L’expérience législative québécoise en matière de protection des données personnelles

par M. Henri-François Gautrin, Vice-président de la commission politique de l’APF au nom de M. Jacques Saint-Laurent, Commissaire à l’accès à l’information du Québec

Monsieur le Secrétaire général de l’Organisation internationale de la Francophonie,
Monsieur le Président de l’Assemblée,
Monsieur le Secrétaire général parlementaire,
Distingués invités,

Je suis heureux de m’adresser à vous aujourd’hui, au nom du président de la Commission d’accès à l’information du Québec, M. Jacques Saint-Laurent qui est malheureusement retenu par d’impérieuses obligations et vous prie de l’excuser. En son nom, je vous remercie pour cette invitation à vous faire part de l’expérience législative québécoise en matière de protection des données personnelles.

C’est en 1982 que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels1 fut adoptée à l’unanimité par les parlementaires québécois. Elle constitue l’aboutissement d’une démarche, qui était alors avant-gardiste, visant à concilier et à encadrer deux droits fondamentaux reconnus par la Charte des droits et libertés de la personne, soit le droit au respect de la vie privée et le droit à l’information2. En conséquence, nous sommes très fiers de célébrer cette année le vingt-cinquième anniversaire du « modèle québécois ».

La Loi sur l’accès consacre le principe du droit d’accès aux documents administratifs des organismes publics, d’une part. D’autre part, elle prévoit des règles d’accès et de protection des renseignements personnels détenus par les organismes public. Cette loi a également institué la Commission d’accès à l’information3. Cet organisme multifonctionnel, à la fois tribunal administratif et autorité de contrôle, est chargé de veiller à l’application de la Loi4.

Il y a 25 ans, le jumelage du régime d’accès à l’information et de protection des renseignements personnels dans une seule loi et l’attribution de ce double mandat à un seul organisme de contrôle étaient inédits sur la scène nationale et internationale. Par la suite, le « modèle québécois » a inspiré les législatures d’autres provinces canadiennes (Ontario et Colombie-Britannique) et même d’Europe5.

La Loi sur l’accès vise uniquement le secteur public, soit près de trois mille ministères et organismes6. Depuis 1993, il existe également au Québec une loi applicable aux entreprises privées visant la protection des renseignements personnels. Il s’agit de la Loi sur la protection des renseignements personnels dans le secteur privé7. Dès qu’une entreprise de biens ou de services recueille, détient, utilise ou communique des renseignements personnels, elle doit se conformer aux obligations qui lui incombent en vertu de cette loi. Le Québec a opté pour une approche globale et non sectorielle applicable à toutes les entreprises privées. La Commission d’accès à l’information est également responsable de voir à l’application de la Loi dans le secteur privé8.

Il importe de souligner le statut prépondérant de la Loi sur l’accès et de la Loi applicable au secteur privé : en principe, elles ont préséance sur toutes les autres lois adoptées par le législateur québécois9. Certaines exceptions et dérogations sont possibles. À titre d’exemple, le législateur peut prévoir une clause dérogatoire dans un projet de loi soumis à l’Assemblée nationale. La publicisation de telles dérogations exceptionnelles permet aux citoyens d’en être informés et de participer, le cas échéant, aux débats publics à ce sujet10.

Le régime législatif québécois de protection des renseignements personnels consacre deux principes essentiels.

Le premier principe est le suivant : toute personne a un droit d’accès aux renseignements qui la concernent11. Un renseignement personnel se définit ainsi : il s’agit d’un renseignement contenu dans un document détenu par un organisme public ou par une entreprise privée, qui concerne une personne physique et permet de l’identifier12. Le document peut être sous forme écrite, graphique, sonore, visuelle, informatisée ou autre13. Le droit d’accès s’exerce par consultation sur place ou à distance, ou encore par l’obtention d’une copie des documents demandés14. Lorsque le requérant est une personne handicapée, des mesures d’accommodement raisonnables doivent être prises, sur demande, pour lui permettre d’exercer son droit d’accès15.

Outre ce droit d’accès, les lois québécoises accordent aux individus le droit de faire rectifier les renseignements inexacts, incomplets ou équivoques qui les concernent. Il leur est également possible de faire supprimer des renseignements obtenus, communiqués ou conservés en contravention avec les règles législatives16.
Le second principe reconnu par la Loi sur l’accès et par la Loi applicable au secteur privé est celui de la confidentialité des renseignements personnels17. D’abord, un organisme public ne peut recueillir que les renseignements nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion18. Les entreprises privées ne peuvent recueillir que les seuls renseignements nécessaires à l’objet du dossier constitué sur un individu19. Ce critère de nécessité exclut donc la collecte de renseignements simplement utiles ou autrement intéressants sur une personne. Il est donc très limitatif.

Les renseignements personnels recueillis ne doivent pas être divulgués sans le consentement de la personne concernée, sous réserve de certaines exceptions. Dans cette optique, les organismes publics et les entreprises privées doivent prévoir et appliquer des mesures rigoureuses propres à assurer la sécurité des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures de sécurité doivent être raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support20. Par exemple, les organismes publics et les entreprises privées doivent garantir que seules les personnes autorisées auront accès aux renseignements personnels détenus, par le déploiement de mesures administratives, technologiques ou autres.

Ainsi, le modèle législatif québécois en matière d’accès aux données personnelles et de protection de ces données attribue une responsabilité de premier plan aux entreprises privées et aux organismes publics. La Commission constate d’ailleurs que les obligations en cette matière sont généralement respectées. Toutefois, il importe de préciser le rôle important de la Commission d’accès à l’information dans l’application de ces lois et de souligner son caractère multifonctionnel.

La Commission comporte deux sections : la section juridictionnelle et la section de surveillance21. Les différents pouvoirs attribués à la Commission sont exercés par au moins cinq membres, tous nommés par les parlementaires de l’Assemblée nationale. Lors de leur nomination, les membres de la Commission sont exclusivement affectés soit à la section juridictionnelle, soit à la section de surveillance22. En principe, seul le président peut assumer des fonctions associées à ces deux sections23.

En tant que tribunal, la Commission dispose du pouvoir exclusif de trancher les litiges en matière d’accès aux documents des organismes publics ainsi qu’en matière d’accès et de protection des renseignements personnels dans les secteurs public et privé. La Commission reçoit et traite plus de mille deux cents demandes chaque année24.

Suivant le modèle québécois, la demande d’accès aux renseignements personnels commence par le dépôt d’une demande d’accès écrite auprès du responsable de l’accès de l’organisme public ou encore auprès de l’entreprise privée concernés25.

Si la demande est acceptée, le document est communiqué et le processus s’arrête, sans intervention de la Commission. Par contre, s’il n’y a pas de réponse du responsable ou si la demande d’accès est refusée, le demandeur a un délai de trente jours pour transmettre une demande à la Commission afin de faire réviser la décision de l’organisme ou de l’entreprise privée26. La Commission entre alors en scène et les avocats de son service juridique jugent de l’opportunité d’effectuer une médiation entre les parties. Si la médiation s’avère infructueuse, une audience est tenue par un commissaire de la Commission. Une décision sera rendue dans les trois mois de la prise en délibéré, mettant ainsi fin au processus juridictionnel, à moins que la décision du commissaire ne soit portée en appel à la Cour du Québec.

Outre son rôle juridictionnel, la Commission exerce une fonction de surveillance et de contrôle. Par exemple, elle se prononce chaque année sur plus de 200 plaintes27 formulées par des citoyens notamment au sujet de la collecte, la conservation, l’utilisation et la communication de renseignements personnels par les organismes publics et par les entreprises privées. Elle possède des pouvoirs lui permettant de rendre des ordonnances que les parties doivent respecter.

La Commission joue également un important rôle de conseil en rendant de nombreux avis visant à assurer le respect des principes fondamentaux et la cohérence de la législation et de la réglementation relevant de sa compétence. Depuis le mois de juin 2006, le législateur lui a d’ailleurs explicitement attribué le mandat de faire la promotion de la protection des renseignements personnels, notamment, auprès des citoyens, du gouvernement, des organismes publics et des entreprises privées. Au service de la population québécoise depuis 25 ans et consciente de son rôle de leader dans son champ de compétence, la Commission souhaite entreprendre des initiatives nouvelles, forte de la reconnaissance formelle de ce mandat de promotion.

C’est pourquoi la Commission d’accès à l’information organise, en collaboration avec la Commissaire à la protection de la vie privée du Canada et le Bureau de l’ombudsman du Nouveau-Brunswick, la première Conférence des commissaires à la protection des données de la Francophonie qui revêt une importance particulière pour le Québec et la Francophonie. Cette conférence, qui se tiendra à Montréal, le 24 septembre 2007, offrira une tribune à toutes délégations des pays francophones, y compris les États qui n’ont pas d’autorité indépendante chargée de la protection des données ou dont la législation ne prévoit pas cette protection.

En effet, les problématiques et les défis actuels en matière de protection des données personnelles et de respect de la vie privée sont indissociables des droits de la personne et débordent largement les frontières. Dans la conjoncture actuelle, caractérisée par la mondialisation et par de multiples risques de replis identitaires, la société d’information est dominée par des échanges d’information utilisant des technologies de plus en plus invasives dans le traitement de données personnelles. La coopération entre les autorités indépendantes en charge de la protection des données personnelles est indispensable. Dans ce cadre, il a été jugé nécessaire de regrouper les autorités ayant en partage le français à l’occasion d’une conférence visant à appuyer la coopération entre les États.

Sous le thème : « La protection des données personnelles, indispensable à la démocratie et au développement », les participants discuteront des principes fondamentaux de la protection des données personnelles, des règles qui visent à en assurer le respect et du projet de coopération et d’échange entre les autorités de protection des données personnelles de la Francophonie.

Cette première conférence souhaite notamment donner effet aux déclarations des chefs d’État et de gouvernement de la Francophonie adoptées à Ouagadougou, le 27 novembre 2004 lors du Xe Sommet de la Francophonie et à Bucarest, le 29 septembre 2006 lors du XIe Sommet de la Francophonie.