Adoptée en 1982, la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l'accès ») s'applique aux documents (écrits, graphiques, sonores, visuels, informatisés ou autre) détenus par un organisme public québécois dans l'exercice de ses fonctions, que leur conservation soit assurée par l'organisme public ou par un tiers[1]. Bien que plusieurs modifications aient été apportées à la Loi sur l'accès depuis, le Projet de loi n° 64[2] (le « Projet de loi ») propose de moderniser les dispositions de la Loi sur l'accès en renforçant les principes applicables en matière de protection des renseignements personnels et en insérant de nouvelles dispositions propres au traitement des demandes d'accès de la part des organismes publics.
Outre l'attribution par le Gouvernement du Québec du rôle de gestionnaire de renseignements personnels[3], de nouvelles obligations de signalement des incidents de confidentialité, de nouvelles règles relatives au consentement, des nouvelles modalités relatives à l'utilisation et à la communication de données de recherches, de l'exportation hors Québec de renseignements personnels, et bien d'autres sujets qui ont fait ou feront l'objet de bulletins distincts de la part de notre équipe, la Loi sur l'accès pourrait être réformée en ce qui a trait notamment au renforcement du principe de responsabilité, aux règles de gouvernance à établir et publier en ligne, au traitement des demandes d'accès à l'information abusives, et à la procédure et aux pouvoirs relatifs à la section juridictionnelle de la Commission d'accès à l'information du Québec (la « Commission »). Pour avoir une vue d'ensemble, veuillez également consulter notre document de travail présentant en suivi de modifications l'ensemble des modifications proposées par le Projet de loi dans l'actuelle Loi sur l'accès.
Principe de responsabilité
D'abord, le Projet de loi propose une modification visant la responsabilité de la personne ayant « la plus haute autorité »[4] au sein de chaque organisme public, celle-ci exerçant par défaut la fonction de responsable de l'accès aux documents et celle de responsable de la protection des renseignements personnels[5]. L'article 8 de la Loi sur l'accès, s'il venait à être modifié comme le propose le Projet de loi 64, disposerait que cette personne, même si elle continue de pouvoir les déléguer par écrit à une autre personne, devra dorénavant veiller à « faciliter l'exercice »[6] de ces fonctions, même « lorsqu'elle n'exerce pas elle-même ces fonctions »[7].
Ainsi, les rôles respectifs de la personne responsable de l'accès aux documents et de celle responsable de la protection des renseignements personnels au sein d'un organisme public seraient dotés d'une visibilité accrue si le Projet de loi, tel qu'il a été déposé en juin dernier, venait à être adopté. Le Projet de loi prévoit la nécessité d'avertir dès que possible la Commission des coordonnées des personnes responsables et la date de leur entrée en fonction[8].
De plus, le plus haut dirigeant d'un organisme serait désormais soutenu par un « comité sur l'accès à l'information et la protection des renseignements personnels », qui relèvera directement de lui. Ce comité se formera du responsable de l'accès aux documents, celui de la protection des renseignements personnels et de « toute autre personne dont l'expertise est requise »[9]. On mentionne spécifiquement la possibilité d'y adjoindre les personnes responsables de la sécurité de l'information et de la gestion documentaire. Certaines des fonctions attribuées à ce comité sont discutées ci-dessous dans la prochaine section de ce bulletin.
Règles de gouvernance et évaluations des facteurs relatifs à la vie privée
Le Projet de loi propose également d'ajouter certaines dispositions qui auraient vraisemblablement un impact considérable sur la gestion par les organismes publics des renseignements personnels qu'ils détiennent.
Primo, aux termes du Projet de loi, tous les organismes publics devront établir et publier sur leur site Internet des règles de gouvernance relatives aux renseignements personnels, pouvant prendre la forme de politique, de directive ou de guide, lesquelles devront être approuvées par son comité sur l'accès à l'information et la protection des renseignements personnels, et devront notamment prévoir[10] :
- les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements;
- un processus de traitement des plaintes relatives à la protection des renseignements personnels;
- une description des activités de formation et de sensibilisation que l'organisme offre à son personnel en matière de protection des renseignements personnels; et
- les mesures de protection à prendre à l'égard des renseignements personnels collectés ou utilisés dans le cadre d'un sondage, incluant une évaluation de la nécessité de recourir au sondage et de l'aspect éthique du sondage compte tenu notamment de la sensibilité des renseignements personnels et de la finalité de leur utilisation.
Secundo, tout organisme public « recueillant par un moyen technologique » des renseignements personnels devra également établir, publier sur son site Internet et « diffuser par tout moyen propre à atteindre les personnes concernées » une politique de confidentialité « rédigée en termes simples et clairs »[11].
Tertio, les organismes publics désirant initier tout « projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels » devra d'abord effectuer une « évaluation des facteurs relatifs à la vie privée » (« EFVP ») de ce projet[12]. À cet égard, la Commission a récemment publié une version de travail de guide d'accompagnement afin de réaliser une évaluation des facteurs relatifs à la vie privée.
Le comité sur l'accès à l'information et la protection des renseignements personnels au sein des organismes publics aura son mot à dire dans le cadre de la réalisation de tels projets, alors que les organismes publics devront, aux fins de l'EFVP, les consulter dès le début de ces projets. Ce comité pourra, à toute étape d'un tel projet, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :
- la nomination d'une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;
- des mesures de protection des renseignements personnels dans tout document relatif au projet, tel un cahier des charges ou un contrat;
- une description des responsabilités des participants au projet en matière de protection des renseignements personnels; et
- la tenue d'activités de formation sur la protection des renseignements personnels pour les participants au projet[13].
À noter que ces EFVP devront également être effectuées par les organismes publics préalablement à certaines collectes et communications des renseignements personnels sans le consentement des personnes concernées[14].
Les demandes d'accès abusives, nuisibles, frivoles ou faites de mauvaise foi
Dans les dernières années, la jurisprudence s'est étoffée en ce qui a trait aux demandes d'accès qui semblent, du point de vue de l'organisme public, abusives, répétitives, nuisibles et/ou frivoles[15]. La Commission manquait toutefois d'outils pour traiter avec de telles demandes.
Le Projet de loi propose ainsi quelques nouvelles modalités dans le traitement de ces demandes d'accès :
- Une nouvelle disposition disposant qu'une demande d'autorisation de ne pas tenir compte de demandes manifestement abusives doit être faite dans une période n'excédant pas 10 jours à compter de la réception de la dernière demande d'accès du requérant[16].
- Lorsque la Commission décide de refuser ou de cesser d'examiner une affaire concernant une demande frivole ou faite de mauvaise foi, elle a maintenant de nouveaux pouvoirs. En effet, elle peut interdire à une personne de faire une autre demande sans l'autorisation du président de la Commission, et même alors, selon les conditions imposées par celui-ci. Elle peut aussi restreindre de la même manière la possibilité pour toute personne de présenter un acte de procédure dans une instance déjà en cours[17].
Changements à la procédure et aux pouvoirs relatifs à la section juridictionnelle de la Commission
La section juridictionnelle de la Commission, qui s'occupe surtout des demandes d'accès à l'information auprès des organismes publics, se verrait octroyer de nouvelles règles de procédure et de nouveaux pouvoirs.
Une des propositions les plus importantes du Projet de loi à cet égard, soit l'ajout du facteur de la proportionnalité aux actions des parties et de la Commission elle-même, vise également une plus grande efficacité dans l'administration de la Loi sur l'accès[18] :
134.4. Les parties à une instance doivent s'assurer que leurs démarches, les actes de procédure et les moyens de preuve choisis sont, eu égard aux coûts et au temps exigé, proportionnés à la nature et à la complexité de l'affaire et à la finalité de la demande.
La Commission doit faire de même dans la gestion de chaque instance qui lui est confiée. Les mesures et les actes qu'elle ordonne ou autorise doivent l'être dans le respect de ce principe de proportionnalité, tout en tenant compte de la bonne administration de la justice[19].
Les propositions visent également à faire entrer la nouvelle Loi sur l'accès dans l'air du temps, en mettant de l'avant l'exécution des modalités procédurales et le déroulement des instances à l'aide des technologies de l'information.
À cet égard, notamment, l'obligation d'aviser un tiers qui a fourni un renseignement personnel qui fait l'objet d'une demande d'accès en cours révision doit se faire maintenant par « la transmission d'un écrit » plutôt que par « courrier »[20].
Est également digne de mention la proposition d'ajouter une plus grande flexibilité quant à l'utilisation des technologies de l'information pour le déroulement des instances :
137.4. La Commission peut, à toute étape de l'instance, utiliser un moyen technologique qui est disponible tant pour les parties que pour elle-même. Elle peut ordonner qu'il soit utilisé par les parties, même d'office. Elle peut aussi, si elle le considère nécessaire, exiger, malgré l'accord des parties, qu'une personne se présente physiquement à une audience, à une conférence ou à un interrogatoire.[21]
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Loi sur l'accès, art. 1.
[2] Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1ère sess., 42e législature, Québec, 12 juin 2020, (présentation) (« Projet de loi »).
[3] Projet de loi, art. 27; Un bulletin de notre série spéciale sur le Projet de loi 64 à être publié prochainement sera entièrement dédié à cette nouveauté.
[4] Loi sur l'accès, art. 8.
[5] Projet de loi, art. 1.
[6] Ibid.
[7] Ibid.
[8] Ibid.
[9] Ibid.
[10] Projet de loi, art. 14.
[11] Ibid.
[12] Ibid.
[13] Ibid.
[14] Voir notamment : Projet de loi, art. 15, 23, 25et 27.
[15] Voir notamment à ce sujet Ville de Ste-Adèle c. M.L., 2017 QCCAI 27, décision abordée dans le cadre d'un bulletin antérieur d'Antoine Aylwin, « Décision Ville de Ste-Adèle : une demande d'accès à l'information manifestement abusive », 10 avril 2017.
[16] Projet de loi, art. 52.
[17] Projet de loi, art. 53.
[18] Projet de loi, art. 49.
[19] Ibid.
[20] Projet de loi, art. 51.
[21] Projet de loi, art. 54.
