Photo by Luca Volpe on Unsplash

La CAIQ recommande une refonte de la loi québécoise (désuète) en matière de renseignements personnels

La Commission d’accès à l’information du Québec (la CAIQ) publiait récemment son rapport périodique (qu’elle doit produire tous les cinq ans) suite à un exercice d’analyse de l’application des diverses lois québécoises en matière de renseignements personnels. Selon la CAIQ, dont le rapport s’intitule Rétablir l’équilibre : « Il est plus que temps de rétablir l’équilibre et d’offrir aux citoyens un vrai droit d’accès à l’information et une meilleure protection des renseignements personnels. »

Le rapport contient une soixantaine de recommandations, autant pour le secteur public que le secteur privé, quant à la façon dont les renseignements personnels devraient être encadrés. Le rapport constate notamment la désuétude des dispositions des lois québécoises en la matière.

La CAIQ maintient que notre loi devrait notamment être modifiée pour confirmer la responsabilité des entreprises et fournir plus de certitude relativement aux technologies et aux médias sociaux quant à la cueillette, l’utilisation, la sécurité et l’exportation des renseignements personnels des individus. C’est d’ailleurs là l’une des propositions (répétée) par la CAIQ, à savoir de renforcer l’obligation des entreprises de respecter les renseignements personnels en leur possession. Un aspect de cette obligation devrait passer par l’inclusion dans nos lois de l’obligation de nommer un responsable des questions de renseignements personnels dans chaque entreprise, à l’instar de l’obligation énoncée à ce sujet dans la loi fédérale.

Le rapport recommande aussi de modifier le concept central de la loi québécoise qui parle encore de « dossiers » censés être tenus en les identifiant par noms d’individus, un concept devenu désuet depuis l’adoption de la loi en 1994.

On devrait aussi, selon la CAIQ, clarifier pour les entreprises qu’un consentement (en matière de renseignements personnels) peut bien être exprès ou tacite, ce qui demeure incertain en droit québécois à l’heure actuelle, notamment à cause de l’utilisation du concept de consentement « manifeste ». Pour la CAIQ, on peut effectivement s’appuyer sur un consentement tacite concernant des renseignements peu sensibles, ce qui est loin d’être évident à la lecture de la loi québécoise dans sa version actuelle. À l’inverse, la CAIQ recommande aussi d’ajouter une interdiction de communication de certains types de renseignements sensibles (au-delà du but initial) à moins de consentement exprès de l’individu ciblé.

Le rapport de la CAIQ contient une série d’autres recommandations, dont plusieurs introduiraient dans notre loi des aspects existants dans les lois d’autres juridictions. Par exemple, on ajouterait l’obligation de déclarer les incidents de sécurité, à l’instar de ce qui sera ajouté au régime gouverné par la loi canadienne.

À voir maintenant si ce rapport s’avérera plus qu’un document destiné à s’empoussiérer sur une tablette. Certaines des recommandations contenues dans ce rapport avaient déjà été faites en 2011, sans pour autant qu’on mette notre loi à jour. Le législateur bougera-t-il cette fois?