privée et d’atténuer les aléas liés à la vulnérabilité des banques de données centralisées.

Par ailleurs, à la suite d’une recommandation formulée dans le rapport quinquennal de 2011 de la Commission, le gouvernement a fait savoir qu’il entendait imposer aux organismes publics l’obligation de déclarer aux personnes concernées les incidents de sécurité survenus dans le cadre de leurs activités et impliquant des renseignements personnels. La Commission insiste cette fois sur l’importance d’imposer une obligation similaire aux entreprises privées puisque la recommandation formulée en 2011 invitait le législateur à modifier tant la Loi sur l’accès que la Loi sur le privé.

Toujours dans le secteur privé, l’absence de précisions quant à la durée de conservation des renseignements personnels y constitue une problématique particulière. Selon la Commission, la durée de cette conservation devrait se limiter à la réalisation des fins pour lesquelles ils ont été recueillis, sous réserve des obligations contenues dans d’autres lois.

En matière d’enseignement, de recherche ou de statistique, lorsque des chercheurs se voient refuser l’accès à des renseignements personnels détenus par les organismes publics et les entreprises pour les utiliser à ces fins sans le consentement préalable des personnes concernées, ceux-ci doivent demander une autorisation à la Commission. Celle-ci n’ayant toutefois pas le pouvoir d’obliger la communication de renseignements à des fins de recherche, elle propose de modifier la Loi sur l’accès et la Loi sur le privé afin d’éliminer l’exigence de son autorisation préalable.

Actuellement, la Loi sur l’accès prévoit certaines exceptions autorisant un organisme public à communiquer un renseignement personnel sans le consentement de la personne concernée à certaines fins spécifiques. Comme l’application de ces dispositions pose différents problèmes liés notamment à la confusion de leur libellé et de certaines règles, la Commission suggère, d’une part, que soient clarifiées les situations où un organisme est autorisé à communiquer des renseignements personnels et, d’autre part, que soit précisés certains éléments du processus de demande d’avis qui lui est formulée.

En matière de communications à l’extérieur du Québec, certains textes internationaux ou régionaux, établissant les principes directeurs en matière de flux transfrontières, prévoient des mesures visant à assurer aux renseignements personnels transmis à d’autres juridictions une protection « adéquate » ou « comparable ». La Commission croit que certaines de ces mesures devraient être intégrées dans la Loi sur l’accès et la Loi sur le privé, notamment pour prévoir une obligation de réaliser une analyse des risques et identifier, s’il y a lieu, des mesures pour atténuer ces risques.

Enfin, malgré que cette question ne soit pas nouvelle, l’encadrement juridique de l’accès aux renseignements personnels à des fins de recherche généalogique et historique pose toujours certaines difficultés. La Commission juge donc nécessaire de relancer la réflexion sur la recherche d’un équilibre entre le respect de la vie privée et les intérêts légitimes liés la pratique de la généalogie et de modifier la législation en tenant compte de l’ensemble du cadre juridique applicable.

Pour obtenir plus de détails sur ce troisième volet, consultez les pages 12 à 21 de la version abrégée du rapport quinquennal 2016 de la Commission.

Premier article de la série
Deuxième article de la série