Commission d’accès à l’information La présidente veut plus d’argent pour faire appliquer les nouvelles lois

Depuis les modifications aux lois sur la protection des renseignements personnels (« loi 25 »), un « incident de confidentialité » qui présente un « risque de préjudice sérieux » doit être rapporté à la Commission d’accès à l’information (CAI). Résultat : le nombre de signalements a bondi. Mais les moyens de l’organisme, eux, n’ont pas suivi, déplore sa présidente, en entrevue avec La Presse.

« Depuis le 22 septembre, on a reçu plus de 70 déclarations », dit Diane Poitras. Presque une chaque jour. À ce rythme, 346 signalements seront parvenus à la Commission en un an, soit quatre fois plus qu’en 2021. Une tâche énorme pour l’organisme, qui fêtait ses 40 ans cette année.

« C’est plate à dire, mais il y a un enjeu de ressources », relève la présidente.

Malgré les nouvelles exigences de la loi qu’elle doit faire appliquer, Québec n’a accordé à la Commission que le quart de ce qu’elle réclamait pour bien faire face à l’augmentation de sa charge de travail. « Pour l’année en cours, la hausse est de 1,5 million, pour atteindre 8,2 millions », dit Diane Poitras.

Trop peu, selon elle. Car l’explosion appréhendée pourrait même s’intensifier, à en croire la présidente, une vétérane de la CAI, qui a commencé à travailler comme avocate pour l’organisme en 1986, quand il n’avait que quatre ans d’existence.

Diane Poitras s’attend à ce que le rythme d’augmentation se compare d’ici un an à celui qu’a connu l’Office of the Information and Privacy Commissioner of Alberta. En 2018, cette province a commencé à exiger le signalement de toute violation de la confidentialité dans le domaine de la santé. « Ils ont vu une augmentation de 400 % des déclarations », illustre la présidente. Avec sa nouvelle Loi sur la protection des renseignements personnels et les documents électroniques, le Commissariat à la protection de la vie privée du Canada a quant à lui connu une hausse de 500 % des signalements.

Selon la CAI, elle aurait eu besoin de 5,9 millions de plus cette année, soit quatre fois plus de fonds supplémentaires que ce que lui a accordé Québec.

À partir de 2024-2025, quand toutes les nouvelles dispositions des lois sur la protection de la vie privée seront en vigueur, la Commission réclame 9 millions supplémentaires par an.

En fait, l’organisme aurait besoin de doubler son personnel par rapport à l’an dernier, pour un total de 156 employés, selon les chiffres communiqués lors de l’étude des crédits 2022-2023. À ce jour, elle n’en compte que 98.

Choisir ses priorités

Dans les circonstances, la CAI doit choisir ce qu’elle met au-dessus de la pile. « Notre enjeu principal, c’est de limiter les préjudices que subissent les citoyens », explique Diane Poitras.

Ce qui risque d’écoper, ce sont les initiatives spéciales de la Commission, comme l’enquête qu’elle a menée en 2020 sur la fuite massive d’informations personnelles chez Desjardins.

D’autant plus que de nouvelles dispositions entreront en vigueur en 2023. Entreprises et organisations publiques devront alors se doter de cadres plus stricts pour contrôler la récolte, la conservation et l’utilisation des renseignements personnels. L’organisme devra concevoir des guides pour les aider à observer les règles et se pencher sur leur conformité.

Des entreprises qui ne prennent pas de risques

Vu la hausse fulgurante des déclarations de violation de la confidentialité, est-ce que les organisations qui signalent des incidents à la Commission seraient trop tatillonnes ?

Dans un article paru jeudi sur les déclarations que des entreprises ont faites à la CAI depuis le 22 septembre, La Presse a présenté le cas d’une entreprise d’informatique ayant rapporté l’envoi d’un seul courriel sur un fournisseur à la mauvaise personne. Une pharmacie a aussi signalé une boîte de médicaments éventrée, ce qui a pu théoriquement permettre au livreur de voir des informations confidentielles et médicales sur des clients.

« Le seuil de déclaration, c’est le risque de préjudice sérieux, dit Diane Poitras. La première personne qui doit l’évaluer, c’est l’organisme concerné. C’est sûr qu’il y en a qui ne prennent pas de chance, donc ça se peut que certains fassent la déclaration même si le seuil n’est pas vraiment atteint. »

Mieux vaut plus que moins, juge-t-elle. « La première attente de la Commission, c’est que les organisations fassent tout ce qu’elles peuvent pour prévenir les incidents et, si un incident se produit, qu’elles fassent tout pour protéger le public. »

Plus de transparence ?

Quand La Presse a obtenu la liste des entreprises ayant déclaré des incidents de confidentialité, elle ne contenait aucune description des évènements signalés.

Par exemple, l’épicier Sobeys, qui refuse depuis un mois de donner quelque détail que ce soit sur la cyberattaque qu’il a subie, figure dans la liste, mais sans aucune précision qui pourrait aider le public à comprendre ce qui s’est passé.

« Quand on est en train de traiter l’incident, ça peut être un risque de dévoiler de l’information », justifie Diane Poitras.

Elle n’est cependant pas fermée à l’idée d’en dire plus à l’avenir, une fois les enquêtes terminées sur les cas portés à son attention. « Donner plus d’information, ce n’est pas exclu. »

Idéalement, la loi aurait peut-être dû spécifier quelles informations sur les violations de la confidentialité doivent être rendues publiques, ajoute la présidente. « Dans l’état actuel des choses, il n’y a pas de registre public de tous les incidents. »