La Commission d’accès à l’information (CAI) a finalement fait son nid : elle rend désormais publique la liste des organisations ayant fait des déclarations d’incidents de confidentialité quatre fois par an, sur son site internet.
Depuis septembre dernier, la Loi sur la protection des renseignements personnels oblige les organisations québécoises à déclarer tous les incidents de confidentialité qui les ont touchés à la Commission. Mais l’organisme a changé son fusil d’épaule deux fois sur l’opportunité de rendre publique la liste de ceux qui ont fait de telles communications.
Après des demandes d’accès à l’information ou à son service des médias, la Commission nous a fait parvenir à cinq reprises des listes d’organisations ayant fait des déclarations. Puis en avril, nous avons essuyé un premier refus.
« L’expérience démontre que la divulgation de détails au sujet d’un incident et parfois le simple fait de confirmer l’existence d’un incident de confidentialité peut nuire au traitement de l’incident par une entreprise ou un organisme public », arguait le directeur des communications de la CAI, Jorge Passalacqua, dans un courriel à La Presse.
Liste rendue publique
Cette décision intervenait après la publication d’articles dans La Presse divulguant le nom d’entreprises et d’entités publiques ayant subi des problèmes avec les données personnelles qu’elles manipulent.
L’article avait secoué les experts du renseignement personnel et mis de la pression sur la Commission pour accélérer sa réflexion sur le niveau de détails qu’elle rendrait publics sur ces déclarations.
Questionnées sur leurs communications d’incidents à la Commission, la plupart des organisations concernées avaient fourni des explications. D’autres, comme la Banque Royale, avaient refusé de fournir la moindre information.
Changement de cap
Le 25 mai, la CAI a finalement décidé de verser systématiquement la liste des organisations ayant déclaré des incidents sur une page de son site internet.
« Dans cette sous-section, la Commission diffusera systématiquement de l’information relative aux incidents de confidentialité qui lui sont déclarés, explique Jorge Passalacqua. La Commission diffusera ainsi, en ordre chronologique à compter du 22 septembre 2022, le nom des organisations ayant fait une déclaration d’incident de confidentialité et la date de réception de la déclaration par la Commission. »
Depuis l’automne dernier, 134 organisations ont déclaré des incidents de confidentialité à la CAI.
Consultez la liste des incidents déclarés à la CAI