LA LOI SUR L'ACC

1
Marc Lafrance, directeurÈvelyne Racette,
conseillèreDirection du soutien en accès à
linformation et en protection des
renseignements personnels 10 mai 2001
2
La protection des renseignements personnels des
notions distinctes et complémentaires !
3
Objectifs de la présentation

• Présenter le plan daction gouvernemental
• Présenter une vue densemble des lois québécoises
  sur la vie privée et la protection des
  renseignements personnels (PRP).
• Distinguer les notions de respect de la vie
  privée, de protection des renseignements
  personnels et de sécurité
• Intégrer des préoccupations éthiques dans la
  conception, le développement et la gestion des
  sites Web
• Décrire les principes et les règles de PRP.
• Indiquer des pistes permettant de trouver des
  réponses à vos questions

4

• Le Plan daction gouvernemental
• sur la protection des renseignements personnels
  (PRP)

5
Orientations

• La protection des renseignements personnels doit
  être placée au plus haut niveau des
  préoccupations de tous les ministères et
  organismes gouvernementaux
• Tous les ministères et organismes gouvernementaux
  doivent prendre les dispositions nécessaires pour
  assurer la protection des renseignements
  personnels qui leur sont confiés par les citoyens
  québécois.

6
Les mesures à prendre

• Au niveau gouvernemental
• Le Comité interministériel relevant du
  Secrétariat général du Conseil exécutif.
• Le MRCI
• Création et animation d un réseau des
  responsables de la PRP
• Formation et sensibilisation
• Au sein des ministères et organismes
• Les Comité ministériels de protection des
  renseignements personnels présidés par le
  sous-ministre ou le président de lorganisme
• Désignation dun Responsable de la protection des
  renseignements personnels.
• Attentes signifiées au personnel par le
  sous-ministre ou président dorganisme -Reddition
  de compte
• La connaissance des lois, règlements et pratiques
  administratives reliés à la PRP privilégiée lors
  de la dotation des postes de chef déquipe ou de
  personnel dencadrement.

7
Le Comité interministériel de PRP
Composition du comité interministériel
Sous-ministredu ministère de la Justice
Sous-ministre du MRCI
PrésidentJean St-Jelais, S.G. du Conseil
Exécutif (C.E.). Responsable de la
coordinationGuy Turcotte, S.G.A. au ministère du
C.E.
Sous-ministre du ministère de la Culture et des
Communications
Président de la SAAQ
Secrétaire du Conseil du Trésor
8
Les comités ministériels de PRP
Composition des comités de PRP de chaque
ministère et organisme
Secrétaire Responsable de la protection des
renseignements personnels (RPRP)
Responsable de la sécurité de l'information
numérique (RSIN)
Responsable de la vérification interne
Président du comité Sous-ministre/ président de
l'organisme
Conseiller (ère)juridique
Autres personnes jugées utiles
9
Une personne clé à ne pas oublier...

• Le responsable de laccès et de la PRP
• a une responsabilité légale, il joue donc un rôle
  de première importance
• est un intervenant majeur lors de lévaluation
  des répercussions des projets sur la PRP et le
  respect de la vie privée
• joue un rôle conseil et décisionnel pour toute
  question liée au respect de la Loi sur laccès
  dans les projets liés aux technologies.
• Il doit être informé dès le début des projets

10
Le respect de la vie privée et la protection des
renseignements personnels un enjeu important
11
Top 10 des enjeux technologiques

• 2001
• Protection de linformation et contrôles
• Affaires électroniques
• Information électronique, financière et de
  gestion
• Protection des renseignements personnels
• Formation et compétences en technologie
• Reprise après sinistre
• Personnel compétent en TI
• Qualité du service
• Piste de vérification électronique
• Fournisseur de service dapplications

• 2000
• Affaires électroniques
• Protection de linformation et contrôles
• Formation et compétences en technologie
• Reprise après sinistre
• Grande accessibilité et résistance des systèmes
• Gestion et budgétisation des technologies
• Information financière électronique
• Problèmes reliés à Internet
• Bureau virtuel
• Protection des renseignements personnels

Source American Institue of certified Public
Accountants (AICPA) cité dans http//www.camagazi
ne.com/cica/camagazine.nsf/f2001-jan/articlesdefon
d
12
Pourquoi la protection des renseignements
personnels est-elle si importante ?

• Lautonomie, la liberté personnelle et le droit
  de contrôler linformation qui nous concerne,
  sont des valeurs fondamentales de toute société
  démocratique.
• Nous sommes tous personnellement concernés.

13
Pourquoi léthique dans les sites Web ?

• Léthique permet de nous recentrer sur
  lessentiel
• Le citoyen au centre de nos préoccupations
• Léthique permet de nous questionner
• Le développement est-il dans lintérêt du
  citoyen et du respect de ses droits fondamentaux
  dont celui à la vie privée ?

14
La loi sur laccès quelques éléments à retenir

• La Loi sur laccès est prépondérante à toutes les
  lois du Québec
• Tous les organismes publics y sont soumis
  (environ 3 600)
• Deux principes fondamentaux transparence de
  ladministration publique et protection des
  renseignements personnels (PRP).

15
Léquilibre entre deux principes
16
Quest-ce quun renseignement personnel ?

• Concerne une personne physique et permet de
  lidentifier
• Permet de reconnaître la nature de la personne,
  de la distinguer par rapport à une autre
• Doit faire connaître quelque chose concernant un
  individu à quelqu'un dautre

17
Renseignements personnels confidentiels et à
caractère public - exemples

• Renseignements personnels confidentiels
  (nominatifs)
• ------------------------------
• Renseignements liés à lidentité
• Caractéristiques dune personne
• Code postal à 6 positions
• Situation financière, salaire
• Numéro de dossier médical
• Numéro dasssurance-maladie
• Numéro dassurance-sociale
• État de santé physique ou mentale

• Renseignements personnels à caractère public
• --------------------------------
• Salaires (cadres, dirigeants)
• Échelle de traitement, classement dun employé
• Adresse et numéro de téléphone du lieu de travail
• Contrats de services
• Comptes de dépenses
• Nom et adresse du titulaire dun permis

18
Confidentialité des renseignements personnels et
dautre nature

• 1- Les renseignements nominatifs ou personnels de
  nature confidentielle.
• 2- L information dont laccès doit être refusé
  selon la Loi sur laccès.
• 3- L information dont laccès peut être refusé
  selon la Loi sur laccès.

19
La protection des renseignements personnels
cest ...
20
Respect de la vie privée, PRP et sécurité
RESPECT DE LA VIE PRIVÉE
Exigences légales CNLPRP ET RVP
Protection des renseignements personnels
Sécurité
Gestion des risques DICAI
21
En bref

• La sécurité de l'information est une notion
  distincte de la PRP.
• La PRP ne peut se réaliser sans des mesures de
  sécurité adéquates, toutefois, la sécurité ne
  peut à elle seule assurer la PRP.
• La sécurité de l'information ne fournit pas une
  assurance de confidentialité au sens de la Loi
  sur l'accès ou d'une autre loi. Un organisme
  public peut recueillir et communiquer des données
  à un tiers extérieur ou à des membres du
  personnel en toute sécurité et être dans une
  situation d'illégalité.

22
Comment assurer la PRP ?
Inventaire des renseignements personnels
Collecte et saisie
Archivage/ Destruction
Accès par le personnel
Détention/ Conservation
PRP
Utilisation/ traitement
Communication à des tiers
23
Les principes et les règles de PRP

• Responsabilité en matière de protection des
  renseignements personnels
• Tout renseignement personnel détenu
• Désignation dun responsable de laccès et de la
  PRP qui a lautorité légale pour prendre toute
  décision concernant lapplication de la Loi sur
  laccès.
• Confidentialité des renseignements personnels
• Le respect du caractère confidentiel des
  renseignements se traduit par le respect de
  lensemble des principes et des règles de PRP
  pour toute le cycle de vie de linformation (de
  la collecte à la destruction).
• Consentement de la personne
• Le consentement à la collecte, l utilisation ou
  la communication de renseignements personnels
  doit être libre, manifeste ou écrit, éclairé,
  spécifique et limité dans le temps. Il ne vaut
  que pour la durée nécessaire à la réalisation des
  fins pour lesquelles il a été demandé.

24
Les principes et les règles de PRP (suite)

• Anonymat des personnes
• La protection ultime des renseignements
  personnels consiste à les rendre anonymes. Toute
  personne concernée a droit à lanonymat.
• Dans tous les cas où il est possible datteindre
  les fins visées sans recourir à des
  renseignements permettant didentifier la
  personne, un organisme public devrait toujours
  privilégier la collecte, laccès, lutilisation
  ou le traitement ainsi que la communication de
  renseignements sous forme anonyme.
• Détermination des fins de la collecte de
  renseignements
• Un organisme public doit, avant la collecte,
  déterminer les fins pour lesquelles des
  renseignements personnels sont recueillis.

25
Les principes et les règles de PRP (suite)

• Limitation en matière de collecte
• Un organisme public doit limiter la collecte des
  renseignements personnels. Il ne doit recueillir
  que les renseignements personnels nécessaires à
  lexercice des ses attributions ou à la mise en
  œuvre dun programme dont il a la gestion.
• Recours à des moyens licites et légaux
• Un organisme public doit recueillir des
  renseignements personnels par des moyens licites
  et légaux et éviter les intrusions non justifiées
  de la vie privée.
• Source des renseignements personnels
• Un organisme public devrait tenter, lorsque cela
  est possible, dobtenir les renseignements
  personnels directement auprès de la personne
  concernée.

26
Les principes et les règles de PRP (suite)

• Information de la personne lors de la collecte
• Un organisme doit informer la personne auprès de
  qui il recueille des renseignements (la personne
  concernée ou un tiers), des éléments suivants
• Nom et adresse de l'organisme
• Usage auquel ce renseignement est destiné
• Catégories de personnes qui auront accès à ce
  renseignement
• Caractère obligatoire ou facultatif de la demande
  
• Conséquences pour la personne ou pour le tiers
  d'un refus de répondre à la demande
• Droits d'accès et de rectification prévus par la
  loi
• Qualité des données
• Un organisme public doit prendre les moyens
  nécessaires pour assurer que les renseignements
  personnels quil recueille, utilise, rend
  accessible, communique et dispose sont exacts,
  complets et à jour en fonction des fins pour
  lesquelles ils ont
• été recueillis et des intérêts de la personne
  concernée.

27
Les principes et les règles de PRP (suite)

• Limitation de laccès par le personnel
• Les renseignements personnels ne sont
  accessibles, sans le consentement des personnes
  concernées, quaux membres du personnel dun
  organisme public qui ont qualité pour prendre
  connaissance des renseignements personnels
  lorsque ces renseignements sont nécessaires à
  lexercice de leurs fonctions.
• Limitation de l'utilisation ou des traitements
• Les renseignements personnels ne devraient pas
  utilisés ou traités à des fins autres que celles
  pour lesquelles ils ont été recueillis, à moins
  que la personne concernée n'y consente ou que la
  loi ne lautorise. Ils devraient être traités en
  conformité avec les autres principes de
  protection des renseignements personnels.
• Un organisme public devrait être en mesure de
  justifier le bien fondé et la légalité de tout
  traitement informatisé de renseignements
  personnels au regard des répercussions possibles
  sur les droits des personnes concernées.

28
Les principes et les règles de PRP (suite)

• Limitation de l'utilisation ou des
  traitements(suite)
• Toute personne a le droit dêtre informée des
  traitements des renseignements personnels qui la
  concerne et des finalités visées, sauf dans les
  cas dexceptions prévus par la loi. Aucune
  décision individuelle la concernant ne sera prise
  automatiquement sur la base d'un fichier sans
  quelle nen soit informée.
• Limitation de la communication à des tiers
• Les renseignements personnels ne peuvent être
  communiqués à des tiers sans le consentement de
  la personne concernée, sauf dans les cas prévus
  par la loi. Toute personne a le droit dêtre
  informée des communications de renseignements la
  concernant.

29
Les principes et les règles de PRP (suite)

• Garanties de sécurité
• Un organisme public doit prendre des mesures de
  sécurité nécessaires pour préserver en tout
  temps, et en conformité aux dispositions légales
  qui sappliquent, le caractère confidentiel des
  renseignements personnels, et ce, pour tout leur
  cycle de vie. (Directive du SET sur la sécurité
  numérique)
• Il doit prendre en compte le caractère sensible
  des renseignements et les répercussions possibles
  pour la personne dune divulgation non autorisée.
• Archivage et destruction
• Un organisme public doit assurer que les
  renseignements personnels sont détruits une fois
  que lobjet pour lequel ils sont recueillis est
  accompli, sous réserve de la Loi sur les Archives.

30
Les principes et les règles de PRP (suite)

• Accès aux renseignements personnels et
  rectification
• Un organisme public doit prendre les mesures
  nécessaires afin  
• - Dinformer les personnes concernées du nom et
  des coordonnées de la personne désignée
  responsable de laccès à linformation et de la
  protection des renseignements personnels
• - D informer les personnes de leurs droits
  daccès et de rectification des renseignements
  qui les concernent et de leurs droits de recours
  à la CAI
• - De permettre aux personnes concernées
  lexercice de ces droits en fonction de la Loi
  sur laccès.

31
Les principes et les règles de PRP (suite)

• Droits de recours (suite)
• Les personnes doivent être assurées que leurs
  plaintes sont traitées de façon équitable et
  efficace par lorganisme public.
• Toute personne bénéficie dun droit de recours
  auprès de la Commission daccès à linformation.
• Une personne ne doit pas être désavantagée pour
  avoir utilisé ses recours ou fait valoir ses
  droits en matière de respect de la vie privée ou
  de protection des renseignements personnel.

32
Assurer la PRP cest ...

• Accorder la première place à lintérêt du citoyen
  et à la protection de ses droits fondamentaux.
• Planifier, organiser et réaliser lensemble des
  activités qui permettent aux M/O dassurer ses
  obligations légales et ses responsabilités en
  matière de PRP.
• Un objectif stratégique à atteindre.

33
Des travaux en cours MRCI et SCT

• Orientations et lignes directrices
  gouvernementales sur la PRP et les technologies
  de linformation.
• Guide pratique de mise en application des
  orientations et des lignes directrices.

34

• Quelques questions et
• pistes de travail ...

35
Quelles questions lorsquon initie un projet
technologique.

• De quelle manière cette technologie
  améliore-t-elle le respect des valeurs
  fondamentales de liberté et dautonomie des
  personnes ?
• Quels sont les principaux facteurs de succès
  assurant que les principes et les règles de PRP
  sont actualisées par les chargés de projets et
  les fournisseurs ?
• Comment la vie privée des personnes peut-elle
  être le mieux protégée par cette technologie et
  les changements administratifs d'affaires qui en
  découlent ?
• En quoi ajoute-t-elle une valeur plus grande 
  au respect de vie privée et à la PRP des citoyens
  ?

36
Quelles questions (suite)

• La conformité aux normes légales de PRP est-elle
  définie comme un besoin daffaires et intégrée à
  titre de composante stratégique distincte de la
  sécurité ?
• Les principes et les règles de PRP sont-ils
  intégrés dans les orientations et les principes
  des projets ?
• Une évaluation préalable des répercussions de ces
  projets sur la vie privée et la protection des
  renseignements personnels est-elle prévue ?
• La conformité aux normes légales de PRP fait-elle
  lobjet dun bien livrable particulier ?
• La gestion de ce bien livrable est-elle intégrée
  dans la structure de gestion des projets ?

37
En résumé

• Lintérêt du citoyen et son bénéfice doivent être
  au cœur des préoccupations des M/O lors du
  développement des sites Web.
• Les sites Web sont des outils permettant aux M/O
  de soutenir les employés de la fonction publique
  afin dassurer aux citoyens des services de
  qualité dans le respect de leurs droits
  fondamentaux dont le droit à la vie privée.

38
En résumé (suite)

• Lors du développement des sites Web, les M/O
  sassurent de renforcer et de préserver la vie
  privée en prenant les mesures appropriées.
• La PRP dans les sites Web nest pas inconciliable
  avec lefficacité administrative.

39
Quelques références sur la PRP

• Avant-projet de Loi sur la normalisation
  juridique des nouvelles technologies de
  l'information. http//www.autoroute.gouv.qc.ca/ava
  nt-projet/
• Commission daccès à linformation du Québec.
  http//www.cai.gouv.qc.ca/
• Commissaire fédéral à la vie privée
  http//www.privcom.gc.ca/
• Industrie Canada-commerce électronique
  http//e-com.ic.gc.ca/francais/index.html
• Loi sur la protection des renseignements
  personnels et les documents électroniques.
  http//www.privcom.gc.ca/legislation/02_06_01_f.as
  p
• Loi sur l'accès aux documents des organismes
  publics et sur la protection des
  renseignementspersonnels. http//www.cai.gouv.qc.
  ca/loi.htm
• Loi sur la protection des renseignements
  personnels dans le secteur privé.
  http//www.cai.gouv.qc.ca/tabledes.htm
• Sites des commissaires à la vie privée.
  http//www.privcom.gc.ca/information/02_03_05_f.as
  p