Protection des renseignements personnels : Projet et réalité

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Paul-André Comeau
École nationale d’administration publique (Québec)

Ce rapport a été commandé par le Commissariat à la protection de la vie privée du Canada

Novembre 2009

Avis de non-responsabilité: Les opinions exprimées dans ce rapport sont celles de l’auteur. Elles ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Versión en español

---

Message de madame Jennifer Stoddart, commissaire, Commissariat à la protection de la vie privée du Canada

Les 25 au 28 septembre 2007, le Canada était l’hôte de la 29^e Conférence internationale des commissaires à la protection des données et de la vie privée. Au moment de cette conférence que j’ai présidée et que nous avions placée sous la bannière Terra Incognita, plusieurs d’entre nous ont constaté l’urgent besoin de procéder à une forme de pédagogie institutionnelle en la matière. Nous avons également conclu au moment de la première Conférence des autorités de protection des données de la Francophonie tenue aussi à Montréal, le 24 septembre 2007 et présidée par Me Jacques Saint-Laurent, président de la Commission d’accès à l’information du Québec, que l’espace de coopération et de partage crée par l’Association francophone des autorités de protection des données personnelles (AFAPDP) serait une rampe de lancement idéale pour mieux faire connaître le pluralisme et la diversité des modèles institutionnels canadiens.

Faire œuvre utile en pédagogie institutionnelle, voilà précisément l’objectif des travaux entrepris par M. Paul-André Comeau, auteur de ce rapport, grâce au financement et à l’appui de la Commission d’accès à l’information du Québec, du bureau de l’Ombudsman du Nouveau Brunswick et du Commissariat à la protection de la vie privée du Canada.

Nous souhaitons que la lecture de ce document évoque chez le lecteur certaines idées-forces, notamment, la nécessité de dynamisme institutionnel dans un domaine en pleine évolution et la pluralité de modèles efficaces à la protection du droit à la vie privée.

Nous espérons que ce rapport ouvre un dialogue entre tous les acteurs qui déterminent les formes que doivent prendre la protection de la vie privée dans le contexte de la mondialisation, de la technologie de l’information et d’un nouveau contexte en matière de sécurité, de santé et de justice sociale.

Jennifer Stoddart

Message de monsieur Jacques Saint-Laurent président de la Commission d’accès à l’information du Québec

La mondialisation des technologies de l’information est une composante essentielle de l’évolution économique et une source majeure de dynamisme. À se laisser fasciner par les technologies de l’information qui font disparaître les frontières de l’espace et du temps, on oublie que ces mêmes technologies peuvent aussi porter atteinte à nos valeurs les plus fondamentales en démocratie.

Par le jeu de la mondialisation des échanges de l’information, l’espace national perd de sa suffisance pour le contrôle de la protection de la vie privée et des données personnelles. Ceci veut dire que l’instauration d’un plus grand nombre d’autorités indépendantes chargées de l’observation et de l’application des législations pertinentes de chaque pays est impérativement souhaitable. L’adoption d’une loi et l'instauration d'une autorité indépendante de contrôle sont ainsi devenues les éléments constitutifs du droit à la protection des données dans une société démocratique.

Lorsqu’une société envisage l’élaboration d’un régime de protection de la vie privée et des renseignements personnels, une réflexion sur les décisions prises par les pays déjà dotés de tels régimes trouve toute sa raison d’être.

Pour les Membres de la Francophonie qui cherchent à répondre positivement aux exigences de la démocratie en se dotant d’une législation sur la protection de la vie privée et des données personnelles, nous présentons humblement un texte d’analyse et de référence concernant les législations en vigueur dans la Francophonie au Canada.

C’est dans le cadre de cette toile de fond que se situe le document de M. Paul-André Comeau. Son objectif est de contribuer à la réflexion et à la recherche de solutions qui tiennent compte des caractéristiques, historiques et institutionnelles, de l’héritage culturel d’une société interpellée par la nécessité d’assurer la protection des renseignements personnels de ses citoyens.

Ce document s’inscrit dans le cadre du premier anniversaire de l’Association francophone des autorités de protection des données personnelles (AFAPDP) et à la suite de la tenue de la deuxième Conférence des commissaires à la protection des données de la Francophonie qui a eu lieu à Strasbourg, le 17 octobre 2008.

Ainsi, à peine une année après la présentation de son rapport intitulé « Les autorités de contrôle, données personnelles et francophonie », rédigé au bénéfice du Commissariat à la protection de la vie privée du Canada, M. Paul-André Comeau revient avec une nouvelle étude non moins utile pour la Communauté francophone par la perspicacité de son analyse comme par la dextérité de son approche d’un domaine en évolution au quotidien.

Nous espérons que les autorités politiques, les représentants de la société civile et les citoyens des pays et gouvernements membres de la Francophonie qui s’interrogent sur la question globale de la protection de la vie privée et des renseignements personnels, profiteront grandement de ce document.

Qu’il me soit enfin permis de remercier chaleureusement M. Paul-André Comeau et ses collaborateurs pour la réalisation de ce travail.

Jacques Saint-Laurent
Québec, le 26 février 2009

Message de monsieur Bernard Richard, ombudsman, Bureau de l’Ombudsman du Nouveau-Brunswick

Depuis le congrès de Bamako, la Francophonie devient un espace privilégié pour le développement démocratique. Nous croyons qu’à l’ère numérique il est plus important que jamais que le maintien de la règle de droit soit ancré par des bases solides en matière de respect du droit à la vie privée et du droit à l’information. C’est pourquoi le bureau de l’Ombudsman du Nouveau-Brunswick n’a pas hésité à appuyer le projet de l’Association francophone des autorités de protection des données personnelles (AFAPDP) depuis la déclaration de Monaco, la conférence inaugurale de Montréal et ses suivis. Par son action l’AFAPDP permettra aux pays francophones de continuer à être pionniers dans ce secteur de droit émergeant et si intimement lié au développement économique, sociale et démocratique.

Je me félicite de pouvoir vous partager, avec mes collègues canadiens, trois modèles institutionnels très différents mais qui demeurent néanmoins compatibles et performants en ce qui a trait à la promotion et la défense de la vie privée des canadiens. Je suis confiant que le rapport et l’analyse de M. Paul-André Comeau sera utile à tous ceux qui cherchent en Francophonie, ou ailleurs, à faire évoluer leur droit national dans ces secteurs.

Le droit néo-brunswickois sur ces questions continue à évoluer et les tendances récentes viennent confirmer le fait que le droit à l’information et la protection des renseignements personnels sont intimement liés et des garanties essentielles contre l’impunité et les abus de pouvoirs.

Nous avons tous avantage à apprendre les uns des autres et à mettre en commun nos acquis et nos expériences, d’autant plus puisque les progrès technologiques se font à un rythme qui dépassent nos capacités institutionnelles individuelles, petits et grands. C’est dans cet esprit de coopération que nous présentons ce travail et nous souhaitons qu’il aide à renforcer nos liens institutionnels et à en tisser de nouveaux.

Bernard Richard
Ombudsman

Trois problèmes, trois décisions

Un nombre très important de dossiers ont été versés et conservés depuis des années dans des fichiers de renseignements inconsultables détenus par la Gendarmerie royale du Canada, alors qu’ils ne devaient pas s’y trouver. Les noms de citoyens peuvent figurer dans ces dossiers «top secret», à la suite d’une erreur, d’un soupçon ou d’une négligence administrative. Voilà la constatation inquiétante dégagée par la Commissaire à la protection de la vie privée du Canada, à la suite d’une vérification de ces fichiers de renseignements personnels auxquels les citoyens canadiens n’ont pas accès. Cette vérification a été effectuée par les services de la Commissaire à l’automne 2007 et à l’hiver 2008. Ces fichiers sont inconsultables parce que, en théorie, ils contiennent des renseignements en matière de criminalité et de sécurité nationale.

Dans les jours qui ont suivi le dépôt de ce rapport à la Chambre des Communes, la Gendarmerie a fait savoir publiquement qu’elle entendait mettre à exécution toutes les recommandations de la Commissaire. C’est ainsi qu’elle a annoncé le retrait immédiat, de ce fichier secret, des dossiers constitués dans le sillage des événements du 11 septembre 2001 et qui ne répondaient plus aux critères de sécurité nationale.

Des renseignements personnels de plus de 485 résidents du Nouveau-Brunswick et de quelque 149 résidents de la Colombie-Britannique ont été égarés au cours de l’automne 2007. Y figurent leurs noms, sexe, date de naissance et numéro d’assurance-maladie, c'est-à-dire exactement ce qu’il faut pour réussir des vols ou usurpation d’identité, l’un des problèmes majeurs de ce début du XXIe siècle. Le Commissaire à l’accès à l’information et à la protection des renseignements personnels de la Colombie-Britannique et l’Ombudsman du Nouveau-Brunswick ont tous deux étudié cette disparition de renseignements qui devaient être acheminés de Fredericton à Vancouver. Ces données, colligées par le Ministère de la Santé du Nouveau-Brunswick avaient été stockées dans des cartouches informatiques, selon une habitude qui n’avait jamais été remise en question. L’enquête de l’Ombudsman du Nouveau Brunswick a mis en évidence l’absence de mesures de sécurité parmi les plus élémentaires^{Note de bas de page 1}. Ainsi, ces données n’avaient fait l’objet d’aucune forme de chiffrement. À la suite de cet incident, le Ministère a dû communiquer avec toutes ces personnes et mettre en place un système d’intervention rapide en cas de vol d’identité, notamment en matière de crédit.

En instance de divorce, un homme demande d’obtenir copie intégrale de son dossier personnel et du dossier de l’enfant à l’égard duquel il est toujours détenteur de l’autorité parentale. Cette demande s’adresse à une entreprise du secteur privé qui est mandatée par les pouvoirs publics pour organiser et surveiller l’exercice du droit de visite des parents à leur enfant mineur d’âge. Devant le refus de l’entreprise d’accéder à sa demande, le père de famille saisit la Commission d’accès à l’information du Québec de ce litige. À la faveur d’une audience tenue sur le mode contradictoire, le demandeur et les représentants de l’entreprise font valoir leur point de vue devant la Commissaire désignée pour les entendre. À la lecture du document en litige, la Commissaire considère que les renseignements consignés concernent bien et le père et l’enfant. Il s’agit bien de renseignements personnels qui, conformément à la loi, sont accessibles au père en sa qualité de détenteur de l’autorité parentale. D’où l’ordonnance émise par la Commission de remettre le document au demandeur^{Note de bas de page 2}.

Introduction

Les problèmes en matière de renseignements personnels ou de données nominatives figurent régulièrement dans la chronique de l’actualité. Certains cas dépassent l’imagination et font le tour du monde. On peut penser à la disparition des renseignements au sujet de millions de résidents britanniques, à l’hiver 2008. Souvent, il s’agit d’incidents isolés dont les conséquences sont tout aussi fâcheuses pour leurs victimes.

Ces problèmes et incidents découlent indirectement d’une nécessité de la vie en société, c'est-à-dire la nécessaire collecte de renseignements personnels à des fins qui peuvent paraître d’une banalité désarmante. De l’octroi d’un permis de conduire d’un véhicule à la livraison d’un électroménager, les motifs de transmission de renseignements de base se multiplient dans l’existence quotidienne, sous toutes les latitudes. Autre face de Janus, cette collecte de données peut entraîner des conséquences imprévisibles lorsque s’installe la négligence ou qu’interviennent des actes malveillants.

Comment composer avec les exigences de la vie moderne et assurer la protection de ces renseignements qui peuvent se présenter sous de multiples formes, de la simple adresse postale aux données médicales, en passant par les identifiants qui donnent accès à certains services, tels les numéros de sécurité sociale ou de cartes de crédit? C’est la question à l’origine de la mise en place de différents régimes législatifs de protection des renseignements personnels, dans un nombre de plus en plus important d’États sur la plupart des continents.

Est-il possible de favoriser une lecture des objectifs fondamentaux à la base de l’adoption de pareilles législations? Peut-on proposer des balises pour inspirer la création d’organismes de contrôle qui puissent assurer le respect des principes et des modalités dans ce domaine? Ce type de questions surgit inévitablement lorsque, dans une société, certains éléments envisagent l’élaboration d’un régime de protection des renseignements personnels. Le mouvement peut émaner de la société civile ou provenir du cadre politico-administratif. Il peut aussi être induit par une instance internationale, comme ce fut le cas pour les pays d’Europe de l’Est ou d’Europe centrale lors des négociations en vue de leur adhésion à l’Union européenne.

Au lieu de proposer une démarche théorique, certes fort utile, le présent document entend tirer profit du cheminement des membres canadiens fondateurs de l’Association francophone des autorités de protection des données personnelles que sont le Canada, le Québec et le Nouveau-Brunswick. Il ne s’agit pas de dresser ici l’historique de ces trois entités quant à la mise en place et à l’encadrement de ce droit nouveau. Ce document se veut un examen succinct des choix arrêtés et des mécanismes inventés par chacun de ces trois Parlements pour structurer la protection des renseignements personnels. L’objectif est de contribuer à la réflexion et à la recherche de solutions qui tiennent compte des caractéristiques, historiques et institutionnelles, de l’héritage culturel d’une société interpellée par la question, voire par la nécessité d’assurer le respect des renseignements personnels de ses citoyens.

Ce rapport adoptera une démarche relativement simple, qui part un regard chronologique sur ces trois régimes juridiques de protection des renseignements personnels. S’impose, tout d’abord, l’examen des circonstances et des motifs qui ont présidé à l’adoption d’un tel schème; c’est là que se devinera le rôle des différents acteurs et, s’il en est, des influences extérieures.

On examinera de même la création et la mise en place de ce qu’on appelle aujourd’hui les «autorités de contrôle». Cette démarche s’inscrit certes dans une perspective comparative, où l’héritage institutionnel et une certaine tradition juridique doivent être pris en considération pour apprécier la nature et les pouvoirs de ces organismes.

Comment ces régimes de protection des renseignements personnels répondent-ils aux enjeux de l’heure qui découlent, entre autres, des effets de la mondialisation, de l’impact incroyable des nouvelles technologies de l’information et de l’onde de choc propagée par les événements du 11 septembre 2001, aux États-Unis?

Comment s’inscrire dans cette mouvance incertaine? Comment imaginer solutions et adaptations qui assureront à l’objectif initial sa nécessaire pérennité dans les sociétés déjà dotées de tels régimes? Comment les États sollicités, peut-être même pressés de s’engager aujourd’hui dans cette même voie peuvent-ils amorcer leur réflexion? En quoi les modèles canadiens peuvent-ils éclairer leur démarche? Ces questions s’adressent en fait à l’ensemble des sociétés soucieuses d’assurer à leurs ressortissants le respect de ce qui traduit, en partie, l’individualité des personnes. Le propos est ambitieux. La démarche se veut plus modeste : elle repose, avant tout, sur l’examen des choix arrêtés, des pas accomplis au Canada, au Québec et au Nouveau-Brunswick.

Le présent rapport cherche à proposer des pistes de réflexion et à suggérer des modalités qui permettent d’imaginer des mécanismes législatifs et institutionnels en vue d’assurer la protection des renseignements personnels.

L’auteur exprime ses sincères remerciements à Me Maxime Laverdière de même qu’à Mlle Marie-Pierre Busson pour leur précieuse collaboration.

1. Circonstances et Projets

La protection des renseignements personnels s’est imposée au Canada, en deux temps, à l’opposé de ce qui s’est passé dans les pays d’Europe occidentale. Au départ, c’est-à-dire durant les années 1970, seul le secteur public tombait dans la mire des partisans de pareille initiative. Le mouvement s’est imposé au sein de l’appareil gouvernemental au Canada et au Québec à peu près au même moment pour aboutir à des lois quasi simultanées dans l’un et l’autre cas. Il faudra une vingtaine d’années avant que la réflexion ne débouche en démarches législatives qui visent le secteur privé.

Ce cheminement s’est effectué de concert avec les tentatives en vue d’adopter des régimes d’accès à l’information ou, plus précisément, d’accès aux documents détenus par l’administration publique^{Note de bas de page 3}. Il y est intiment lié, du moins en ce qui concerne les travaux et démarches concrètes même si, à première vue, l’un et l’autre projet paraissent répondre à des objectifs contradictoires : la transparence qu’implique l’accès à l’information irait à l’encontre de la protection des renseignements personnels. De plus, on relève une certaine forme d’émulation à ce propos entre les gouvernements concernés.

1.1 Le secteur public

Indéniablement, c’est à l’introduction et à l’implantation de l’informatique au sein de l’appareil gouvernemental qu’est imputable la naissance d’un certain malaise en matière de protection des renseignements personnels ou, de façon plus large, en ce qui concerne le respect de la vie privée. L’informatique et ses possibilités, dont on commençait à peine à soupçonner l’ampleur, étaient objet d’inquiétude, de part et d’autre de l’Atlantique, du moins dans un certain nombre de pays, aux États-Unis, en Suède et en Allemagne.

Deux organisations internationales, basées l’une à Paris, l’autre à Strasbourg, ont lancé, vers la fin des années 1970, leurs propres chantiers dans ce même domaine. Le Conseil de l’Europe a mis au point et soumis à la ratification de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel^{Note de bas de page 4}. Connu depuis sous le nom de Convention 108, ce traité est assorti de dispositions contraignantes. De son côté, l’OCDE a élaboré et publié en 1980 les Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel^{Note de bas de page 5} qui ont un statut purement indicatif. C’est dans ce sillage que se sont inscrites les premières démarches engagées par les gouvernements du Canada, du Québec et du Nouveau-Brunswick.

Le ton avait été donné en 1973 à la faveur de la publication d’une étude commandée par le gouvernement fédéral du Canada : L’ordinateur et la vie privée^{Note de bas de page 6}. Durant quelques années, c’est au sein de l’appareil gouvernemental que se poursuivent les travaux et que s’échafaudent de premiers projets concrets. Les fonctionnaires mandatés sont évidemment à l’affût de ce qui s’élabore ailleurs, à commencer par les États-Unis qui se sont engagés en 1974, par voie de législation, dans la protection des renseignements personnels.

Quelques députés et d’anciens ministres vont prendre le relais en vue de traduire concrètement l’objectif d’une forme de protection timidement amorcé en 1977, dans la Loi canadienne sur les droits de la personne^{Note de bas de page 7}. L’actuelle Loi sur la protection des renseignements personnels^{Note de bas de page 8} est votée en 1982. Le Parlement fédéral aura donc adopté deux lois successives pour édicter des mesures et dispositions à l’intention du secteur public.

Au Québec, le cheminement est analogue, à une exception près : ce sont des dirigeants politiques qui auront l’initiative de ce dossier. Le ministre responsable de la réforme des institutions lance, au sein de l’appareil gouvernemental, le projet de doter le Québec d’une loi sur l’accès à l’information. C’est de la Californie qu’émane l’influence la plus directe à ce sujet. Le dossier sera ensuite pris en charge par le Premier ministre René Lévesque, profondément marqué par l’affaire du Watergate qui avait entraîné, aux États-Unis, la démission du Président Nixon. À part quelques revendications de la toute nouvelle Fédération professionnelle des journalistes du Québec, il s’agit vraiment d’une démarche exclusive de la classe politique.

Pour mener à bien ce projet, le gouvernement confie à un groupe de travail, présidé par un journaliste de grande envergure, la tâche d’étudier cette question de l’accès à l’information. En fait, le mandat est double : le groupe de travail doit aussi se pencher sur le problème de la protection des renseignements personnels. Cette décision résulte d’une forme d’émulation à la suite de l’adoption, par le Parlement fédéral, de la loi de 1977^{Note de bas de page 9} qui avait jeté les bases du régime de protection des renseignements personnels.

Le groupe de travail, créé en 1980, mènera rondement ses affaires. Après huit mois de travaux, il dépose un rapport complet où il recommande l’adoption d’une législation qui régirait à la fois l’accès à l’information et la protection des renseignements personnels. Initiative surprenante, le groupe de travail insère, dans son rapport, un avant-projet de loi. Il faudra quelques mois à l’Assemblée nationale pour étudier et adopter, en 1982, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels^{Note de bas de page 10}. Le Québec devenait ainsi la quatrième province canadienne à légiférer en matière d’accès à l’information (après la Nouvelle-Écosse, le Nouveau Brunswick et Terre-Neuve), mais la première à le faire en matière de protection des renseignements personnels, et cela à l’intérieur d’une même loi cadre. Le modèle législatif québécois sera repris ensuite par plusieurs gouvernements.

1.2 Le secteur privé

C’est aussi au Québec qu’il revient d’avoir engagé, au début des années 1990, le mouvement en faveur de l’extension au secteur privé de la protection des renseignements personnels. Des facteurs internes et des développements sur la scène internationale se conjuguent pour mener le Québec à établir un précédent en Amérique du Nord.

Achevée en 1994, la refonte du code civil, qui distingue le Québec des autres états fédérés du Canada, a constitué le facteur déclencheur de ce mouvement. Dans sa nouvelle mouture, le code civil garantit à toute personne le respect de sa vie privée et de ses renseignements personnels^{Note de bas de page 11}. C’était en fait préciser les principes déjà reconnus dans la Charte des Droits et libertés de la personne^{Note de bas de page 12} adoptée en 1975. Au sein de l’appareil gouvernemental, un mouvement s’est rapidement dessiné en faveur de l’élaboration d’une loi qui structurerait la protection des renseignements personnels dans le secteur privé.

Au même moment, l’Union européenne, engagée dans l’achèvement du Marché unique, a, de son côté, lancé le chantier qui devait mener à l’adoption d’une directive en vue d’uniformiser la protection des renseignements personnels dans chacun des États membres^{Note de bas de page 13}. Les travaux menés à Bruxelles ont immédiatement retenu l’attention du Québec, d’autant plus que le projet de directive allait comporter un volet externe : l’échange de renseignements personnels depuis et vers des pays extérieurs à l’Union européenne serait soumis à une série de conditions pour préserver le niveau de protection assurée par les pays-membres. Au moment où la mondialisation dessinait son contour, le signal était important.

À la faveur de travaux parlementaires où de nombreux représentants du secteur privé et de la société civile sont intervenus et ont fait valoir leurs points de vue, l’Assemblée nationale a peaufiné ce qui allait devenir, en 1993, la première loi à régir la protection des renseignements personnels dans le secteur privé^{Note de bas de page 14}, à travers l’ensemble de l’Amérique du Nord.

Sur la scène fédérale, les travaux lancés au sein de l’Union européenne ne sont pas passés inaperçus, loin de là. De même, le précédent établi par le Québec a suscité une série d’interrogations qui allaient se traduire en initiatives, elles aussi inédites. Ces réflexions se déroulaient sur un arrière-fond de démarches presque frénétiques engagées devant les promesses et les défis de l’éventuelle mise en place de ce qu’on appelait à l’époque «l’autoroute de l’information» - expression qui synthétise l’une des dimensions fondamentales du déploiement des nouvelles technologies de l’information et des télécommunications (NTIC).

Le gouvernement fédéral a dû prendre en considération des démarches contradictoires en ce qui concernait le sort des renseignements personnels au sein du cyberespace. La société civile et certaines autorités de contrôle installées dans les États fédérés favorisaient l’adoption d’une loi en bonne et due forme. À l’opposé, le secteur privé, y compris le monde des affaires, préconisait le recours à l’autoréglementation et désignait l’Association canadienne des normes (ACN) comme pilote de cette démarche.

De parts et d’autres, s’amorce une véritable course en vue de mettre au point un projet concret qui ferait consensus. De son côté, le gouvernement amorce ses travaux en vue de l’élaboration d’une législation, alors que le secteur privé propose un code élaboré à la faveur des travaux intensifs menés au sein de l’ACN.

Autoréglementation ou contrôle législatif? Le gouvernement fédéral tranchera finalement en faveur d’une approche législative qui incorpore les normes ou principes mis au point et acceptés par les membres de l’ACN. C’est l’origine de la Loi sur la protection des renseignements personnels et les documents électroniques^{Note de bas de page 15}, adoptée par le Parlement fédéral, en 2000.

Cette loi va susciter une série de démarches au sein de certaines provinces du Canada. À l’instar du Québec, l’Alberta^{Note de bas de page 16} et la Colombie-Britannique^{Note de bas de page 17} se doteront d’une loi pour régir le sort des renseignements personnels dans l’ensemble du secteur privé.

Au Nouveau-Brunswick, la loi en matière de protection des renseignements personnels a été marquée sensiblement par ces mêmes influences outre-Atlantique. Le Nouveau-Brunswick s’est doté, dès 1978, d’une Loi sur le droit à l’information, munie d’un choix de recours, soit à l’Ombudsman, soit à la Cour supérieure. La province a été, cependant, une des dernières à légiférer en matière de protection des renseignements personnels. En 1994, le gouvernement crée un groupe de travail pour étudier plus en profondeur l’ensemble de cette question.

Les membres de ce groupe de travail prennent note de l’entrée en vigueur de la loi québécoise de 1993. Ils en tirent une conclusion provisoire : «il est important, écrivent-ils dans leur rapport, de suivre l’évolution de ces tendances pour s’assurer que le Nouveau-Brunswick ne souffre pas d’un handicap concurrentiel dans l’économie de l’information». Dans cette foulée, le groupe préconise l’adoption d’une législation dans le seul secteur public et le recours à l’autoréglementation dans le secteur privé^{Note de bas de page 18}.

En 1996, le ministère de la Justice publie les grandes lignes d’un projet de loi sur la protection des renseignements personnels. Le projet souscrit aux principes de l’OCDE. Il entérine également les conclusions de l’Association canadienne des normes qui vient d’achever la mise au point de son code en dix principes.

Finalement, en 1998, l’Assemblée législative adopte une loi à l’égard du seul secteur public^{Note de bas de page 19}. La nouvelle loi n’est cependant entrée en vigueur qu’en 2001 à la suite d’un changement de gouvernement à Fredericton. Sur le fond et la forme, elle ressemble beaucoup plus à la loi fédérale applicable au secteur privé qu’à toute autre législation visant le secteur public au Canada. Elle est même plus succincte et ne fait qu’édicter les normes de l’OCDE et de l’ACN en code statutaire. Elle prévoit un recours auprès de l’Ombudsman. Il n’y a pas de contrôle a priori des traitements de données effectués par le secteur public. Il n’y a pas non plus de régime de vérification générale. Le mécanisme se voulait souple et facilement exportable au secteur privé, si celui-ci n’emboîtait pas volontiers le pas au gouvernement. Cependant, avant même que la loi ne fut proclamée, le gouvernement fédéral, devant la mise en place de la directive européenne, en a convenu autrement. C’est pourquoi la loi fédérale canadienne s’applique désormais au secteur privé du Nouveau-Brunswick

Les premières démarches législatives, tant à Ottawa qu’à Québec, se sont inscrites dans un cadre quasi-constitutionnel et visaient le droit fondamental à la vie privée. La conjoncture économique, ainsi que le développement de l’informatique et des marchés ont entraîné l’adoption d’autres lois spécialisées applicables à la vie privée sur le plan informationnel. Au fédéral, le dossier dépend toujours du Ministre de l’Industrie; au Nouveau Brunswick, toute la gestion et le suivi de l’adoption du projet de loi relèvent toujours du Secrétariat à l’autoroute Informatique, une direction du Ministère du Développement économique. Ceci explique en partie l’approche la moins interventionniste dans l’ensemble du Canada et la décision du législateur néo-brunswickois de ne pas légiférer à l’égard du secteur privé. N’eut été de l’intervention législative fédérale, la province aurait sans doute misé plus longtemps sur les vertus de l’autoréglementation.

En somme, sous l’impulsion de facteurs internes et de développements sur la scène internationale, le Canada, le Québec et le Nouveau-Brunswick ont suivi un cheminement généralement analogue.

Bref, les travaux législatifs menés au Canada en faveur de la protection des renseignements personnels reconnaissent la valeur de droit fondamental et l’intègrent au droit à la vie privée. Le développement de ce droit a été fortement influencé par la montée de l’informatique.

L’élaboration des législations de protection des renseignements personnels a été, d’une certaine façon, liée aux démarches en vue de l’établissement de régimes d’accès à l’information.

À l’opposé de ce qui s’est passé en Europe, la protection des renseignements personnels a été mise en œuvre en deux temps : d’abord dans le secteur public, puis dans le secteur privé.

2. Des lois et de leur esprit

Il n’y a rien de surprenant à constater que les régimes de protection des renseignements personnels mis en place à Ottawa, Québec et Fredericton reflètent à la fois un cheminement particulier et une tradition législative propre. Au début des années 1980, c'est-à-dire au moment où le Parlement fédéral du Canada et l’Assemblée nationale du Québec adoptent les premières lois dans ce domaine au Canada, la démarche s’inscrit précisément dans ce moule. Les modèles de référence sont peu nombreux, l’expérience relativement récente enregistrée sous d’autres cieux : la marge de manœuvre se dessine d’elle-même.

L’examen des lois mises en place dans ces trois systèmes politiques repose, au départ, sur l’examen de leur architecture. Il s’agit là d’une démarche nécessaire pour en mieux saisir l’esprit et les objectifs. Encore ici, nécessité s’impose de respecter la chronologie des démarches législatives qui ont d’abord visé le seul secteur public.

2.1 Le secteur public

Au Québec, le gouvernement a souscrit rapidement à la proposition du groupe de travail constitué pour déblayer le terrain. Il propose à l’Assemblée nationale un projet de loi qui jumelle et la protection des renseignements personnels et l’accès à l’information. La loi adoptée en 1982^{Note de bas de page 20} marque en fait un précédent que l’on qualifiera, par la suite, de «modèle québécois».

La grande majorité des juridictions au Canada et certains pays européens, tels la Hongrie, le Royaume-Uni et la Suisse, emboîteront le pas au Québec en unifiant ces deux régimes dont les objectifs peuvent paraître différents, pour ne pas dire contradictoires. Dans un premier temps, le législateur assied la transparence en reconnaissant un droit d’accès aux documents détenus par les composantes du système politique. Du même souffle, il assure les renseignements personnels une protection toute particulière.

Un double objectif donne cohérence à cette démarche législative : entourer les renseignements personnels de mesures de protection adéquates et assurer aux citoyens l’accès aux renseignements qui les concernent. Cette particularité signalée, La loi sur l’accès aux documents du secteur public et sur la protection des renseignements personnels répond aux questions fondamentales qui surgissent au moment d’établir un régime de protection des renseignements personnels : que cherche-t-on à protéger? Qui est visé par cette démarche? Quelles sont les modalités retenues pour concrétiser cet objectif? Quels sont les recours mis en place en vue d’assurer le respect des principes et modalités de cette loi?

Une définition relativement simple caractérise les renseignements personnels : il s’agit de toute donnée, tout symbole qui permet d’identifier une personne et de la distinguer de toute autre^{Note de bas de page 21}. Les caractéristiques de cette personne, les symboles ou identifiants, les données au sujet de sa santé et de ses allégeances philosophiques, ses croyances religieuses, pour ne citer que les plus évidentes d’entre elles, répondent à cette notion générique.

La loi englobe les différents supports sur lesquels peuvent être consignés ces renseignements : depuis le formulaire papier traditionnel jusqu’au fichier électronique de l’ère de la virtualité, sans oublier les films, vidéos et autres dérivés de l’audio-visuel. Tel est, très simplement ramassé, l’objet des dispositions et des modalités qui donnent corps à la protection des renseignements personnels, au Québec comme dans la plupart des lois.

Ce régime législatif jouit d’un statut exceptionnel dans l’appareil législatif du Québec : cette loi a préséance sur l’ensemble des autres dispositions votées par l’Assemblée nationale, sauf dérogation expresse et explicite^{Note de bas de page 22}. Il s’agit là de la traduction explicite des droits reconnus aux citoyens en vertu de la Charte des Droits et Libertés de la personne (1975)^{Note de bas de page 23}.

Ce régime affecte l’ensemble du secteur public et ne se limite pas au seul appareil gouvernemental. Il englobe les diverses composantes de l’administration publique, y compris les sociétés d’État, les organismes décentralisés ou locaux qui, par exemple, gèrent l’ensemble des maisons d’enseignement du secteur public^{Note de bas de page 24}.

La loi de 1982 retient les diverses étapes du cycle de vie des renseignements personnels pour en structurer les modalités de protection : de la collecte initiale jusqu’à la destruction. On peut résumer de façon schématique les principes qui président au traitement de ces renseignements personnels :

• la collecte ou la production de ces données doit répondre à une finalité bien précise et identifiée comme telle; elle doit aussi se limiter aux seuls renseignements nécessaires aux fins de l’objectif visé. Obligation s’impose aussi de s’assurer de l’exactitude de ces renseignements^{Note de bas de page 25};
• la conservation de ces renseignements doit être entourée de mesures de précaution et de sécurité qui les mettent à l’abri des regards indiscrets ou des accès illégaux^{Note de bas de page 26};
• l’utilisation des renseignements personnels doit respecter la finalité de leur collecte^{Note de bas de page 27};
• l’éventuelle communication de ces renseignements à d’autres entités doit répondre à des critères précis, et, dans certains cas, faire l’objet d’une entente en bonne et due forme^{Note de bas de page 28};
• enfin, la destruction de ces renseignements s’impose, dès que disparaît la raison ou finalité de leur cueillette^{Note de bas de page 29}.

Chapeautent ces principes et modalités le droit reconnu à toute personne d’avoir accès aux renseignements qui la concernent et qui sont détenus par l’une ou l’autre entité du secteur public^{Note de bas de page 30}. Ce droit ne touche pas de rares fichiers qui peuvent être exclus du périmètre, à la suite d’une procédure exceptionnelle^{Note de bas de page 31}. Enfin, complète cet ensemble, le droit de rectification qui permet à une personne d’obtenir correction de l’un de ses renseignements personnels qui serait incorrect ou inexact, voire même faux^{Note de bas de page 32}.

Le citoyen dispose aussi de recours précis en vue de faire respecter les droits qui lui sont reconnus par cette loi. Ces recours peuvent ultimement et uniquement être exercés auprès de la Commission d’accès à l’information^{Note de bas de page 33}, organisme doté d’un statut de tribunal administratif et qui, comme son nom l’indique, exerce aussi ses responsabilités en matière d’accès à l’information.

Voilà, grossièrement esquissée, l’ossature de cette loi qui, il faut le rappeler, englobe tout à la fois la protection des renseignements personnels et l’accès à l’information dans le secteur public.

Quelques semaines après l’adoption de cette loi par l’Assemblée nationale du Québec, le Parlement fédéral du Canada votait en faveur d’une loi analogue pour assurer la protection des renseignements personnels dans l’appareil gouvernemental^{Note de bas de page 34}; du même souffle, il approuvait une législation qui instituait un régime d’accès à l’information.

La Loi sur la protection des renseignements personnels vise à peu près les mêmes objectifs. Elle reflète le style des lois adoptées par le Parlement fédéral. Ainsi, la notion de renseignements personnels fait-elle l’objet d’une énumération importante qui en précise la portée^{Note de bas de page 35}. À titre d’exemple, on y incorpore le groupe sanguin d’une personne, de même que son casier judiciaire et la correspondance échangée avec une institution fédérale.

La loi doit être mise en œuvre par l’ensemble des ministères, départements d’État et institutions fédérales expressément repris dans une annexe^{Note de bas de page 36}.

De même, elle établit les exigences relatives à la protection des renseignements personnels en fonction du cycle de vie de ces données, depuis leur collecte jusqu’à leur destruction ou leur cession aux Archives du Canada. La collecte et l’utilisation de ces données se justifient au regard des finalités liées aux programmes administrés par les ministères et organismes^{Note de bas de page 37}. Ces mesures structurent en quelque sorte la façon dont les organismes doivent aborder ces différentes phases, y compris l’élaboration de répertoires des fichiers où sont versés ces renseignements personnels.

Enfin, les citoyens canadiens et les résidents permanents et toute personne présente au Canada bénéficient du droit d’accès et de rectification des renseignements personnels qui les concernent, et eux seuls^{Note de bas de page 38}. Une exception importante est consentie aux parlementaires fédéraux pour leur permettre d’obtenir les renseignements au sujet d’un commettant qui sollicite une intervention particulière en vue de résoudre un problème^{Note de bas de page 39}. Demeurent toutefois inaccessibles certains fichiers dits inconsultables^{Note de bas de page 40} que peut établir, par exemple la Gendarmerie fédérale du Canada.

Tout problème ou tout litige découlant de l’exercice de ce droit d’accès peut faire l’objet d’une demande d’intervention auprès de la Commissaire à la protection de la vie privée. Ombudsman spécialisée, la titulaire de cette fonction peut émettre des recommandations à la suite de l’examen de telles plaintes^{Note de bas de page 41}.

Bref, l’un et l’autre régime de protection des renseignements personnels ont été implantés au même moment et présentent des similitudes évidentes. Ils ne visent que le secteur public, ce qui les différencie des législations adoptées en Europe occidentale durant les années 1970 et 1980.

2.2 Le secteur privé

C’est le Québec qui amorcera, sur le continent nord-américain, le mouvement en faveur de l’extension au secteur privé du régime de protection des renseignements personnels. Cette démarche prend origine dans la réforme du Code civil où sont expressément énoncés et assurés les principes de la protection de ces données^{Note de bas de page 42}.

Après avoir examiné diverses possibilités dégagées de l’expérience menée dans d’autres pays, le choix a été arrêté en faveur de la continuité. La Loi sur la protection des renseignements personnels dans le secteur privé^{Note de bas de page 43}, votée en 1993, s’inscrit dans le sillon tracé par le législateur, une décennie plus tôt. Elle répond également aux critères énoncés par l’OCDE dans ses Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel^{Note de bas de page 44}, promulguées en 1980.

La notion, large et générique, de renseignements personnels ne diffère pas de ce qui avait été retenu en 1982 : tombent sous l’emprise de ce régime tout renseignement, toute donnée qui permet d’identifier une personne, peu importe le support où a été consignée cette information^{Note de bas de page 45}.

Sont soumises à cette législation les «entreprises» qui ont pignon sur rue au Québec ou qui y font affaire^{Note de bas de page 46}. Code civil oblige, c’est l’exploitation d’une entreprise qui constitue le critère déterminant pour établir le champ d’application de cette loi^{Note de bas de page 47}. Dans ce même esprit, sont assimilés à des entreprises la presque totalité des organisations, entités et mouvements qui colligent, conservent et utilisent des renseignements personnels.

Ces entreprises doivent se soumettre aux principes et modalités énoncés dans la loi en ce qui a trait au traitement des renseignements personnels, principes et modalités qui ne diffèrent pas substantiellement de ce qui a été mis en œuvre dans le secteur public.

Innovation significative, la loi de 1993 aborde la question du transfert, à l’extérieur du Québec, des renseignements personnels détenus par les entreprises du secteur privé^{Note de bas de page 48}. Ces dernières sont obligées de veiller au respect, outre frontière, des finalités qui ont présidé à la collecte de ces renseignements. Cette disposition répond en quelque sorte aux préoccupations qui, dans ce domaine, présidaient à l’élaboration de la directive de l’Union européenne de 1995.

Le droit d’accès à ses renseignements personnels est reconnu à tout individu dont les données sont détenues par l’une ou l’autre entreprise, au sens du Code civil^{Note de bas de page 49}. En confiant à la Commission d’accès à l’information du Québec, le mandat exclusif de régler les litiges^{Note de bas de page 50} qui peuvent découler de ce droit d’accès – les mésententes, selon l’expression retenue - le législateur a unifié, d’une certaine façon, le régime de protection des renseignements personnels.

Sur la scène fédérale, le mouvement a emprunté une voie différente, voire même très originale. La nouvelle loi résulte d’une démarche menée de concert avec le secteur privé. Elle porte l’empreinte de l’impact des nouvelles technologies. Enfin, l’adoption de cette législation découle d’un choix effectué en fonction du régime constitutionnel de la fédération canadienne.

La Loi sur la protection des renseignements personnels et les documents électroniques (2000)^{Note de bas de page 51} vise exactement le même type de données qui permettent d’identifier une personne^{Note de bas de page 52}. Le concept demeure large et englobant. Le législateur a néanmoins fait une place particulière aux renseignements personnels de santé; c’est en fait traduire, dans un domaine très particulier, la notion et la réalité de renseignements dits sensibles que l’on retrouve dans la plupart des législations européennes.

Quant au support «électronique», fondement de cette démarche législative, cette question fait l’objet d’un traitement relativement précis. Y sont explicitées des notions relatives à la nature des documents électroniques, à la signature électronique et au paiement électronique, pour ne citer que ces cas^{Note de bas de page 53}.

À qui incombent la mise en œuvre et le respect de cette loi? Cette question a obligé le législateur fédéral à concilier ses objectifs et les caractéristiques de la constitution canadienne en ce qui a trait au partage des compétences entre le Parlement fédéral et les assemblées législatives des états fédérés. C’est en fonction des compétences dévolues au gouvernement fédéral en matière de commerce interprovincial que s’est arrêté le choix du Parlement fédéral^{Note de bas de page 54}.

Sont donc soumises à la loi de 2000 les entreprises qui relèvent de la compétence législative du Parlement fédéral, telles les banques, les stations de radio ou de télédiffusion et, de façon générale, les sociétés commerciales à l’œuvre dans plus d’une province^{Note de bas de page 55}.

Innovation de taille qui surprend plus d’un juriste, les principes ou les modalités d’application de cette loi figurent dans une annexe de la loi elle-même^{Note de bas de page 56}. Il s’agit en fait du «code type sur la protection des renseignements personnels» qui a été élaboré et négocié au sein de l’Association canadienne des normes. Ce texte ressemble peu à un document juridique; il comporte même des exemples et des suggestions. Ce code s’est inspiré des principes énoncés par l’OCDE dans ses Lignes directrices de 1980, évoquées précédemment.

Le code consiste en un ensemble de dix principes. Il explicite les modalités qui s’imposent désormais à toute organisation visée par cette loi.

1. Responsabilité : énoncé et explicitation des obligations qui incombent aux entreprises visées par la loi.
2. Détermination des fins de la collecte des renseignements : c’est l’inscription du principe de finalité qui doit être mis en œuvre dès le début des démarches en vue de colliger des données personnelles.
3. Consentement : ce principe doit présider à la cueillette des renseignements. Il est assorti de précisions quant aux modalités et à la nature du consentement à obtenir du citoyen.
4. Limitation de la collecte : les renseignements doivent être colligés en fonction de leur nécessité aux fins de la démarche poursuivie.
5. Limitation de l’utilisation, de la communication ou de la conservation : le respect du principe de finalité dicte des mesures qui englobent le cycle de vie et d’utilisation des renseignements personnels, y compris leur éventuelle destruction.
6. Exactitude : cette exigence vise, entre autres, à éviter que des décisions ne soient prises à l’encontre de personnes sur la base de renseignements inexacts ou faux.
7. Mesures de sécurité : le code module les exigences en fonction de la sensibilité des données colligées et conservées.
8. Transparence : les objectifs qui président à la cueillette de renseignements doivent faire l’objet d’un énoncé de politique ou l’équivalent et être accessibles.
9. Accès aux renseignements personnels : c’est le respect du droit d’accès aux renseignements par les personnes dont les renseignements sont détenus par une entreprise.
10. Possibilité de porter plainte à l’égard du non-respect des principes : il s’agit de l’obligation pour les entreprises de se doter de mécanismes de traitement des plaintes en provenance des citoyens ou consommateurs.

Cette liste peut paraître exhaustive, elle est en fait complétée par la décision du législateur de conférer au citoyen le droit de saisir la Commissaire à la protection de la vie privée de tout problème ou litige éprouvé dans ce domaine^{Note de bas de page 57}. Ici aussi, le régime de protection des renseignements personnels fait l’objet d’une forme d’unification en matière de respect des principes et obligations au sujet de la protection des renseignements personnels des citoyens.

Cette loi innove à un titre très particulier dans le contexte fédéral canadien. Elle vise, on l’a vu, toutes les entreprises qui relèvent de la compétence fédérale. Ce caractère pancanadien se double d’une disposition exceptionnelle. Cette loi prend effet sur l’ensemble du territoire du Canada, à moins qu’une loi édictée par le Parlement d’une province ne soit jugée «essentiellement similaire »^{Note de bas de page 58}. Ce caractère d’équivalence a été effectivement reconnu depuis aux lois adoptées en la matière par le Québec^{Note de bas de page 59} et deux autres provinces, soit l’Alberta^{Note de bas de page 60} et la Colombie-Britannique^{Note de bas de page 61}; il en est de même des dépositaires de renseignement de santé en Ontario^{Note de bas de page 62}.

2.3 Le cheminement du Nouveau-Brunswick

La Loi sur la protection des renseignements personnels, en vigueur au Nouveau-Brunswick et régissant le seul secteur public, a été adoptée en 1998^{Note de bas de page 63}. Il s’agit d’une loi brève, souple et originale, tout à la fois.

Tout en souscrivant aux notions usuelles pour définir les «renseignements personnels», la loi de 1998 ne se limite pas aux seules données objectives et évidentes qui permettent d’identifier une personne et de la différencier de toute autre. Le législateur englobe, dans cette catégorie, les renseignements qui, par un phénomène d’association, aboutiraient à ce résultat, en l’absence même de l’identité ou de données aussi précises au sujet d’une personne.

La loi du Nouveau-Brunswick vise tous les organismes du secteur public qui tombent déjà sous l’emprise de la loi d’accès à l’information de 1978. Il y a donc une forme de raccord avec le régime de transparence administrative en place dans cette province depuis 30 ans.

Le législateur du Nouveau-Brunswick a établi un précédent en matière de protection des renseignements personnels. Il introduit, sous la rubrique de «code de pratique statutaire», une version simplifiée des principes tout juste élaborés par l’Association canadienne des normes à l’intention des entreprises du secteur privé. Le projet dessiné en fonction du secteur privé est donc transposé dans… le secteur public par l’Assemblée législative du Nouveau-Brunswick. Dans sa loi de 2001 visant le secteur privé, le Parlement fédéral canadien inscrira lui aussi la version originale du même code élaboré par l’Association canadienne des normes.

De son côté, l’Assemblée législative de Fredericton n’a pas légiféré à l’égard du secteur privé en matière de protection des renseignements personnels. Dans l’esprit du gouvernement, les entreprises du secteur privé devaient s’engager dans cette voie en appliquant, de façon volontaire, les mêmes normes; c’est l’incitation plus ou moins explicite à la mise en œuvre d’une forme d’autoréglementation. Ce régime «du bon exemple» n’aura pas eu l’occasion de faire ses preuves. L’adoption de la loi fédérale en 2001, qui régit l’ensemble du secteur privé canadien, a supplanté le projet d’autoréglementation envisagé par Fredericton.

C’est à l’Ombudsman du Nouveau-Brunswick qu’a été confié le mandat de recevoir et d’examiner les plaintes et litiges relatifs à cette loi^{Note de bas de page 64}. Des modifications corrélatives ont été apportées à la loi garantissant la transparence afin de mieux protéger les renseignements personnels. Le législateur a décidé de conserver deux régimes législatifs distincts en matière de transparence et de protection des renseignements personnels. La portée et l’étendue de ces deux lois applicables au secteur public, le cumul des fonctions de saisine des plaintes et d’enquête par un même agent de contrôle et les renvois internes aux principes de droit élaborés dans chaque régime législatif permettent de mieux coordonner et de concilier ces deux grandes tendances du droit public.

Ce survol permet de dégager un certain nombre de caractéristiques des régimes de protection des renseignements personnels mis en place dans les trois systèmes politiques sous examen.

• Ces législations reconnaissent en quelque sorte la légalité de la collecte et de l’utilisation des renseignements personnels;
• elles précisent et balisent les modalités du traitement de ces données, depuis leur collecte jusqu’à leur destruction;
• elles se modulent en fonction des secteurs privé et public;
• elles assurent aux citoyens le droit d’accès aux renseignements personnels qui les concernent;
• enfin, ces lois confèrent à une autorité de contrôle le mandat de veiller au respect de ces principes et aux droits reconnus aux citoyens.

3. Des modalités de contrôle

Confier à un organisme le contrôle des droits assurés aux citoyens quant à leurs renseignements personnels s’imposait presque à l’évidence aux auteurs des projets de loi imaginés à l’intention des secteurs publics et privés. Le choix retenu par le législateur au Canada, au Québec et au Nouveau Brunswick a été, en un certain sens, dicté par la mise en place d’un régime d’accès à l’information.

À la fin des années 1970, l’examen des solutions possibles s’avérait plutôt limité. À peine une poignée de pays s’étaient aventurés dans ce sentier. Les États-Unis avaient opté pour une solution minimale : les tribunaux se saisiraient des éventuels problèmes qui découleraient de la mise en œuvre du Privacy Act. En Europe, la France et la Suède et le land de Westphalie avaient établi des organismes originaux.

3.1 La Commission d’accès à l’information du Québec

À Québec, le gouvernement a retenu la suggestion du comité de travail et a décidé de confier le contrôle de la loi de 1982, dans ses deux volets – accès à l'information et protection des renseignements personnels – à un organisme nouveau : la Commission d’accès à l’information ou CAI.

Un objectif de base a présidé à la création de cette commission : elle a comme mandat de procéder, de façon cohérente, à l’inévitable arbitrage entre les deux droits insérés dans une seule législation : l’accès aux documents du secteur public et la protection des renseignements personnels détenus dans le secteur public.

C’est dans la tradition encore récente des «tribunaux administratifs» qu’on a puisé les éléments de base du statut et des pouvoirs de cette commission. Hissée au rang d’organisme quasi-judiciaire, la Commission d’accès à l’information du Québec est en fait un organisme multifonctionnel qui répond à plusieurs objectifs dans l’un et l’autre domaine^{Note de bas de page 65}.

La Commission est un organisme collégial, dont l’administration est confiée à un Président, appuyé éventuellement par un vice-président. En sont membres un maximum de cinq personnes, toutes nanties d’un mandat renouvelable d’une durée de cinq ans^{Note de bas de page 66}.

C’est l’Assemblée nationale qui désigne le Président et les membres de la Commission à la faveur d’un scrutin qui doit se solder par une majorité des deux tiers des députés^{Note de bas de page 67}. Depuis peu, une commission de l’Assemblée nationale a hérité du mandat de procéder à la sélection des candidats retenus à la suite d’un appel public de candidatures.

Le statut de la Commission au sein de la structure de l’appareil politique est particulier. La CAI est certes dotée des pouvoirs inhérents à sa condition de tribunal administratif et jouit à cet égard d’une réelle indépendance. Elle n’en est pas moins rattachée, à des fins budgétaires, à un membre du Conseil des ministres. C’est d’ailleurs autour de ce ministre qu’un groupe de fonctionnaires s’active et définit des mesures et procédures pour concrétiser la mise en œuvre des objectifs de la loi.

La Commission dispose de moyens concrets en vue de favoriser le respect de la loi au sein de l’ensemble du secteur public. Elle peut émettre des avis, formuler des recommandations qui visent l’ensemble de ce secteur^{Note de bas de page 68}. De même, elle a mandat d’assurer la promotion des objectifs de cette loi auprès de la population^{Note de bas de page 69}. Enfin, elle peut saisir l’Assemblée nationale d’une question importante en y déposant un rapport spécial^{Note de bas de page 70}.

Dans son fonctionnement quotidien, la Commission est scindée en deux sections; la première a mission d’assurer la surveillance de la mise en œuvre de la loi; la seconde dispose de pouvoirs juridictionnels pour trancher les litiges qui peuvent découler du refus signifié à des citoyens d’avoir accès à leurs renseignements personnels ou d’en obtenir la rectification ou même la destruction. Cette architecture traduit la volonté du législateur d’assurer entre ces deux fonctions une réelle étanchéité.

La section dite de surveillance doit, elle, veiller au respect de mise en œuvre des modalités qui assurent protection et sécurité aux renseignements personnels.

Dans le secteur public, ce mandat s’exerce, de façon préalable, par l’édiction de conditions qui doivent être respectées en ce qui a trait à la création et à la gestion de fichiers de renseignements personnels. La Commission peut aussi permettre à des chercheurs d’avoir accès, à des fins d’études, à des renseignements personnels sans le consentement des personnes concernées – principe cardinal de la protection de ces données. Enfin, elle dispose du droit de formuler ses commentaires, voire même ses objections aux projets d’échange de renseignements personnels entre l’un ou l’autre ministère, entité gouvernementale ou organisme.

Cette direction de surveillance, chapeautée par au moins un commissaire, intervient aussi lorsque les citoyens se plaignent du non-respect de leurs données personnelles dans les secteurs public et privé. L’un des membres du personnel de la Commission peut se voir confier un véritable mandat d’enquête, en vertu des pouvoirs conférés par la loi à un commissaire-enquêteur. Il peut exiger d’avoir accès à tous les renseignements nécessaires pour faire la lumière sur le présumé problème. Au terme de l’enquête, un commissaire se saisit du rapport. Il doit solliciter les vues des parties en cause avant de rendre une décision qui est exécutoire et contraignante dans l’un et l’autre secteurs, privé et public.

La fonction juridictionnelle s’exerce à l’encontre des refus d’accès, de rectification ou de destruction signifiés à l’encontre de personnes en quête des renseignements qui les concernent, ou, en matière d’accès, au sujet des demandes de documents refusées. Un processus de médiation est, la plupart du temps, engagé dès la réception des demandes d’intervention. À défaut d’une entente, le dossier est alors confié à l’un des Commissaires qui entendra, à la faveur d’une audience publique, les représentations des parties en cause. Au terme de cette démarche juridictionnelle, la décision écrite du Commissaire revêt un caractère exécutoire. C’est précisément ce qu’illustre le cas décrit en début de document où un père demandait accès au dossier de son fils.

Les décisions rendues par la Commission peuvent être portées en appel devant la Cour du Québec à propos d’une question de droit ou de compétence. À l’instar de ce qui existe dans l’ensemble des tribunaux administratifs au Québec, le législateur a donc établi une passerelle vers le système judiciaire. À certaines conditions, les tribunaux supérieurs peuvent donc être saisis des décisions rendues par la Commission d’accès à l’information^{Note de bas de page 71}. Ce cheminement judiciaire aboutit en fait à l’élaboration d’une jurisprudence en matière de protection des renseignements personnels.

3.2 Le Commissariat à la protection de la vie privée du Canada

Durant la phase d’élaboration de la loi fédérale, juristes et experts ont jonglé avec les quelques modèles déjà en place en Europe. Ils ont préféré s’inspirer des précédents établis à Ottawa durant la fin des années 1960 et adapter le modèle dit de l’ombudsman qui avait été éprouvé notamment lors de la création de la fonction de Commissaire aux langues officielles.

Au moment de l’adoption de la loi qui allait régir la protection des renseignements personnels dans le secteur privé, il ne semble pas y avoir eu d’hésitation en ce qui a trait à l’éventuelle autorité de contrôle. Cette fonction revenait presque d’office au Commissaire à la protection de la vie privée d’autant plus que son titulaire de l’époque a joué un rôle considérable dans la démarche qui allait mener au vote de la Loi sur la protection des renseignements personnels et les documents électroniques.

Ombudsman ou médiateur, le titulaire de cette fonction est un super-fonctionnaire du Parlement^{Note de bas de page 72}, au même titre que le Vérificateur général ou le Directeur général des élections. Ces personnes participent de la mission de contrôle que le Parlement exerce sur le gouvernement et sur l’appareil administratif. Ils bénéficient du prestige, de l’immunité et de la marge de manœuvre que leur reconnaît le pouvoir législatif.

Le processus de nomination de l’éventuel Commissaire est également en voie d’évolution. À la demande du Premier ministre, le candidat à ce poste est entendu par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Les candidats à la Cour suprême expérimentent depuis peu le même parcours. Le Commissaire à la protection de la vie privée se voit confier un mandat renouvelable de 7 ans^{Note de bas de page 73}. C’est dire l’importance attachée à cette fonction.

En matière de protection des données personnelles, le Commissaire exerce un rôle de conseiller auprès du Parlement fédéral, le plus souvent devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Il doit également rendre compte de son administration devant le Parlement^{Note de bas de page 74}.

Dans les deux secteurs, public et privé, le mandat du Commissaire s’exerce grosso modo de la même façon, grâce aux mêmes pouvoirs et en fonction de mandats très similaires. À l’égard du secteur privé, le Commissaire s’est vu confier par le législateur la responsabilité de favoriser la connaissance et le respect de cette loi^{Note de bas de page 75}; d’où les campagnes de sensibilisation et les programmes d’éducation à l’intention des organisations et entreprises soumises à la loi. Dans le secteur public, c’est le Secrétariat du Conseil du trésor qui élabore et diffuse directives et politiques en vue de permettre aux ministères et organismes de s’acquitter de leurs obligations.

Sur le mode pratique, le Commissaire intervient à trois titres, en se saisissant des plaintes, en engageant des enquêtes et en menant des vérifications.

C’est auprès du Commissaire que les citoyens peuvent intervenir à la suite du refus d’accès ou de rectification de leurs renseignements personnels, essuyé dans les deux secteurs, public et privé^{Note de bas de page 76}. Les plaintes peuvent aussi viser le non-respect des principes qui président au traitement des renseignements personnels. Le Commissaire peut, de sa propre initiative, intervenir et se saisir d’un problème qui a retenu son attention^{Note de bas de page 77}. Médiation ou conciliation sont les deux procédures retenues dans la loi.

De même, le Commissaire peut lancer de véritables « examens de conformité » pour scruter en détail la façon dont les ministères et organismes assurent la mise en œuvre des principes et règles qui doivent régir la protection des renseignements personnels; dans le secteur privé, on a préféré l’expression «vérification» pour désigner la même démarche^{Note de bas de page 78}. C’est en vertu de ce pouvoir que l’actuelle Commissaire à la protection de la vue privée a procédé à l’examen des dossiers inconsultables détenus par la Gendarmerie royale du Canada, comme on l’a signalé au tout début de ce document^{Note de bas de page 79}.

Pour mener à bien ces enquêtes et vérifications, le Commissaire dispose de pouvoirs importants^{Note de bas de page 80}. Ses collaborateurs peuvent pénétrer dans les immeubles et bureaux pour engager les diverses étapes d’une enquête. Ils peuvent avoir accès à tous les documents qu’il leur parait nécessaire de consulter. Ils peuvent également convoquer des témoins et les interroger sous serment. Bref, ils peuvent aller au fond des choses.

Enquêtes et vérifications, de même qu’examen des plaintes peuvent déboucher sur des conclusions^{Note de bas de page 81}. À l’instar de tous les ombudsmans, le Commissaire ne peut cependant qu’émettre des recommandations, aussi bien en réponse aux plaintes des citoyens qu’en conclusion à ses enquêtes et vérifications. Ces recommandations revêtent un évident pouvoir moral qui découle du prestige de la fonction et répond à l’intention du législateur.

Ce pouvoir de recommandation est assorti de deux possibilités de prolongement. Le citoyen insatisfait des suites données aux recommandations de la Commissaire peut engager des procédures devant la Cour fédérale^{Note de bas de page 82}. La Commissaire peut tenter une démarche analogue au nom de ce même citoyen ou de son propre chef^{Note de bas de page 83}. Elle peut aussi solliciter l’intervention du tribunal pour assurer le respect des principes et des fins de la loi^{Note de bas de page 84}.

Enfin, la Commissaire peut saisir le Parlement de l’une ou l’autre de ces questions dans son rapport annuel^{Note de bas de page 85}. Elle peut aussi déposer un rapport spécial auprès du Parlement^{Note de bas de page 86}.C’est ce qui s’est passé en février 2008 à la suite de son enquête sur les fichiers inconsultables de la Gendarmerie royale du Canada. C’est l’occasion d’attirer l’attention du grand public sur un problème majeur.

En vertu de la loi sur le secteur privé, la Commissaire joue un rôle très particulier à l’égard des états fédérés. Dans son rapport annuel, elle peut en effet signaler l’adoption, par l’une ou l’autre des assemblées législatives, d’une loi qu’elle juge «essentiellement similaire»^{Note de bas de page 87}. La Commissaire peut conclure des ententes avec les autorités de contrôle de l’un ou l’autre des États fédérés en vue d’assurer aux renseignements personnels une protection de même niveau dans l’ensemble du Canada^{Note de bas de page 88}.

3.3 L’Ombudsman du Nouveau-Brunswick

Au Nouveau-Brunswick, le gouvernement a décidé de confier à l’Ombudsman de cette province le mandat d’assurer le contrôle de la nouvelle Loi sur la protection des renseignements personnels qui vise le seul secteur public^{Note de bas de page 89}. C’est d’ailleurs cette option qui avait été retenue en 1978 lorsque le Nouveau-Brunswick était devenu la deuxième province au Canada à se doter d’un régime d’accès à l’information^{Note de bas de page 90}.

Au fil des années, ces nouvelles responsabilités viennent se greffer aux autres mandats de l’Ombudsman. Outre son rôle en matière d’accès à l’information, ce dernier cumule les fonctions de Défenseur des enfants et assume des fonctions importantes dans le secteur des Archives. Enfin, son bureau gère les plaintes et problèmes relatifs à l’embauche et aux nominations au sein de la fonction publique. Bref, ce poste mérite bien le qualificatif de «généraliste».

C’est habituellement le Premier ministre qui invite l’assemblée législative à se prononcer sur le candidat de son choix pour occuper ces fonctions. La recommandation du Parlement est ensuite acheminée au gouvernement qui en ratifie le contenu et procède à la nomination^{Note de bas de page 91}.

L’Ombudsman détient le statut de «personne désignée» de l’assemblée législative au même titre que le Vérificateur général, le Commissaire aux langues officielles, le Responsable des conflits d’intérêts et le Défenseur des citoyens en matière d’assurances. Ces «agents de l’Assemblée législative» exercent leur mandat à l’égard de l’ensemble de l’appareil administratif et gouvernemental et bénéficient d’une forme d’indépendance considérable.

Le champ d’action de l’Ombudsman en matière de renseignements personnels est évidemment délimité par la Loi. Celui-ci dispose d’une grande latitude quant aux sujets qui retiendront son attention. De plus, il peut être saisi de mandat d’enquête par l’assemblée législative elle-même^{Note de bas de page 92}.

Dans l’exercice de ses fonctions, l’Ombudsman est investi des pouvoirs de commissaire enquêteur définis dans une loi particulière^{Note de bas de page 93}. Il a toute latitude quant au choix des méthodes en ce qui a trait à l’examen des problèmes dont il est saisi. Pour mener à bonne fin ses enquêtes, il peut autoriser ses collaborateurs à pénétrer à l’intérieur des immeubles où se trouvent les services visés par une plainte ou qui font l’objet d’une enquête. Il peut convoquer et interroger sous serment tout membre du personnel de la fonction publique et, à certaines conditions, des personnes extérieures à celle-ci. C’est en vertu de ces pouvoirs que l’Ombudsman s’est saisi du dossier des cartouches informatiques de renseignements dans le domaine de la santé égarés quelque part entre le Nouveau-Brunswick et la Colombie-Britannique, tel que relaté au début de ce document^{Note de bas de page 94}.

À l’instar des autres ombudsmans dans la plupart des États, ses enquêtes et examens de plaintes prennent la forme d’un rapport où il peut formuler des recommandations précises et concrètes^{Note de bas de page 95}. Le législateur a misé sur le pouvoir moral de l’Ombudsman pour favoriser la solution des problèmes et litiges qui tombent sous son autorité. Si l’Ombudsman n’est pas satisfait des suites données à l’une ou l’autre de ses recommandations, il peut déposer un rapport auprès du gouvernement et, si nécessaire, auprès de l’assemblée législative^{Note de bas de page 96}. Au pouvoir moral s’ajoute donc, en ultime recours, le poids d’une intervention de nature politique ou presque.

Enfin, la publication du rapport annuel peut aussi fournir l’occasion de porter sur la place publique les problèmes et difficultés qu’il peut avoir éprouvé dans le règlement des dossiers qu’il juge importants ou exemplaires ou à l’égard de toute question de son choix.

L’Ombudsman détient aussi depuis 30 ans un mandat d’examen des requêtes en vertu de la Loi sur le droit à l’information. Ilne dispose d’aucun pouvoir d’ordonnance. Il exerce son contrôle par voie de recommandation.

Avant tout médiateur parlementaire, l’Ombudsman se saisit des plaintes formulées en vertu de la Loi sur les Archives et de la Loi sur la fonction publique. Il assume ainsi depuis quarante ans un droit de regard sur tout l’appareil administratif provincial. Toutes les agences publiques sont soumises à son contrôle et aucune clause de confidentialité, ni aucun autre secret d’État ne lui est opposable. À ce titre, le mandat de contrôle de la protection des données est enrichi par l’expérience et renforcé par la garantie d’autonomie et d’indépendance morale et institutionnelle reconnue à l’Ombudsman.

Le modèle de l’Ombudsman a aussi l’avantage de confier le contrôle de la protection des données à un agent parlementaire, spécialiste de la transparence, de l’équité procédurale et du bon fonctionnement des agences et ministères de l’État.

Depuis 2006, l’Ombudsman exerce une nouvelle fonction spécialisée à titre de Défenseur des enfants et de la jeunesse. Dès lors, il est souvent porté à se concentrer sur d’épineuses questions où les objectifs de transparence se heurtent aux principes de la protection des données, par exemple lorsqu’il s’agit de la coordination des services publics auprès des jeunes et de leurs familles. Dans ces dossiers, le devoir de confidentialité est certes accentué, mais la recherche de l’intérêt de l’enfant peut exiger un partage des données entre divers intervenants À ceux qu’inquiéterait la perspective d’une rigueur excessive en matière de protection des données, le modèle législatif néo-brunswickois présente l’avantage d’en confier la responsabilité à un généraliste à la fois puissant et bienveillant. Enfin, dans un État d’une population d’environ 700,000 personnes, ce modèle s’est avéré souple et efficace, sans doute parce que taillé sur mesure.

De la présentation sommaire des caractéristiques fondamentales des organismes de contrôle mis en place à Ottawa, à Québec et à Fredericton, s’imposent un certain nombre de traits communs.

• Les titulaires de ces trois organismes font l’objet d’un processus de nomination exceptionnel où le Parlement joue un rôle de premier plan. Cette façon de procéder témoigne de l’importance de la fonction et confère aux personnes ainsi mandatées un prestige indéniable.
• De même, le rattachement de cette personne à l’institution parlementaire est explicite en ce qui concerne le palier fédéral et le Nouveau-Brunswick; il est plus complexe quant au Québec. Ce statut confère aux éventuelles démarches de l’un et l’autre titulaires une autorité morale indéniable.
• Le Commissariat à la protection de la vie privée, le Bureau de l’Ombudsman du Nouveau-Brunswick et la Commission d’accès à l’information du Québec disposent de pouvoirs considérables quant aux démarches à engager en vue de résoudre les problèmes dont ils sont saisis.
• Enfin, en ce qui concerne les organismes de contrôle du Québec et du Canada, l’intervention des tribunaux, en derniers recours, contribue à l’élaboration d’une jurisprudence qui accroît le poids et la portée des principes et modalités de la protection des renseignements personnels.

4. Cent fois sur le métier

La vie des lois et des institutions ressemble rarement au parcours d’un long fleuve tranquille. L’adage prend encore plus de pertinence lorsqu’il vise les renseignements personnels et la vie privée. L’ampleur des changements enregistrés sous l’impact de la technologie des communications a profondément bouleversé l’univers visé par des législations établies, il y a plus d’un quart de siècle en ce qui concerne le Canada et le Québec.

Au cours des deux dernières années, les lois sur la protection des renseignements personnels ont fait l’objet d’un examen systématique au Nouveau-Brunswick, au Canada et au Québec.

4.1 Au Nouveau-Brunswick

Début juin 2008, le gouvernement a saisi l’Assemblée législative d’un projet de loi qui, entre autres dispositions majeures, prévoit la création du poste de Commissaire à l’information et à la protection des renseignements personnels. Le projet de loi est calqué, en bonne partie, sur le modèle des autres provinces canadiennes qui, depuis l’adoption de la loi québécoise de 1982, jumellent ces deux régimes.

Le gouvernement a ainsi donné suite à la plupart des recommandations formulées par le groupe de travail qui avait reçu le double mandat d’examiner la Loi sur l’accès à l’information, en vigueur depuis exactement 30 ans, et la législation de 2001 sur la protection des renseignements personnels dans le secteur public^{Note de bas de page 97}. Ce mandat découlait des engagements souscrits par le nouveau gouvernement lors de la campagne électorale qui l’a porté au pouvoir.

Les membres de ce groupe de travail avaient rapidement lancé une vaste consultation publique, en publiant sur un site WEB un questionnaire détaillé à l’intention des citoyens et groupes intéressés .La démarche a porté fruit. Des conseillers municipaux, des directeurs de quotidien, d’anciens ministres, des représentants de commissions d’urbanisme, des hauts fonctionnaires du gouvernement et de l’Assemblée législative, des agences privées, des citoyens issus de diverses strates de la société, le comité consultatif sur le statut de la femme, pour ne citer que ceux-là, ont versé leur témoignage sur le sujet.

L’Ombudsman, responsable du contrôle des lois en matière d’accès à l’information et de protection des renseignements personnels, est intervenu dans le processus. Il a soumis un mémoire détaillé où il recommandait de nombreux changements à ces deux lois^{Note de bas de page 98}. Il suggérait précisément la création, par l’Assemblée législative, d’un poste de Commissaire qui disposerait d’un pouvoir d’ordonnance. Il préconisait aussi l’adoption d’un Code des droits à l’information et à la vie privée qui reconnaîtrait expressément le caractère fondamental de ces deux droits.

Le groupe de travail a pris acte des doléances de l’Ombudsman en ce qui a trait au silence législatif du Nouveau-Brunswick en matière de protection des renseignements personnels dans le secteur privé. Il reconnaît qu’il s’agit là d’une question «qui nécessite un examen plus approfondi à effectuer plus tard dans le cadre d’un autre exercice^{Note de bas de page 99}. Le législateur a néanmoins tenu compte des recommandations de l’Ombudsman sur la portée et l’application de la loi du secteur public. Changement important, la nouvelle loi proposée viserait les universités et les municipalités.

Début 2009, ce projet de loi a été confié à un comité de l’Assemblée législative. Une loi révisée pourrait être déposée au printemps et pourrait entrer en vigueur d’ici la fin d’année.

4.2 Sur la scène fédérale

Au moment d’écrire ces lignes, le Comité permanent de la Chambre des Communes sur l’accès à l’information, la protection des renseignements personnels et l’éthique poursuit ses travaux sur l’examen de la loi de 1982 qui régit la protection des renseignements personnels dans le secteur public. Il y a tout juste un an, il déposait son rapport à la suite de l’étude de la loi de 2000 qui, elle, chapeaute l’ensemble du secteur privé^{Note de bas de page 100}.

Durant l’hiver 2006-2007, ce comité permanent a en effet été saisi de l’obligation de revoir la Loi sur la protection des renseignements personnels et les documents électroniques^{Note de bas de page 101}, cinq ans après son adoption. L’entrée en vigueur toute récente de lois visant le secteur privé en Colombie-Britannique et en Alberta, dans le sillage de la législation déjà en vigueur au Québec, militait également en faveur de cette remise sur la planche à dessin.

La démarche a été impressionnante. Pas moins de 67 témoins ont été convoqués devant le Comité qui a d’ailleurs reçu 34 mémoires en provenance de divers milieux de la société. Il suffit de citer l’Association médicale canadienne, la Centrale des caisses de crédit du Canada, le Barreau canadien, la Chambre de Commerce du Canada, les représentants de ministères et d’organismes du gouvernement fédéral, le Bureau d’assurance du Canada, le Centre canadien de ressources pour les victimes de crimes, l’Association canadienne des chefs de police, le Centre pour la défense de l’intérêt public, de nombreux experts, des Commissaires à l’information et à la protection des renseignements personnels de provinces canadiennes. De l’énumération de ces participants, une évidence se dégage : à peu près tous les secteurs du monde des affaires, de la société civile et des milieux gouvernementaux ont tenu à faire valoir leur point de vue.

Moins de trois mois après la fin de ses travaux, le comité permanent a déposé son rapport. Il y recommande essentiellement de conserver en son état la loi votée en 2000, tout en signalant un certain nombre de modifications mineures qui pourraient y être apportées. C’est d’ailleurs le sens du rapport rendu public, au nom du gouvernement canadien, par le titulaire du ministère de l’Industrie qui avait porté cette loi sur les fonds baptismaux en 2000: la loi va subir l’épreuve du temps, dit en substance le Ministre. Au sujet des modifications proposées par le Comité de la Chambre des Communes, le gouvernement s’engage à lancer des consultations dans plusieurs milieux, y compris auprès de la Commissaire à la protection de la vie privée, en vue de cimenter un consensus à ce propos. En 2003, le gouvernement décidait de réexaminer la pertinence de la séparation administrative et législative des régimes lois sur l’accès à l’information et sur la protection de la vie privée. Dans chacun des États de la fédération, ces deux régimes sont fusionnés à l’instar du précédent établi par le Québec, en 1982. Au terme d’une étude où il a entendu les témoignages d’experts, de hauts fonctionnaires et de représentants de la société civile, l’Honorable Gérard La Forest, ancien juge à la Cour suprême du Canada, a recommandé le statu quo. La Commissaire à la protection de la vie privée demeure donc une entité autonome responsable du contrôle des lois sur la protection des renseignements personnels dans les secteurs public et privé.

En 1982, au moment de l’adoption de la Loi sur la protection des renseignements personnels, le législateur s’était engagé à en revoir la pertinence, dès la fin d’une période de cinq ans. Parole fut tenue, dès 1987 : un comité de la Chambre a consacré plusieurs séances à étudier cette loi qui faisait encore figure de document novateur en Occident. En raison de diverses circonstances, aucune suite ne fut donnée à ces travaux.

Voilà peu, en fait à l’automne 2005, les députés membres du Comité responsable du suivi du dossier des renseignements personnels ont repris le flambeau. À son invitation, la Commissaire à la protection de la vie privée a produit, dès 2006, un rapport détaillé en vue d’amorcer concrètement les travaux des parlementaires. Dès avril 2008, elle a déposé un autre rapport où elle proposait 10 modifications à la Loi sur la protection des renseignements personnels de 1982.

Tous ces documents illustrent la nécessité de mettre à jour une loi qui porte l’empreinte d’un quart de siècle. La Commissaire assied sa démonstration sur les changements majeurs qui aujourd’hui hypothèquent, d’une certaine façon, la protection des renseignements personnels. Des changements d’ordre technologique, certes, mais aussi des problèmes inédits provoqués par les événements des dernières années, dont les attentats du 11 septembre 2001 : voilà la toile de fond d’une nécessaire remise à jour de la loi de 1982.

En fait, les travaux du comité de la Chambre des Communes se sont rapidement concentrés sur la série des 10 modifications dont la Commissaire à la protection de la vie privée a elle-même souhaité voir l’adoption rapide par le Parlement canadien. Dans l’attente d’une refonte en profondeur de la loi, ces mesures permettraient de faire face aux défis les plus urgents en matière de protection des renseignements personnels. Elles découlent toutes des problèmes éprouvés, au fil des années, dans la mise en œuvre des principes relatifs à la protection des droits des citoyens dans ce domaine.

À la faveur de ses séances, le comité a déjà entendu les témoignages de hauts fonctionnaires du gouvernement fédéral, d’experts en matière de protection des renseignements personnels, d’anciens Commissaires de provinces canadiennes, le Ministre de la Justice, de représentants du Barreau du Canada, de la Gendarmerie royale du Canada, du Secrétariat du Conseil du trésor, pour ne citer que ceux-là. La Commissaire à la protection de la vie privée du Canada et des membres de son bureau sont intervenus à plusieurs reprises devant le Comité.

Le comité devrait achever ses travaux à la reprise de la session, à la fin de l’été, et vraisemblablement déposer un rapport d’ici quelques mois. Bref, dans un cas comme dans l’autre, la révision, par le comité de la Chambre des Communes, des deux lois de protection des renseignements personnels a mobilisé un nombre important de représentants des principaux secteurs de la société canadienne.

4.3 Au Québec

En juin 2006, l’Assemblée nationale adoptait une importante révision des deux lois qui structurent la protection des renseignements personnels, dans les secteurs public et privé^{Note de bas de page 102}. Pareille démarche n’avait été menée à terme qu’une seule fois, en 1987, conformément d’ailleurs à la loi de 1982 qui en prévoit expressément l’examen quinquennal par le Parlement. La loi sur le secteur privé, entrée en vigueur en 1994, est assortie d’une disposition analogue tout aussi impérative.

En 1992 et en 1997, l’Assemblée nationale avait certes été saisie du rapport élaboré par la Commission d’accès à l’information qui, conformément à la loi, enclenche le processus de révision quinquennale. Dans les deux cas, diverses circonstances, dont la tenue d’élections, avaient signifié l’arrêt du processus et empêché de respecter l’intention du législateur. C’est finalement sur la base du rapport intitulé «Une réforme de l’accès à l’information : le choix de la transparence»^{Note de bas de page 103}, déposé en 2002, qu’a été lancé et achevé cet examen systématique de la Loi sur l’accès aux documents du secteur public et la protection des renseignements personnels (1982) et de la Loi sur la protection des renseignements personnels dans le secteur privé (1993).

La Commission d’accès à l’information du Québec (CAI) a élaboré ce dernier rapport à la lumière des leçons dégagées au fil des années dans ses activités de contrôle. Elle a également puisé dans les changements intervenus dans d’autres États. Son rapport vise les deux dimensions jumelées par le législateur, accès à l’information et protection des renseignements personnels. Près d’une quinzaine des 53 recommandations élaborées par la Commission d’accès à l’information portent précisément sur la protection des renseignements personnels, secteurs public et privé confondus.

À l’automne 2003, la Commission de la culture de l’Assemblée nationale a engagé une première série de consultations. Pas moins de 45 personnes et organismes ont déposé des mémoires auprès de l’Assemblée nationale pour établir leur position à l’égard des recommandations formulées par la Commission d’accès à l’information. À la faveur de séances publiques qui se sont échelonnées sur plusieurs journées, les membres de la Commission de la culture de l’Assemblée nationale ont entendu les témoignages de 37 personnes et porte-parole d’un organisme, d’un ministère ou d’une entreprise.

Sont ainsi intervenus, devant la Commission de la Culture, l’Association canadienne des compagnies d’assurance, l’Association des établissements de santé du Québec, l’Association des témoins spéciaux du Québec, le Collège des médecins, Option consommateur, SOS Déchets et le Groupe d’Enviro-action, le Conseil de Presse, le quotidien La Presse, la Commission des syndicats nationaux, l’Association de l’accès et la protection de l’information, la Protectrice du citoyen, la Fédération des établissements d’enseignement privé et un certain nombre d’experts indépendants. Cette liste s’allonge encore. Elle témoigne de l’intérêt suscité par cette démarche dans un très grand nombre de secteurs au Québec.

Au terme de cette ronde de consultation, la Commission de la Culture a remis, en mai 2004, son rapport assorti d’un jeu de 24 recommandations. Quinze mois plus tard, le ministre responsable de l’application de ces deux lois déposait devant l’Assemblée nationale un projet de loi modelé à la suite de ces consultations publiques.

S’est alors engagée, en septembre 2005, une autre série de consultations publiques, toujours sous l’égide de la Commission de la Culture de l’Assemblée nationale. En tout et partout, quelque 27 témoins ont fait part publiquement de leurs réactions aux intentions ministérielles. Il s’agit, grosso modo, des mêmes personnes et porte-parole qui s’étaient présentés devant les députés lors des consultations précédentes. Le suivi était donc assuré de façon concrète par les milieux intéressés ou concernés.

Enfin, à l’hiver 2006, la nouvelle mouture du projet de loi – dit projet 86 – revenait devant l’Assemblée nationale pour s’inscrire dans le parcours législatif traditionnel : lectures en séance plénière, étude du projet de loi dans le détail en séances de commission et finalement adoption, en juin 2006, par l’Assemblée, du projet ainsi peaufiné une ultime fois.

L’Assemblée nationale a visiblement préféré inscrire dans la continuité la remise à jour de ces deux lois qui ont marqué, à leur façon, des précédents en matière de protection des renseignements personnels sur le continent nord-américain. Les deux lois originales ont subi des changements appréciables, rien cependant qui en modifie l’esprit général. Elles ont été modifiées pour tenir compte des changements intervenus aussi bien dans le domaine technologique que dans l’environnement international. C’est ainsi qu’obligation est maintenant faite aux entreprises de prendre toutes les mesures pour assurer aux renseignements personnels une protection analogue avant le transfert de ces derniers dans un autre État^{Note de bas de page 104}. Cette disposition répond ainsi à l’internationalisation des flux de renseignements personnels à l’ère de la mondialisation.

En somme, la révision des lois de protection des renseignements personnels, dans ces trois systèmes politiques, s’avère nécessaire. Il s’agit en fait d’un processus complexe en raison de la sensibilité des principes et intérêts en cause.Les organismes de contrôle – Ombudsman du Nouveau-Brunswick, Commissaire à la protection de la vie privée du Canada et Commission d’accès à l’information du Québec – jouent un rôle majeur à toutes les étapes de la révision parlementaire de la ou des lois qui assurent la protection des renseignements personnels.

Enfin, on doit également signaler l’importance de l’implication, dans ce processus, de la société civile, des représentants du secteur privé et aussi des experts.

5. En guise de conclusion provisoire

Le cheminement du Canada, du Québec et du Nouveau-Brunswick en matière de protection des renseignements personnels est tributaire à la fois de circonstances particulières et d’une tradition institutionnelle. La mise en place de lois d’accès à l’information et le développement de l’informatique se profilent à l’arrière-plan des décisions arrêtées par les Parlements du Canada et des deux états fédérés.

Trois régimes ont ainsi été mis en place dans chacun de ces systèmes politiques. Ils souscrivent aux caractéristiques fondamentales des législations implantées en Occident depuis le milieu des années 70. Chacune des trois lois adoptées à Ottawa, Québec et Fredericton, ainsi que les trois organismes de contrôle institués en vertu de ces législations, traduisent une culture politique particulière.

Depuis leur implantation respective, ces régimes se sont façonnés et ont développé des pratiques qui répondent aux objectifs fondamentaux de la protection des renseignements personnels. Ils ont imaginé des procédures qui les caractérisent et, à certains aspects, les distinguent les uns des autres. En un mot, ces innovations législatives et institutionnelles s’intègrent au modèle façonné, au fil des décennies, dans l’un et l’autre milieux.

L’adaptation de ces régimes aux conditions nouvelles représente sans doute l’un des enjeux les plus complexes auxquels sont confrontés et les responsables des organismes de contrôle et les législateurs eux-mêmes. Les problèmes éprouvés dans la mise en œuvre de ces législations soulèvent des questions importantes et exigent des réponses, des adaptations.

L’ampleur et la vitesse des changements imprimés par le développement des technologies de l’information ajoutent à la complexité de la protection des renseignements personnels. La circulation des données personnelles s’inscrit dans un contexte où les frontières ne représentent plus aucune entrave ou frein. Elle est partie intégrante du phénomène de mondialisation dont les impacts sont multiples et majeurs en matière de protection des renseignements personnels.

Comment tenir compte des défis considérables que dresse, par exemple, la hantise du terrorisme international? Comment concilier mesures de sécurité et respect des libertés individuelles dont procède la protection de la vie privée et des renseignements personnels? Comment répondre aux exigences de certains pays, à commencer par les États-Unis, qui multiplient les demandes de renseignements personnels, précisément pour des motifs de sécurité?

Les questions du genre s’additionnent, ce qui constitue autant de défis au respect des principes de base de la protection des renseignements personnels. Plusieurs voix se sont déjà élevées en faveur de l’adoption d’instruments internationaux de portée contraignante en vue d’assurer une authentique protection aux renseignements et données qui constituent l’un des attributs de toute personne.

Dans l’immédiat, certains États sont sollicités par leur propre société ou encore fortement incités par des organisations internationales à se doter de législations de protection des renseignements personnels. Politiques, juristes, représentants de la société civile puiseront normalement dans le réservoir de leurs propres habitudes et traditions. Ils pourront aussi s’inspirer des expériences, des initiatives, du bilan enregistrés dans d’autres pays qui les ont précédés dans cette voie.

Depuis que le Canada, le Québec et le Nouveau-Brunswick ont souscrit à cet objectif, les recherches se sont développées, qui permettent de mieux apprécier la nature des défis à relever. Certaines organisations internationales ont précisé les bases juridiques des régimes de protection des renseignements personnels. Elles en ont étoffé les caractéristiques fondamentales.

Il y a un quart de siècle, les «autorités indépendantes», selon la nouvelle terminologie, avaient été lancées dans la fièvre de l’improvisation. De nombreuses questions surgissent toujours quand il s’agit de déterminer la nature et la portée des mandats éventuellement confiés à l’organisme de contrôle créé en vertu de ce régime. Doit-on le doter de pouvoirs de contrainte? Est-il préférable d’opter en faveur d’un mandat de recommandation, à la façon des ombudsmans?

Doit-on créer un régime qui fusionne tout à la fois l’accès à l’information et la protection des renseignements personnels, selon la tendance observée en Europe depuis quelques années?

En scrutant les cheminements de certains pays, en s’inspirant des initiatives menées dans les enceintes internationales, les promoteurs de la protection des renseignements personnels peuvent nourrir leurs questions de précédents et d’expériences. Ils peuvent étoffer leur démarche en puisant dans le cheminement parcouru par d’autres États. L’héritage culturel et la tradition institutionnelle vont nécessairement enrichir cette quête intellectuelle.

6. Pistes et balises

La lecture au second degré du cheminement du Canada, du Nouveau-Brunswick et du Québec en matière de protection des données personnelles permet de dégager un certain nombre de pistes ou de questions vraisemblablement utiles à ceux qui envisagent la mise en place de tels régimes dans leur propre pays.

La seule comparaison des modèles façonnés par le législateur dans chacun de ces cas amène une première constatation. À l’intérieur du système fédéral qu’est le Canada, coexistent des régimes législatifs légèrement différents, au moins sous certains aspects. C’est le cas notamment en ce qui a trait aux trois organes de contrôle en place à Ottawa, Fredericton et Québec. La nature et les pouvoirs de ces trois entités découlent de choix qui prennent racine dans une culture institutionnelle différente. Ces « autorités de contrôle » n’en visent pas moins le même objectif : assurer le respect des principes de la loi et concrétiser le droit de recours garanti aux citoyens, en fait à toute personne.

Dans cette même veine, l’examen comparatif des lois et des institutions mises en place dans ces entités de la fédération canadienne, comme dans les autres États engagés dans la protection juridique des renseignements personnels, peut tenir lieu de laboratoire, ou presque. Cet examen permet d’aligner une série de suggestions très concrètes à l’intention des dirigeants politiques, des administrateurs publics ou des émissaires de la société civile intéressés à s’engager dans cette voie. L’objectif est modeste, il se veut une contribution à l’effort de concertation mené sur tous les continents en vue d’assurer le respect de cette composante essentielle de la vie privée que constituent les renseignements personnels.

Avant de s’engager dans la rédaction des textes de loi, il parait judicieux de tenter de répondre aux questions élémentaires visant à cerner les objectifs et les modalités d’un éventuel régime de protection des renseignements personnels.

6.1 Des questions de base

Que doit viser ce régime?

En matière de renseignements personnels, les définitions les plus utiles semblent se ramener à l’énoncé de ce qui caractérise, bien et simplement tout à la fois, ces données, chiffres, symboles et caractéristiques qui permettent de distinguer une personne et de l’identifier. Sans doute, cette notion doit-elle se colorer, se nuancer des particularités qu’impose le milieu ou la société en question. L’objectif est de ratisser large et d’inscrire cette notion dans une démarche évolutive qui tient compte des changements technologiques. Une trop grande précision ne semble pas des plus pertinentes.

Qui doit être soumis à ce régime? Doit-on viser la globalité des organismes et entreprises qui colligent et utilisent des renseignements personnels?

La tendance générale milite en faveur de l’assujettissement systématique et immédiat des secteurs publics et privés. Des circonstances particulières, tout comme un jugement de sagesse ou de prudence, peuvent militer en faveur d’un mouvement en deux temps.

Comment assurer la protection de ces renseignements?

Cette question présente deux facettes. Il s’agit, d’une part, d’imaginer et de structurer les principes qui vont traduire les objectifs et la finalité du régime en voie de devenir. D’autre part, ces principes doivent à la fois s’inscrire dans l’esprit des lois de l’État et souscrire aux attentes convenues dans la plupart des législations. On s’efforcera d’utiliser un langage qui soit aisément compréhensible tout aussi bien au sein du secteur public que par les entreprises et organisations du secteur privé.

6.2 Des principes aux modalités

Il s’agit ensuite de dresser l’inventaire des modalités concrètes qui devront être mises en œuvre afin d’assurer à ces données la protection nécessaire. Ces modalités doivent découler directement des principes retenus et s’énoncer de façon simple et claire. Le danger est de verser dans la technicité. Ainsi, à titre d’exemple, peut-on, par exemple, s’inspirer du cycle de vie des renseignements personnels pour en dégager les problèmes et solutions qui se dressent successivement en matière de protection de ces données.

La définition des principes de base et l’énoncé des modalités peuvent certes miser sur l’expérience accumulée au cours des 35 ans ou plus qui ont vu apparaître et se multiplier les législations en ce domaine, d’abord en Europe occidentale et en Amérique du Nord, puis dans de nombreux États répartis sur l’ensemble de la planète. En fonction des objectifs visés, différentes législations pourront susciter des initiatives qui tiennent compte des réalités et pratiques du milieu. Le réservoir d’expériences actuellement disponibles favorise une démarche comparative large.

Ainsi, un regard, même superficiel, sur les lois adoptées au Canada, au Québec et au Nouveau-Brunswick mène à des pistes intéressantes en ce qui a trait à l’architecture de pareil édifice légal. Ces lois s’articulent autour de quatre objectifs :

• la définition des droits conférés aux citoyens ou à toutes les personnes qui pourront bénéficier de cette loi;
• l’énoncé et l’explicitation des devoirs et responsabilités qui incombent aux détenteurs des renseignements personnels;
• la création d’un organe de contrôle qui reçoit mandat d’assurer le respect effectif des droits conférés aux personnes;
• les droits de recours reconnus à ces mêmes personnes.

Impossible de ne pas tenir compte encore aujourd’hui des orientations, des pistes dessinées il y a plus d’un quart de siècle par le Conseil de l’Europe et par l’OCDE. Les lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, publiées en 1980 par l’OCDE, et la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite convention 108 du Conseil de l’Europe, obligent de revenir à l’essentiel, aux fondements consensuels de la protection des renseignements personnels. Tous y trouveront leur profit : les politiques motivés par la mise au point de régimes efficaces et simples; les juristes en quête de «comparables» ou de modèles de référence; les organisations de la société civile à la recherche de projets concrets et stimulants qui répondent à leurs attentes.

6.3 L’autorité de contrôle

Cet édifice légal doit évidemment être chapeauté par un organisme de contrôle qui, entre autres mandats, assure aux citoyens un recours à la suite de problèmes, de litiges avec les détenteurs de renseignements personnels. Cet organisme doit refléter l’esprit qui a présidé à la structuration de l’appareil public global. Une tendance très majoritaire favorise le rattachement au Parlement, de cette «autorité indépendante», selon le terme qui fait maintenant consensus. Le statut doit être dessiné en fonction des objectifs et pouvoirs qui lui seront attribués au sein de l’administration publique, au sens large, et à l’égard du secteur public. Les organismes mis en place dans différents États, y compris au Canada, témoignent de cette recherche d’harmonisation, de «congruence», selon l’expression utilisée en sciences sociales.

Les trois exemples canadiens mettent en lumière l’une des questions qui nourrissent encore les débats lorsqu’il s’agit de mettre en place une telle agence ou organisme de contrôle. Est-il préférable de miser sur l’autorité morale, sur le pouvoir de persuasion, comme l’ont fait le Parlement fédéral du Canada et l’Assemblée législative du Nouveau-Brunswick? Doit-on, au contraire, à l’instar de l’Assemblée nationale du Québec, investir cet organisme d’un pouvoir qui lui permette d’émettre des ordonnances, de contraindre en quelque sorte les entités publiques ou les entreprises du secteur privé qui enfreignent les principes, modalités et exigences de la loi ? Est-il nécessaire de désigner un agent de contrôle spécialisé en matière de protection des données? Doit-on dissocier protection des données et protection de la transparence chez les autorités publiques ? Ces deux fonctions peuvent-elles être assumées par un agent de contrôle parlementaire généraliste, tel un ombudsman parlementaire, une commission des droits de la personne ou un vérificateur général?

Un tel organe de contrôle doit surtout bénéficier d’un réel statut d’autonomie, voire même d’indépendance par rapport aux autres composantes du système politique et être perçu comme tel. Cette question a fait l’objet d’examen systématique au sein de diverses instances internationales depuis le début des années 1990. Les « Principes de Paris »^{Note de bas de page 105}, entérinés dans une résolution de l’Assemblée générale des Nations-Unies en 1993, visent l’ensemble des «institutions nationales pour la protection et la promotion des Droits de l’Homme»; ils constituent en quelque sorte la pierre d’assise des réflexions subséquentes^{Note de bas de page 106}

C’est dans ce sillage que le Conseil de l’Europe a récemment inscrit une disposition explicite dans un protocole de la convention 108. De même, la directive de 1995, adoptée par l’Union européenne, insiste sur la nécessité d’assurer à ces autorités de contrôle une «complète indépendance». La Charte des droits fondamentaux de l’Union européenne considère l’octroi d’un réel statut d’indépendance comme condition essentielle à la mise en œuvre d’un authentique régime de protection des renseignements personnels.

6.4 Technologie, mondialisation et coopération

Enfin, les démarches en vue de la création d’un régime de protection des renseignements personnels doivent s’enrichir d’une vision qui porte au-delà des frontières et qui soit ouverte au changement.

Les flux de la mondialisation exacerbent les échanges de renseignements personnels. Les multinationales ignorent les frontières. Des impératifs de sécurité sont invoqués par les gouvernements qui veulent en savoir davantage sur les citoyens-voyageurs. Les régimes de protection des renseignements personnels de la fin des années 2000 doivent intégrer cette dimension et tenter d’en minimiser l’impact sur la vie privée. À cet égard, les travaux menés à la faveur des rencontres annuelles de responsables des autorités de contrôle jettent des pistes et suggèrent des formes de dialogue international pour tenir compte de ces tendances.

Les progrès de la technologie, particulièrement dans le domaine de l’information et des communications, bousculent les certitudes du moment. Ils représentent surtout un défi majeur au maintien d’un niveau appréciable de protection des renseignements personnels. Il parait cependant sage et judicieux d’éviter d’associer une législation à une phase ou l’autre du développement technologique.

Le lancement de chantier juridique en vue de l’établissement de régimes de protection des renseignements personnels va inévitablement figurer à l’ordre du jour de certains États. C’est ici que se profile la possibilité d’une coopération active et vigilante entre les artisans de pareille démarche et les diverses autorités de contrôle en place au sein de la Francophonie. Des projets utiles et novateurs pourraient émerger de cette concertation qui mise sur une communauté de destin.

---

Annexe 1

Commission d’accès à l’information du Québec

La Commission d’accès à l’information (CAI) est l’organisme de contrôle institué en 1982 par la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels. La CAI a pour mission de régler les litiges en matière d’accès aux documents des organismes publics ou en matière de renseignements personnels dans le secteur public. De plus, depuis l’adoption de la Loi sur la protection des renseignements personnels dans le secteur privé en 1993, la CAI exerce les mêmes responsabilités à l’égard du secteur privé en ce qui a trait aux renseignements personnels.

Tableau 1 – Commission d’accès à l’information du Québec

	Données de base
Population desservie	7 651 500 h.
Encadrement administratif	Un Président, chargé de la direction et des affaires de la Commission, avec l’aide d’au moins quatre Commissaires et d’un Secrétaire.
Lois administrées	Loi sur l’accès aux documents des organismes publics et sur protection des renseignements personnels (L.R.Q., Chap. A-2.1) Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., c. P-39.1)Extraits du Code civil du Québec, articles 35 à 41 (L.Q., 1991, c. 64).Et certaines autres lois sectorielles.

Tableau 2 – Missions de la Commission d’accès à l’information du Québec

	Description
Fonction juridictionnelle	Examine les demandes de révision en vertu de la Loi sur l’accès et les demandes d’examen de mésententes faites en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé; après examen indépendant, rend, à la suite d’une audience, une décision exécutoire pouvant être portée en appel devant la Cour du Québec, sur toute question de droit ou de compétence; peut confier à l’un de ses médiateurs le mandat de tenter d’amener les parties à une entente.
Fonction de surveillance	Surveille l’application, le respect et la promotion de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé; peut, de son propre chef ou à la suite d’une demande ou d’une plainte en ce sens, faire enquête sur l’application et sur l’observation de ces deux lois; peut émettre, au terme d’une enquête, une ordonnance ou formuler des recommandations; autorise une personne ou un organisme à recevoir des renseignements personnels sans le consentement des personnes concernées dans un but d’étude, de recherche ou de statistique; donne des avis sur des projets d’entente de transfert de renseignements personnels et établit les règles de tenue de registre de communications de renseignements personnels.
Conseil	Donne, à la demande du ministre responsable de ces deux lois, des avis sur des projets de loi et de règlements ayant un impact sur l’accès à l’information ou la protection des renseignements personnels; favorise la transparence en intervenant au sujet de l’application de la loi en ce qui a trait à la diffusion, dans un site internet, de renseignements ou de documents accessibles en vertu de la loi.
Sensibilisation	Organise des conférences sur la transparence, et sur le respect de la vie privée; renseigne le public sur les lois et les questions concernant l’accès à l’information et la protection des renseignements; participe aux événements dont les enjeux (biométrie et surveillance par caméra) touchent la protection des renseignements personnels.

accès à l’information532 (24%)

Tableau 3 – Commission d’accès à l’information du Québec, données (2007-2008)

	Données
Population	7 651 500 h.
Budget total (moins le poste loyer)	3 611 031 $
par million de population	471 937 $
ETC total	45
par million de population	5,8
Nombre de dossiers réglés	2207
par million de population	288
protection des renseignements personnels	1633 (74%)
champs d’intervention non-identifié	42
visant le secteur public	1328 (60%)
visant le secteur privé	829 (37%)
secteur non-identifié	50 (3%)

Annexe 2

Commissaire à la protection de la vie privée du Canada

À la fois ombudsman et éducateur, le ou la Commissaire à la protection de la vie privée du Canada joue un rôle fondamental dans le respect des lois canadiennes relatives à la protection des renseignements personnels depuis 1977.

Assistée de deux commissaires adjoints, elle répond aux plaintes des citoyens concernant le secteur public fédéral (Loi sur la protection des renseignements personnels – 1982) et le secteur privé (Loi sur la protection des renseignements personnels et les documents électroniques – 2000). Le règlement de ces plaintes s’opère le plus souvent par la négociation et les discussions persuasives, mais peut également passer par l’intervention de la Cour fédérale, si la médiation et la conciliation échouent. La Commissaire a de plus un rôle de suppléance dans les provinces où la législation n’aurait pas encore prévu la protection des renseignements personnels dans le secteur privé.

Tableau 1 – Commissaire à la protection de la vie privée du Canada

	Données de base
Population desservie	33 311 400 h.
Encadrement administratif	Une Commissaire et deux Commissaires adjoints – un pour l’application de la loi sur le secteur public (LPRP), l’autre pour la loi sur le secteur privé (LPRPDE). Mise en place également d’un Comité consultatif externe.
Lois administrées	Loi sur la protection des renseignements personnels (L.R., 1985, ch. P-21) – Public. Loi sur la protection des renseignements personnels et les documents électroniques (2000, ch. 5) – Privé.

Tableau 2 – Missions de la Commissaire à la protection de la vie privée du Canada

	Description
Ombudsman	Enquête sur les plaintes déposées par des citoyens, ainsi que sur des incidents liés à la protection des renseignements personnels; agit en tant que médiatrice entre les plaignants et les organismes; formule des recommandations; représente le Commissariat et/ou le citoyen dans les litiges devant les tribunaux supérieurs.
Surveillance	Effectue des vérifications auprès des organisations afin d’évaluer la façon de se conformer aux lois, ainsi que des analyses; examine les rapports « Évaluation des facteurs relatifs à la vie privée » (Privacy Impact Assessment) qui lui sont présentés pour cerner les risques potentiels d’atteinte à la protection des renseignements personnels;
Conseil	Effectue des recherches sur les enjeux relatifs à la protection de la vie privée et le recours aux NTIC; agit en tant que conseiller du Parlement fédéral, plus particulièrement du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique; mène des consultations auprès des ministères et agences et intervient devant des comités parlementaires; coopère avec des pays étrangers.
Sensibilisation	Sur un mode pédagogique, se concentre sur les conseils stratégiques et sur la sensibilisation du grand public.

Tableau 3 – Commissaire à la protection de la vie privée du Canada, données (2007-2008)

	Données
Population	33 311 400 h.
Budget total	17 130 181 $
par million de population	514 244 $
ETC total	110
par million de population	3,3
Nombre de dossiers réglés	1300
par million de population	39
visant le secteur public	880 (67,7%)
visant le secteur privé	420 (32,3%)

Annexe 3

Bureau de l’Ombudsman du Nouveau-Brunswick

L’Ombudsman du Nouveau-Brunswick, en tant qu’agent indépendant de l'Assemblée législative, est l’autorité qui, en vertu de la Loi sur le droit à l’information de 1978, et de la Loi sur la protection des renseignements personnels de 2001, étudie les plaintes en matière d’accès à l’information et de protection des renseignements personnels. Ces plaintes peuvent viser les ministères, les districts scolaires, les corporations hospitalières, les municipalités, et les autres organismes relevant du gouvernement.

L’Ombudsman peut mener des enquêtes et examens indépendants sur le refus d’un ministère ou d’un organisme gouvernemental de communiquer des renseignements aux citoyens. Ces examens sont menés en privé. L’Ombudsman détient un pouvoir de recommandation, et non pas un pouvoir d'émettre des ordonnances exécutoires.

Le Nouveau-Brunswick ne s’est pas doté d’une loi pour régir la protection des renseignements personnels dans le secteur privé. La Loi sur la protection des renseignements personnels et les documents électroniques, édictée par le Parlement fédéral, s'applique donc à tous les organismes commerciaux et privés de la province.

Tableau 1 – Bureau de l’Ombudsman du Nouveau-Brunswick

	Données de base
Population desservie	729 997 h.
Encadrement administratif	Un Ombudsman, qui est également Défenseur des enfants et de la jeunesse, entouré d’une équipe d’enquêteurs et de conseillers juridiques.
Lois administrées	Loi sur le droit à l’information – 1978 Loi sur la protection des renseignements personnels – 2001

Tableau 2 – Missions du Bureau de l’Ombudsman du Nouveau-Brunswick

	Description
Ombudsman	Enquête sur les plaintes déposées par des citoyens, ainsi que sur des incidents liés à l’accès à l’information ou à la protection des renseignements personnels; formule des recommandations; représente le citoyen dans les litiges devant les tribunaux supérieurs.
Conseil	Effectue des recherches sur les enjeux relatifs à l’accès à l’information et à la protection de la vie privée; soutient l’élaboration des politiques du gouvernement.
Sensibilisation	Mise sur la prévention par un site web sur lequel figurent de nombreuses informations : guides, rapports, statistiques.

Tableau 3 – Bureau de l’Ombudsman du Nouveau-Brunswick, données (2007-2008)

	Données
Population	729 997 h.
Budget total	1 315 000 $
par million de population	1 801 377 $
ETC total	13 personnes, dont 2 à temps partiel
par million de population	17,2
Nombre de dossiers réglés	98
par million de population	134,2
accès à l’information	57
protection des renseignements	41

Repères bibliographiques^{Note de bas de page 107}

Le Nouveau-Brunswick

Bernard Richard, Ombudsman (2007) - Un regard profond et neuf : Propositions pour un code sur les droits à l’information et à la protection des renseignements personnels pour le Nouveau-Brunswick (Mémoire soumis au groupe de travail sur la révision du droit à l’information et la protection des renseignements personnels), Fredericton : 35 pages.

Bureau de l’Ombudsman (2008) – Enquête sur la perte des renseignements personnels par le Ministère de la Santé – Cartouches des données de facturation de l’assurance-maladie, Fredericton : NBPPIA – 2008 -01, 14 pages.

Groupe de travail du Gouvernement du Nouveau-Brunswick sur le partage des données et la protection des renseignements personnels (1994) - La protection de la vie privée dans un contexte de partage de l’information : Rapport du Groupe de Travail du Gouvernement du Nouveau Brunswick sur le partage des données et la protection des renseignements personnels, Fredericton.

Groupe de travail sur la révision du droit à l’information et de la protection des renseignements personnels (2007) – Rapport final sur la révision du droit à l’information et de la protection des renseignements personnels, Fredericton : 52 pages.

Nouveau-Brunswick (1998) – Loi sur la protection des renseignements personnels, Chapitre P-19.1.

Le Canada

Chambre des Communes, Canada (2007) – Examen prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents électroniques (Quatrième rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique), Ottawa, 76 pages.

Colin J. Bennett (1990) – The formation of a Canadian privacy policy: the art and craft of lesson-drawing, Administration publique du Canada, vol 33, no 4 (Winter), p. 551- 570.

Colin J. Bennett (2003) – The Privacy Commissioner of Canada: Multiples roles, diverses expectations and structural dilemmas, Revue d’administration publique du Canada,
vol 46 no 2 (Summer).

Commissariat à la protection de la vie privée du Canada (2008) – Tracer le chemin (Principaux développements au cours des sept premières années d’application de la Loi sur la protection des renseignements personnels et les documents électroniques, Ottawa,69 pages.

Commissariat à la protection de la vie privée du Canada (2008) – Modifications immédiates proposées à l’égard de la Loi sur la protection des renseignements personnels et les documents électroniques (Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique), Ottawa, 31 pages.

Commissariat à la protection de la vie privée du Canada (2008) – Vie privée- Rapport de vérification de la Commissaire à la protection de la vie privée du Canada – Examen des fichiers inconsultables de la GRC- Article 36 de la loi sur la protection des renseignements personnels, Ottawa, 43 pages.

David FLAHERTY (1989) – Protecting Privacy in Surveillance Societies : The Federal Republic of Germany, Sweden, France , Canada and the United States, Chapel Hill, University of North Carolina Press.

Gouvernement du Canada (2008) – Réponse du Gouvernement au Quatrième rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (Examen prévu par la loi, de la Loi sur la protection des renseignements personnels et des documents électroniques) : Ottawa, 12 pages.

Stephanie Perrin, Heather H. Black, David H. Flaherty and T. Rankin (2001) – The Personal information Protection and Electronic Documents Act: An Annoted Guide, Toronto, Irwin Law.

Le Québec

Paul-André Comeau et Maurice Couture (2003) – Accès à l’information et protection des renseignements personnels : le précédent québécois, Administration publique du Canada, vol 46, no 3, automne : pages 364 – 389.

Commission d’accès à l’information du Québec (1992) - Un passé éloquent, un avenir à protéger (Rapport sur la mise en œuvre de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels), Québec : 49 pages.

Commission d’accès à l’information du Québec (1997) – Vie privée et transparence administrative au tournant du siècle (Rapport sur la mise en œuvre de la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé), Québec, 169 pages.

Commission d’accès à l’information du Québec (2002) – Une réforme de l’accès à l’information : le choix de la transparence (RAPPORT SUR LA MISE EN ŒUVRE DE la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé), Québec : 184 pages et annexes.

Raymond Doray, François Charrette (2001) – Accès à l’information – loi annotée, jurisprudence, analyse et commentaires, Montréal, Éditions Yvon Blais : 2314 pages (2 vol.).

Lukasz Granosik (2008) – Loi sur la protection des renseignements personnels dans le secteur privé (Édition annotée – Législation, jurisprudence), Montréal, Éditions Yvon Blais : 196 pages.

Québec (province) Commission d’étude sur l’accès du citoyen à l’information gouvernementale et sur la protection des renseignements personnels (1981) – Information et liberté, Québec : 225 pages. (Connu sous le titre de Rapport Paré).

Assemblée nationale – Québec - Commission de la culture (2004) – Observations, conclusions et recommandations à la suite de la consultation générale et des auditions publiques à l’égard du document intitulé : Une réforme de l’accès à l’information : le choix de la transparence, Québec, 43 pages.