Retour à la table des matières
Anne Pineau, militante au comité surveillance des populations de la LDL
Desjardins, Capital One, Revenu Québec, Industrielle Alliance, Trans Union; l’été 2019 aura été celui de tous les dangers en matière de protection des renseignements personnels. La série noire aura mis en lumière la fragilité étonnante des systèmes de sécurité de grandes institutions ou agence gouvernementale. Devant tant de ratés, l’heure devrait être aux resserrements des protections législatives. Or, et paradoxalement, la stratégie numérique gouvernementale[1], rendue publique récemment, vient affaiblir certains garde-fous en matière de protection des données personnelles. Elle ouvre aussi la porte à la privatisation des données gouvernementales. De quoi s’agit-il?
La Loi favorisant la transformation numérique de l’administration publique (LTNAP) a été adoptée le 2 octobre dernier par l’Assemblée nationale. Elle vise à assurer le virage numérique de l’administration publique à l’aide de « projets de ressources informationnelles d’intérêt gouvernemental ».
Certains de ces projets sont d’ailleurs en cours, comme la Solution Accès UniQc., qui permettrait aux citoyens et aux entreprises d’accéder à plusieurs services du gouvernement à l’aide d’un seul mot de passe[2]. Les impacts d’une telle identité unique sur la confidentialité et le respect de la vie privée sont à craindre. D’autres projets devraient voir le jour, toujours dans l’optique d’un passage au gouvernement en ligne.
Mais la réalisation de ces projets impliquera la communication de renseignements personnels (RP) entre ministères et organismes publics. Or, la Loi sur l’accès à l’information et la protection des renseignements personnels dans le secteur public (LAI) impose la mise en silo des RP détenus par les entités gouvernementales ; ces RP ne peuvent servir qu’aux fins pour lesquelles ils sont recueillis et ne peuvent être partagés. Ceci dit, il y des exceptions : le partage de RP est possible avec le consentement de l’individu concerné ou encore lorsqu’une autre loi l’autorise.
C’est là qu’intervient la LTNAP; elle valide le partage de RP, sans consentement, pour la mise au point de solutions numériques gouvernementales. La LTNAP ne confère pas une autorisation générale d’échange d’informations; le partage de RP devra être autorisé par décret du Conseil du trésor pour certains projets déclarés « d’intérêt gouvernemental ». Le projet devra être réalisé à l’intérieur d’un délai de cinq ans (sept ans sur autorisation). Par réalisation on entend la conception de la solution numérique et la phase de test. Ensuite le décret autorisant le projet cesse d’avoir effet. La mise en œuvre de la solution numérique, son déploiement, nécessitera éventuellement l’adoption d’une autre loi.
Ajoutons que la LTNAP est temporaire; les pouvoirs qu’elle confère ne peuvent être exercés après dix ans de son entrée en vigueur. Le ministre Caire[3] espère en effet que, d’ici là, la LAI aura fait l’objet d’une réforme majeure assurant, selon son mantra, la mobilité de la donnée ce qui rendrait la LTNAP inutile.
Pour la Commission d’accès à l’information (CAI), la LTNAP « diminue la protection accordée aux renseignements personnels : en permettant la communication et l’utilisation de renseignements sans le consentement des personnes concernées à des fins autres que celles pour lesquelles ils ont été recueillis; en donnant la possibilité d’écarter, par simple décret, des dispositions législatives dont l’objectif est de protéger des renseignements jugés sensibles[4]. »
La Commission a malgré tout donné son aval à cette loi au vu des mesures d’atténuation qu’elle comporte, notamment : obligation pour l’organisme de faire une évaluation des facteurs relatifs à la vie privée dès la conception du projet, publicisation des projets sur un site web et possibilité pour la CAI de donner son avis à plusieurs étapes de leur cheminement.
Regroupement des centres de traitement de l’information
Un autre élément de la stratégie numérique, mais sans lien avec la LTNAP celui-là, a trait au regroupement des 550 Centres de traitement de l’information[5] (CTI) du gouvernement. Il s’agit de rassembler ces CTI sur trois sites et d’opérer un virage vers l’infonuagique pour l’entreposage des données gouvernementales. Celles-ci seraient catégorisées selon leur niveau de sensibilité; les plus névralgiques étant conservées en infonuagique gouvernementale (environ 20 %) tandis que les données jugées moins critiques (80 %) seraient stockées chez des fournisseurs privés[6]. Le gouvernement soutient qu’il n’a ni les moyens ni l’expertise pour conserver l’ensemble des renseignements à l’interne : d’où le recours au privé… qui s’est pourtant révélé ruineux pour l’État dans le passé[7]!
Cette privatisation des données soulève bien des inquiétudes : risques accrus de fuites; perte de contrôle sur les données et les coûts d’hébergement; perte d’expertise et dépendance de l’État envers le privé.
Le risque existe aussi que des entreprises étrangères comme Amazon ou IBM obtiennent le contrat. Le cas échéant, les données des québecois-es seraient à la merci de la législation américaine, notamment le CLOUD ACT[8]. Comme le rapporte Pierre Trudel « il se trouve que le droit américain accorde aux autorités de ce pays un droit étendu d’accéder aux données où qu’elles se trouvent, et ce, dès lors qu’elles sont entre les mains d’une firme assujettie aux lois américaines[9]. »
Le ministre entend contrer cette menace par le biais de clauses contractuelles; la firme décrochant le contrat d’hébergement devrait garantir que les données bénéficieront d’un niveau de protection équivalent à celui prévu à la LAI[10]. Cette solution est d’une portée limitée car, comme le rappelle le commissaire fédéral à la vie privée, « aucun contrat ne peut avoir préséance sur les lois d’une autre administration[11]. »
Conclusion
Utilisation par l’État de RP sans consentement; privatisation des données; le virage numérique gouvernemental n’augure rien de bon jusqu’ici au plan de la vie privée. Une prochaine étape importante devrait être le dépôt d’un projet de loi modifiant la LAI; il importe que cette réforme tant attendue soit l’occasion d’accroitre significativement la protection et le contrôle des citoyen-ne-s sur leurs données. Mais qu’en sera-t-il devant le fait accompli de la transformation numérique de l’État?
Plus globalement d’autres questions se posent. Au-delà de l’accès en ligne aux services de l’administration publique, qu’elles sont les intentions du gouvernement? En commission parlementaire, le ministre Caire a mentionné : « La transformation numérique, c’est l’Internet des objets, c’est les chaînes de blocs, c’est l’intelligence artificielle… Il y a plein de sujets comme ça[12]. » Que vise-t-on pour l’avenir : le croisement de données? le profilage en matière de services? l’automatisation des décisions? la gouvernance algorithmique? l’open data (bases de données ouvertes) et la plateformisation de l’État? Quels projets sont dans les cartons? Quels impacts auront-ils sur les droits des citoyen-ne-s? Et y aura-t-il place pour
[1] Stratégie de transformation numérique gouvernementale 2019-2023
[2] Ce projet comporte deux volets : le Service d’authentification gouvernemental et le Service québécois de l’identité et de l’adresse.
[3] Ministre délégué à la transformation numérique gouvernementale.
[4] Mémoire de la CAI à la Commission des finances publiques sur le projet de loi 14, 13 mai 2019.
[5] Salles dans lesquelles se trouvent des équipements de télécommunication et des serveurs informatiques qui contiennent les données gérées par les organismes publics.
[6] La CAI supervisera le processus de catégorisation mais on peut se demander si elle possède les ressources pour ce faire.
[7] Voir : https://iris-recherche.qc.ca/blogue/bordel-informatique-legault-fait-fausse-route
[8] Clarifying Lawful Overseas Use of Data
[9] https://www.ledevoir.com/opinion/chroniques/547636/a-la-merci-des-americains
[10] L’article 70.1 de la LAI oblige d’ailleurs les organismes publics à s’assurer d’une parité de protection lorsque des données sont transmises à l’extérieur du Québec : 70.1 Avant de communiquer à l’extérieur du Québec des renseignements personnels ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements, l’organisme public doit s’assurer qu’ils bénéficieront d’une protection équivalant à celle prévue à la présente loi.(…)
[11] Commissariat à la protection de la vie privée. Consultation sur la circulation aux fins de traitement – Document de discussion révisé. https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/consultations/consultation-sur-les-transferts-aux-fins-de-traitement/
[12] Journal des débats. CFP. Le mercredi 12 juin 2019 – Vol. 45 N° 29