Mémoire : PL 38 sur la gouvernance et la gestion des renseignements personnels

Avec ce PL38, le gouvernement se donne des pouvoirs démesurés en ce qui a attrait à l’utilisation de renseignements personnels à des fins variées. Les normes et obligations applicables, de même que les mécanismes de surveillance ou de reddition de compte du projet pilote sont laissés à l’entière discrétion du gouvernement.

Projet de loi 38, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives

Mémoire
Ligue des droits et libertés

LIRE EN PDF

À la Commission de l’économie et du travail
Assemblée nationale du Québec

21 novembre 2023



 

Présentation de la Ligue des droits et libertés

Fondée en 1963, la Ligue des droits et libertés (LDL) est un organisme à but non lucratif, indépendant et non partisan, qui vise à faire connaître, à défendre et à promouvoir l’universalité, l’indivisibilité et l’interdépendance des droits reconnus dans la Charte internationale des droits de l’Homme. La Ligue des droits et libertés est affiliée à la Fédération internationale pour les des droits humains (FIDH).

La LDL poursuit, comme elle l’a fait tout au long de son histoire, différentes luttes contre la discrimination et contre toute forme d’abus de pouvoir, pour la défense des droits civils, politiques, économiques, sociaux et culturels. Son action a influencé plusieurs politiques publiques et a contribué à la création d’institutions vouées à la défense et à la promotion des droits humains, notamment l’adoption de la Charte des droits et libertés de la personne du Québec et la création de la Commission des droits de la personne et des droits de la jeunesse.

Elle interpelle, tant sur la scène nationale qu’internationale, les instances gouvernementales pour qu’elles adoptent des lois, mesures et politiques conformes à leurs engagements à l’égard des instruments internationaux de défense des droits humains et pour dénoncer des situations de violation de droits dont elles sont responsables. La LDL mène des activités d’information, de formation, de sensibilisation visant à faire connaître le plus largement possible les enjeux de droits pouvant se rapporter à l’ensemble des aspects de la vie en société. Ces actions visent l’ensemble de la population, de même que certains groupes placés, selon différents contextes, en situation de discrimination.

La LDL remercie la Commission de l’économie et du travail de l’invitation à commenter le projet de loi 38 (PL 38), Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives qui a été déposé le 1er novembre 2023.

En raison des courts délais de convocation, la LDL n’a pas pu participer aux consultations particulières et auditions publiques qui ont lieu le 21 novembre 2023. Dans le présent mémoire, nous limiterons notre analyse à deux articles du PL 38 : les articles 10 et 16.

Commentaires sur l’article 10 du PL38
Approbation des règles de gouvernance des renseignements personnels

L’article 10 du projet de loi modifierait l’article 12.16 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (ci-après LGGRI).

L’article 12.16 de la LGRRI impose actuellement deux obligations à l’organisme public désigné source officielle de données numériques gouvernementales (source officielle)[1]. Avant de recueillir, d’utiliser ou de communiquer des renseignements personnels (RP) la source officielle doit :

1° procéder à une évaluation des facteurs relatifs à la vie privée et la transmettre à la Commission d’accès à l’information (CAI);

2° établir des règles encadrant sa gouvernance à l’égard de renseignements personnels et les faire approuver par la CAI.

Le PL 38 propose de retrancher l’obligation de faire approuver les règles de gouvernance des RP. Une simple « transmission » de ces règles à la CAI serait désormais suffisante. Nous nous opposons à un tel changement.

Les obligations prévues actuellement à l’article 12.16 sont déjà minimales. Et il faut rappeler que la LGGRI porte atteinte à un principe de base du droit à la vie privée, à savoir le contrôle des personnes sur leurs RP. En effet, permets la cueillette, l’utilisation et la transmission sans consentement de RP.

La tenue d’une évaluation des facteurs relatifs à la vie privée (EFVP) offre peu de garanties, cet exercice ne faisant l’objet d’aucun contrôle indépendant par la CAI. Comme le soulignait la Commission des droits de la personne et des droits de la jeunesse (CDPDJ) en 2020 dans son mémoire sur le projet de loi 64 :

De l’avis de la Commission, le fait que l’évaluation soit faite par l’entité qui détient les informations et qui a intérêt à les exploiter sans supervision externe la rend insuffisante pour garantir que les droits des personnes concernées par ces renseignements sont garantis[2].

Les règles de gouvernance des RP doivent, elles,  être approuvées par la CAI, du moins actuellement. Elles font donc l’objet d’une surveillance par un tiers indépendant. Ces règles sont fondamentales; elles déterminent l’encadrement applicable à la conservation et à la destruction des RP concernés, les rôles et responsabilités du personnel et le processus de plaintes. Comment expliquer qu’on veuille désormais soustraire ces règles cruciales à l’examen de la CAI?

Une source officielle n’aura pas nécessairement l’expertise pour établir ces règles. Ou pourrait vouloir tourner les coins ronds et se satisfaire de règles minimales. D’où la nécessité d’un jugement indépendant. Il importe aussi que ce jugement intervienne en amont. Il apparaît donc essentiel que le contrôle a priori de la CAI soit maintenu.

Commentaires sur l’article 16 du PL 38
Projet pilote du ministre de la Cybersécurité et du Numérique

Le PL 38 vise à modifier la Loi sur le ministère de la Cybersécurité et du Numérique (LMCN) par l’ajout d’un article 10.1. La nouvelle disposition accorderait au gouvernement et au ministre de larges pouvoirs aux fins de l’implantation de projets pilotes « visant à étudier, à expérimenter ou à innover dans le domaine de la cybersécurité ou dans celui du numérique ».

Sur simple autorisation du gouvernement, des renseignements personnels détenus par l’État pourraient être utilisés sans consentement à de vagues fins d’étude, d’expérimentation ou d’innovation dans le domaine cybernétique ou numérique. Il s’agit là d’une brèche inacceptable au droit à la vie privée.

La réserve concernant l’obligation de respecter les dispositions législatives en matière de protection des RP n’atténue pas nos craintes, puisque ces dispositions autorisent l’utilisation ou la communication de RP soit pour l’application d’une loi, soit aux fins de la mission, de l’objet, des fonctions, des activités ou d’un programme d’un organisme public (dont un ministère). Le tout sans consentement des personnes concernées par ces renseignements.

Un encadrement légal déjà en place

Notons que la LGGRI accorde déjà des pouvoirs exorbitants au gouvernement pour mener à bien des projets impliquant l’usage de données personnelles.

La LGGRI s’applique à un très grand nombre d’organismes publics qui peuvent être détenteurs de données numériques gouvernementales, y incluant des RP. Ces données peuvent être utilisées à des « fins administratives ou de services publics ». Ces finalités sont définies si largement dans la loi qu’elles englobent la presque totalité des activités d’un organisme.

Comme le soulignait en 2021 la CAI dans son mémoire sur le projet de loi 95 (qui modifiait la LGGRI)[3] : « Il est difficile d’identifier quelles activités ne feraient pas partie de l’une ou l’autre des fins décrites […][4] ». La CAI reprochait en outre au projet de loi 95 de permettre au gouvernement « d’utiliser ou de communiquer des renseignements personnels à des fins auxquelles les citoyens n’ont pas consenti et dont ils n’ont pas été informés[5] ».

La LGGRI a tout de même été adoptée et crée un régime d’exception majeur à la protection des RP. Malgré tout,  la communication de RP dans le cadre de cette loi n’est possible qu’à des fins d’intérêt public (ou si cela est au bénéfice des personnes concernées)[6]. Et ces fins doivent être précisées dans un décret gouvernemental et donc publicisées[7].

À l’inverse, l’amendement proposé à la LMCN (le nouvel article 10.1) permettrait la création, sans balise identifiée à la loi, de projets pilotes pouvant impliquer des RP. Et ce sans décret et sans nécessité de démontrer l’intérêt public du projet. Les normes et obligations applicables, de même que les mécanismes de surveillance ou de reddition de compte du projet pilote sont laissés à l’entière discrétion du gouvernement. Aucune transparence aussi puisqu’aucun décret ou règlement n’encadre le processus. L’article 10.1 prévoit tout au plus une publicisation des résultats du projet bien après sa fin. C’est un chèque en blanc donné au gouvernement dans la mise en œuvre de projets indéfinis et nécessitant éventuellement l’utilisation de données personnelles. Cela est inacceptable.

La LGGRI accorde déjà des pouvoirs démesurés au gouvernement pour mener à bien des projets requérant des données personnelles. Il paraît inadmissible d’ajouter à l’arsenal. Rien ne justifie que le MCN échappe au contrôle peu exigeant de cette loi.


 

[1] À titre d’exemple, le ministère de la Cybersécurité et du Numérique a été désigné source officielle de données numériques gouvernementales aux fins du Service d’authentification gouvernementale. Décret 870-2022, 25 mai 2022. En ligne : https://www.publicationsduquebec.gouv.qc.ca/fileadmin/gazette/pdf_encrypte/lois_reglements/2022F/77391.pdf

[2] CDPDJ. Mémoire à la Commission des institutions de l’Assemblée nationale. Projet de loi no 64, Loi modernisant les dispositions législatives en matière de protection des renseignements personnels. Octobre 2020. La Commission recommandait que l’évaluation des impacts relatifs à la vie privée fasse l’objet d’une supervision externe par un tiers indépendant. En ligne : https://www.cdpdj.qc.ca/storage/app/media/publications/memoire_PL64_renseignements-personnels.pdf

[3] Projet de loi 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives.

[4] Commission d’accès à l’information. Projet de loi no 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives. Mémoire présenté à la Commission des finances publiques dans le cadre des consultations particulières et auditions publiques. 21 mai 2021, p. 4. En ligne : https://www.cai.gouv.qc.ca/documents/CAI_M_projet_loi_95_gouvernance_donnees.pdf

[5] Ibid, p. 9.

[6] Article 12.15 de la LGGRI.

[7] Article 12.14 et 12.15 de la LGGRI.