• Choisissez votre site CBA:
  • National
  • Divisions
  • Alberta
  • Colombie-Britannique
  • Manitoba
  • Nouveau-Brunswick
  • Terre-Neuve-et-Labrador
  • Territoires du Nord-Ouest
  • Nouvelle-Écosse
  • Nunavut
  • Ontario
  • Île-du-Prince-Édouard
  • Québec
  • Saskatchewan
  • Yukon
  • ACCJE
English
Devenez membre
Logo ABC
search
menu

Revue de 2020 : une année remplie pour la C.A.I.

03 mars 2021

Revue de  2020 : une année remplie pour la  C.A.I.

La Commission d’accès à l’information (« CAI ») a eu un agenda chargé en 2020. En plus de publier de nouveaux guides sur les données biométriques1 et la réalisation d’une évaluation des facteurs relatifs à la vie privée2, tant la section juridictionnelle que la section de surveillance ont traité un nombre important de dossiers. Dans un domaine aussi évolutif que celui de la protection des renseignements personnels et de l’accès à l’information, il importe de se tenir à jour sur les nouvelles décisions significatives des organismes de réglementation. Le présent article offre un survol des décisions pertinentes rendues par la CAI au cours de la dernière année.

Biométrie

La CAI a rendu sa première décision importante en matière de biométrie, dans l’affaire Les 3 Piliers Inc. – dossier 1018507-S. La CAI s’est prononcée sur la légalité du projet de l’entreprise de constituer une banque de caractéristiques biométriques, par lequel l’empreinte digitale du client serait reliée à son dossier pour permettre la facturation par prélèvement automatique3.

La CAI confirme d’emblée que le code dérivé mathématiquement des images ou des empreintes biométriques constitue un renseignement personnel assujetti à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP »). L’entreprise devait ainsi démontrer (i) qu’il était nécessaire de recueillir les empreintes pour répondre aux objectifs poursuivis par son système, et la légitimité de tels objectifs, (ii) que l’atteinte au droit à la vie privée que cette collecte entraînait était proportionnelle à ces objectifs, et que les avantages reliés à ce système surpassaient une telle atteinte.

En l’espèce, l’entreprise avait comme objectif avoué de réduire son empreinte écologique, améliorer son expérience client et diminuer le temps de passage aux caisses. Relativement au premier objectif, la CAI note que l’entreprise a fait défaut de présenter les gains environnementaux réels reliés à l’implantation de son système. Le même constat est émis quant aux deux autres objectifs, alors que l’entreprise n’avait pas démontré que la fraude ou l’attente lors du paiement constituaient des problématiques réelles. La CAI conclut donc que l’entreprise n’a pas démontré la nécessité d’implantation de son système, et la présence d’objectifs légitimes, importants et réels.

Quant à la proportionnalité de l’atteinte, la CAI conclut également que cette condition n’est pas remplie. À cet égard, la CAI note que les empreintes digitales sont des caractéristiques particulièrement sensibles, et que leur collecte emporte une atteinte importante à la vie privée. Ainsi, une telle collecte, en lumière des objectifs poursuivis, est disproportionnée selon la CAI. Cette dernière a donc interdit à l’entreprise de mettre en service sa banque de caractéristiques biométriques.

Collecte de renseignements personnels

La CAI s’est également penchée sur la collecte des renseignements personnels, et elle a eu l’opportunité de rappeler l’importance du principe de la minimisation de la collecte.

Ainsi, la section de surveillance s’est penchée sur la question de la collecte des numéros de permis de conduire ou d’assurance sociale à des fins d’identification dans l’affaire impliquant la société Bell Mobilité4. Plus précisément, la CAI devait déterminer si ces identifiants pouvaient être recueillis par l’entreprise afin de prévenir la fraude, le vol d’identité, ou s’assurer de la solvabilité des individus. La CAI conclut que bien que cette collecte soit nécessaire pour permettre la prévention de la fraude et du vol d’identité, l’entreprise doit trouver un moyen alternatif à cette collecte compte tenu des risques d’atteinte que celle-ci entraîne (risques de malversations ou autres incidents de sécurité).

Dans un même ordre d’idées, dans le cadre d’une enquête portant sur l’émission d’une carte de membre par le Barreau du Québec, la CAI a conclu que le Barreau ne pouvait recueillir des copies de pièces d’identité à cette fin. La communication de photos, où un répondant attestait sous serment qu’il connaît le demandeur de la carte photo, est jugée suffisante par la CAI.

Privilège relatif au règlement

La CAI s’est également prononcée sur la question du privilège relatif au règlement, et son impact dans le contexte de demandes d’accès à l’information.

Dans la décision Belzile c. Ministère de la Sécurité publique (Sûreté du Québec)5, la CAI devait déterminer si ce privilège pouvait constituer un obstacle à une demande d’accès. Le demandeur s’était vu refuser l’accès à certains documents du Ministère de la Sécurité publique relatifs à des ententes conclues entre certains policiers et le Ministère suite à un processus d’enquête, et le dépôt de griefs relié aux mesures prises contre certains policiers dans le cadre de cette investigation. Le Ministère invoquait notamment comme motif de refus que ces documents étaient protégés par le privilège relatif aux règlements, puisqu’ils s’inscrivaient dans le processus de règlement des griefs. La CAI observe que le privilège n’empêche pas l’exercice du droit d’accès, et que cette règle d’exclusion de la preuve n’a pas préséance sur ce dernier. La CAI conclut donc que le motif de refus basé sur le privilège relatif au litige n’est pas recevable en l’instance. La décision fait présentement l’objet d’un appel devant la Cour du Québec6.

Il convient de noter que plusieurs décisions récentes de la CAI portant sur l’application du privilège relatif au règlement font présentement l’objet d’appels devant la Cour du Québec7. Par exemple, dans l’affaire Tilmant-Rousseau c. Office québécois de la langue française8, le demandeur avait soumis une demande d’accès afin d’obtenir notamment une copie d’une entente conclue entre l’Association canadienne du logiciel de divertissement et l’Office québécois de la langue française. Cette entente prévoyait la francisation progressive du contenu de jeux vidéo vendus par les membres de l’Association au Québec, et la mise en place de mesures visant à renforcer la présence du français dans les emballages et documentation relative aux produits. L’Association invoquait le privilège relatif aux règlements pour s’opposer à la communication de l’entente. La CAI a rejeté cette prétention, en concluant que ce privilège constituait une règle d’exclusion de la preuve, qui n’a pas préséance sur l’exercice du droit d’accès. Il sera donc pertinent de suivre l’évolution de cette jurisprudence quant à la question de l’impact du privilège relatif au règlement dans le contexte d’accès à l’information.

Application de la loi québécoise à une entreprise de juridiction fédérale

La CAI s’est également prononcée sur sa juridiction et l’application de la LPRPSP à une entreprise exerçant des activités de juridiction fédérale. Dans l’affaire D’Allaire c. Transport Robert (Québec) 1973 Ltée9, une entreprise de transport routier interprovincial arguait que la CAI n’avait pas juridiction pour examiner une demande d’examen de mésentente au motif que ses activités étaient de juridiction fédérale et que les demandes d’accès touchaient directement sa spécificité fédérale, soit l’encadrement et la gestion de ses dossiers d’employés. Elle soumettait à cet égard que les enjeux de relations et conditions de travail étaient sujets à la juridiction fédérale exclusive.

La CAI observe que l’entreprise, de par ses opérations interprovinciales, est effectivement de juridiction fédérale. Cependant, le décideur estime que l’application de la LPRPSP ne vise pas un élément essentiel et vital de l’entreprise, au point d’entraver la compétence fédérale en matière de transport ou de relations de travail. La CAI note que la LPRPSP est une loi d’application générale, visant indistinctement toutes les entreprises faisant affaires au Québec, et qu’elle n’a pas pour objet de régir ou de s’immiscer dans la gérance et les conditions de travail des employés. La doctrine de l’exclusivité des compétences10 ne peut donc pas s’appliquer dans le dossier selon la CAI. Finalement, l’entreprise soulevait que la LPRPSP entrait en conflit avec la Loi sur la protection des renseignements personnels et les documents électroniques11, émanant du législateur fédéral, à laquelle elle était assujettie. De ce fait, en vertu de la doctrine de la prépondérance fédérale12, le droit d’accès de la demanderesse ne pouvait découler de la LPRPSP. En l’espèce, la CAI soumet que l’entreprise n’avait apporté aucune preuve quant à une potentielle incompatibilité entre les deux lois. La CAI rejette donc le moyen préliminaire visant la question de sa compétence.

Incident relatif à la confidentialité des données

Enfin, la CAI a terminé l’année 2020 en rendant une décision fort attendue dans l’affaire impliquant l’incident de confidentialité survenu au sein de la Fédération des caisses Desjardins13. Suite à l’enquête menée par la direction de surveillance de la CAI, celle-ci a conclu que l’entreprise n’avait pas respecté plusieurs dispositions de la LPRPSP en ce qui a trait aux mesures de sécurité, à l’accessibilité des renseignements personnels, et à l’utilisation faite de ceux-ci.

Conclusion

En juin 2020, le législateur québécois a déposé le projet de loi 64, qui vise à moderniser le régime juridique de la province en matière de protection des renseignements personnels. Le projet de loi envisage plusieurs changements importants, notamment quant à la mise en place de politiques et pratiques, la création de nouveaux droits pour les individus et l’inclusion d’un processus de notification obligatoire en matière d’incident à la confidentialité des données. La CAI disposera également de nouveaux pouvoirs, notamment celui d’imposer des sanctions administratives. Ce tribunal administratif générera donc au cours des prochaines années de la jurisprudence sur des sujets nouveaux. Plus que jamais, il sera important de suivre l’évolution de ces décisions.

Justine Brien pratique au sein du groupe de litige civil et commercial au bureau de Langlois Avocats à Montréal. À ce titre, elle représente et conseille des organisations et des entreprises dans le cadre de litiges variés qui touchent notamment le droit bancaire, la responsabilité du fabricant, le droit de la consommation, et l’accès à l’information. Elle conseille également ses clients en matière de protection des renseignements personnels et protection de la vie privée.

Notes de page

1 Biométrie : principes à respecter et obligations légales des organisations – Guide d’accompagnement pour les organismes publics et les entreprises, disponible en ligne.

2 Guide d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée, disponible en ligne.

3 Dossier 1018507-S – para. 2.

4 Dossier 1005977-S.

5 2020 QCCAI 115.

6 Procureur général du Québec c, Belzile, dossier de Cour 500-80-040621-204.

7 2019 QCCAI 166, Appel 500-80-038920-196 ; 2019 QCCAI 175, Appel 700-80-010972-195.

8 2019 QCCAI 288, Appel 200-80-009621-192.

9 2020 QCCAI 152.

10 En vertu de laquelle le contenu essentiel des chefs de compétence exclusive prévus dans la Loi constitutionnelle de 1867 peut être protégé contre les effets d’une loi de l’autre ordre de gouvernement. En pareille circonstance, les dispositions contestées demeurent valides, mais sont inapplicables aux matières relevant du contenu essentiel de la compétence exclusive ; Transport Desgagnés Inc. c. Wärtsilä Canada Inc., 2019 CSC 58, au para. 90. 

11 L.C. 2000, ch. 5.

12 L’application de cette doctrine nécessite la preuve d’un conflit d’application ou d’intention entre la loi fédérale et la loi provinciale. La preuve d’une telle incompatibilité entraîne que la loi provinciale est déclarée inopérante dans la mesure du conflit ; Transport Desgagnés Inc. c. Wärtsilä Canada Inc., 2019 CSC 58, au para. 99.

13 Dossier 1020846-S.