Commission d’accès à l’information Des fuites de données qui resteront secrètes

La Commission d’accès à l’information (CAI) change son fusil d’épaule. Le chien de garde des renseignements privés cesse de publier le nom des entreprises et des organisations publiques qui lui ont déclaré des « incidents de confidentialité », comme elle le faisait depuis décembre. La décision tombe après la publication d’articles dans La Presse basés sur de telles informations, ce qui avait secoué les experts du renseignement personnel.

La CAI a envoyé à La Presse des listes d’organisations ayant déclaré des violations de la confidentialité à cinq reprises depuis décembre, après des demandes d’accès à l’information ou une simple requête aux communications. Ces renseignements ont servi de base à un article mentionnant qu’une trentaine d’entreprises avaient déclaré des « incidents de confidentialité », comme l’exige la « loi 25 » sur la protection des renseignements personnels, entrée en vigueur en septembre.

La Commission n’avait révélé que le nom des organisations et la date de leur déclaration à la CAI, sans autres détails. « Donner plus d’information, ce n’est pas exclu », avait toutefois déclaré ensuite la présidente de l’organisme, Diane Poitras, en entrevue avec La Presse^⁠1.

C’est plutôt l’inverse qui s’est produit. Pour la première fois, la CAI a refusé de nous donner accès à ces informations, le 21 avril.

L’organisme n’a pas transmis une liste incomplète ou partiellement caviardée : il a tout simplement refusé de transmettre le nom de toute entité ayant fait une telle déclaration depuis la mi-février.

« La Commission n’a pas l’intention de refuser systématiquement accès aux informations de la nature de celles qui vous ont été transmises par le passé concernant les incidents de confidentialité », assure pourtant le directeur des communications, Jorge Passalacqua.

Selon son courriel, « l’expérience démontre que la divulgation de détails au sujet d’un incident et parfois le simple fait de confirmer l’existence d’un incident de confidentialité peut nuire au traitement de l’incident par une entreprise ou un organisme public ».

Transparence variable

En décembre, La Presse écrivait qu’une trentaine d’entreprises avaient fait des déclarations d’incidents de confidentialité à la CAI depuis l’entrée en vigueur de la loi 25, le 22 septembre. La plupart des organisations concernées avaient fourni des informations sur les incidents déclarés. Mais pas la Banque Royale ni l’Université McGill, qui avaient refusé d’expliquer quoi que ce soit ^⁠2.

En réaction à nos articles, l’avocat Charles Morgan publiait en janvier un article de blogue qui y faisait référence.

« Le précédent qu’a causé la CAI en transmettant aux médias les noms des organisations ayant déclaré des incidents pourrait avoir un effet dissuasif sur de futures déclarations de violations de confidentialité », écrivait l’associé chez McCarthy Tétrault, le 12 janvier^⁠3.

Selon Charles Morgan, les organisations pourraient devenir plus réticentes à faire de telles déclarations quand le risque de préjudice n’est pas clair pour les victimes de violations de la confidentialité. Elles décideront peut-être de taire certaines brèches de moindre gravité « de peur d’attirer une attention négative indésirable ou de donner lieu à des conjectures dans la presse ».

Au téléphone, Charles Morgan assure qu’il ignorait tout du changement de politique intervenu à la Commission sur la divulgation de ces listes.

La Presse a voulu savoir s’il était intervenu auprès de l’organisme pour qu’il cesse de les diffuser. Il n’a pas répondu. « Je ne suis pas sûr que j’ai quelque chose à ajouter sur ce qui a déjà été publié », dit-il.

La CAI a refusé d’organiser une entrevue avec sa présidente. « Malheureusement, M^e Poitras n’est pas disponible pour un entretien actuellement », selon Jorge Passalacqua.

Le cabinet du ministre Jean-François Roberge, responsable de la Commission, assure qu’il « n’a pas été consulté ».

« La CAI est une organisation indépendante et fait sa propre interprétation de ses responsabilités et obligations en fonction de la loi, dit son directeur des communications, Thomas Verville. Nous sommes d’avis que la CAI doit informer les citoyens en donnant le plus d’informations possible sans nuire au processus d’enquête ou judiciaire. »

« Surprenant », dit une spécialiste

La publication de noms d’entreprises ayant déclaré des incidents de confidentialité à la Commission semble avoir suscité une certaine controverse.

« On avait vu votre article au bureau et ça nous avait étonnés parce que c’est de l’information sensible sur nos clients, convient Soleïca Monnier, avocate chez Fasken spécialisée en vie privée et cybersécurité. La CAI n’avait pas nécessairement mentionné qu’elle allait transmettre ça aux médias. »

Rien dans la loi 25 ne précise si la Commission doit ou non identifier les organisations ayant déclaré des incidents de confidentialité au public, explique-t-elle. Face aux demandes de La Presse, le chien de garde des données privées a d’abord opté pour une plus grande transparence, avant de se raviser.

« Qu’ils arrêtent la publication par la suite, c’est aussi surprenant… L’ensemble de ce dossier-là est surprenant pour moi, je vous dirais », dit Soleïca Monnier.

Peu importe l’attitude de la Commission, l’avocate compte de toute façon continuer d’encourager ses clients à prôner généralement la « transparence », quelle que soit l’ampleur de la violation de la confidentialité.

« Il vaut mieux éviter l’effet de surprise, argue-t-elle. Par contre, c’est important de le savoir que la CAI peut le divulguer, pour justement adopter une stratégie de communication si les gens se mettent à poser des questions. »

Avec la collaboration de William Leclerc, La Presse

1. Lisez « La présidente veut plus d’argent pour faire appliquer les nouvelles lois » 2. Lisez « Une trentaine d’entreprises ont déclaré des fuites en deux mois » 3. Lisez la publication de l’avocat Charles Morgan, associé chez McCarthy Tétrault (en anglais, version archivée par la Wayback Machine)