COVID-19 : Protection des renseignements personnels et sécurité de l’information

25 mars 2020 – Le contexte actuel lié aux mesures exceptionnelles prises pour limiter la propagation de la COVID-19 entraîne un bouleversement des pratiques et des façons de faire. Certaines peuvent impliquer des renseignements personnels. Dans le cadre de son rôle de surveillance et de promotion de la protection des renseignements personnels, la Commission d’accès à l’information souhaite diffuser les précisions suivantes.

Collecte et communication de renseignements personnels en période d’urgence sanitaire

Autorités de santé publique

Les autorités de santé publique régionales, provinciale et fédérale sont les principales responsables de la détection des cas de COVID-19 et du suivi des personnes infectées et de la situation générale. Pour ce faire, elles disposent de différents pouvoirs, surtout lorsque l’état d’urgence sanitaire est déclaré comme le prévoit la Loi sur la santé publique (c. S-2.2).

Le gouvernement du Québec a déclaré cet état d’urgence sanitaire le 13 mars dernier. Celui-ci permet la collecte et la communication des renseignements personnels requis pour protéger la santé de la population. À ce sujet, l’article 123 (3) de la Loi sur la santé publique prévoit ceci :

123. Au cours de l’état d’urgence sanitaire, malgré toute disposition contraire, le gouvernement ou le ministre, s’il a été habilité, peut, sans délai et sans formalité, pour protéger la santé de la population:
[…]
3°  ordonner à toute personne, ministère ou organisme de lui communiquer ou de lui donner accès immédiatement à tout document ou à tout renseignement en sa possession, même s’il s’agit d’un renseignement personnel, d’un document ou d’un renseignement confidentiel;
[…]

En outre, le directeur national de santé publique peut communiquer des renseignements s’il a des motifs sérieux de croire que leur divulgation peut protéger la santé de la population.

Lois relatives à la protection des renseignements personnels

Pour les organismes publics et les entreprises privées, les dispositions habituelles relatives à la protection des renseignements personnels demeurent applicables. Toutefois, il existe des exceptions susceptibles de s’appliquer en cas d’urgence sanitaire.

Au Québec, deux lois principales balisent la protection des renseignements personnels :

  • la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (c. A-2.1) pour le secteur public (la Loi sur l’accès);
  • la Loi sur la protection des renseignements personnels dans le secteur privé (c. P-39.1) pour le secteur privé (la Loi sur le privé).

Ces lois prévoient des obligations en matière de collecte, d’utilisation, de communication, de conservation et de destruction de renseignements personnels. Entre autres, la collecte de renseignements personnels doit être limitée à ceux qui sont nécessaires et leur utilisation est restreinte uniquement aux fins pour lesquelles ils ont été recueillis ou à des fins compatibles.

De même, ces lois prévoient que les renseignements personnels que détiennent les organismes publics et les entreprises privées sont confidentiels :

  • À l’externe, le consentement de la personne concernée est requis avant de communiquer un renseignement personnel, à moins d’une exception prévue par la loi, par exemple si cette communication :
    • est nécessaire à l’application d’une loi au Québec (art. 67 de la Loi sur l’accès; art. 18 (4) de la Loi sur le privé);
    • est faite à une personne ayant le pouvoir de contraindre à la communication des renseignements personnels et qui le requiert dans l’exercice de ses fonctions (art. 171 (3) de la Loi sur l’accès; art. 18 (6) de la Loi sur le privé);
    • est faite à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée (art. 59 al. 2 (4) de la Loi sur l’accès; art. 18 al. 1 (7) de la Loi sur le privé);
    • est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise (art. 67.2 de la Loi sur l’accès; art. 20 de la Loi sur le privé).
  • À l’interne, les employés ont accès aux seuls renseignements nécessaires pour exercer leurs tâches (art. 62 de la Loi sur l’accès; art. 20 de la Loi sur le privé).
  • Certains employeurs ont dû déployer rapidement des mesures de télétravail pour leurs employés. Les organismes publics et les entreprises ont l’obligation de mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels dans ce nouveau contexte (art. 63.1 de la Loi sur l’accès; art.10 de la Loi sur le privé).

Fraudes liées à la COVID-19 et cybercriminalité

Malheureusement, certains profitent de la situation actuelle pour tenter de soutirer des renseignements personnels ou pour commettre d’autres types de fraudes exploitant les craintes des citoyens.

Méfiez-vous particulièrement des tentatives d’hameçonnage par téléphone, par courriel ou par message texte.

Vous pouvez obtenir plus d’informations sur notre site Internet ou auprès du Centre antifraude du Canada, qui recense les principales fraudes liées à la COVID-19.

 

Si vous avez des questions quant à la protection des renseignements personnels en situation de pandémie, vous pouvez communiquer avec nous à l’adresse suivante : cai.communications@cai.gouv.qc.ca.