Marc Lafrance, directeur Èvelyne Racette, conseillère Direction du soutien en accès à linformation et en protection des renseignements personnels 10 mai 2001

La protection des renseignements personnels : des notions distinctes et complémentaires !

Objectifs de la présentation u Présenter le plan daction gouvernemental u Présenter une vue densemble des lois québécoises sur la vie privée et la protection des renseignements personnels (PRP). u Distinguer les notions de respect de la vie privée, de protection des renseignements personnels et de sécurité u Intégrer des préoccupations éthiques dans la conception, le développement et la gestion des sites Web u Décrire les principes et les règles de PRP. u Indiquer des pistes permettant de trouver des réponses à vos questions

Le Plan daction gouvernemental sur la protection des renseignements personnels (PRP)

u La protection des renseignements personnels doit être placée au plus haut niveau des préoccupations de tous les ministères et organismes gouvernementaux u Tous les ministères et organismes gouvernementaux doivent prendre les dispositions nécessaires pour assurer la protection des renseignements personnels qui leur sont confiés par les citoyens québécois. Orientations

Les mesures à prendre u Au niveau gouvernemental l Le Comité interministériel relevant du Secrétariat général du Conseil exécutif. l Le MRCI –Création et animation d un réseau des responsables de la PRP –Formation et sensibilisation u Au sein des ministères et organismes l Les Comité ministériels de protection des renseignements personnels présidés par le sous-ministre ou le président de lorganisme l Désignation dun Responsable de la protection des renseignements personnels. l Attentes signifiées au personnel par le sous-ministre ou président dorganisme - Reddition de compte l La connaissance des lois, règlements et pratiques administratives reliés à la PRP privilégiée lors de la dotation des postes de chef déquipe ou de personnel dencadrement.

Le Comité interministériel de PRP Composition du comité interministériel Président Jean St-Jelais, S.G. du Conseil Exécutif (C.E.). Responsable de la coordination Guy Turcotte, S.G.A. au ministère du C.E. Sous-ministre du ministère de la Justice Sous-ministre du MRCI Secrétaire du Conseil du Trésor Sous-ministre du ministère de la Culture et des Communications Président de la SAAQ

Les comités ministériels de PRP Composition des comités de PRP de chaque ministère et organisme Président du comité Sous-ministre/ président de l'organisme Responsable de la sécurité de l'information numérique (RSIN) Responsable de la vérification interne Conseiller (ère) juridique Autres personnes jugées utiles Secrétaire Responsable de la protection des renseignements personnels (RPRP)

Une personne clé à ne pas oublier... u Le responsable de laccès et de la PRP l a une responsabilité légale, il joue donc un rôle de première importance ; l est un intervenant majeur lors de lévaluation des répercussions des projets sur la PRP et le respect de la vie privée ; l joue un rôle conseil et décisionnel pour toute question liée au respect de la Loi sur laccès dans les projets liés aux technologies. u Il doit être informé dès le début des projets

Le respect de la vie privée et la protection des renseignements personnels : un enjeu important

Top 10 des enjeux technologiques 2001 Ê Protection de linformation et contrôles Ë Affaires électroniques Ì Information électronique, financière et de gestion Í Protection des renseignements personnels Î Formation et compétences en technologie Ï Reprise après sinistre Ð Personnel compétent en TI Ñ Qualité du service Ò Piste de vérification électronique Ó Fournisseur de service dapplications 2000 Ê Affaires électroniques Ë Protection de linformation et contrôles Ì Formation et compétences en technologie Í Reprise après sinistre Î Grande accessibilité et résistance des systèmes Ï Gestion et budgétisation des technologies Ð Information financière électronique Ñ Problèmes reliés à Internet Ò Bureau virtuel Ó Protection des renseignements personnels Source : American Institue of certified Public Accountants (AICPA) cité dans dans

Pourquoi la protection des renseignements personnels est-elle si importante ? u Lautonomie, la liberté personnelle et le droit de contrôler linformation qui nous concerne, sont des valeurs fondamentales de toute société démocratique. u Nous sommes tous personnellement concernés.

Pourquoi léthique dans les sites Web ? u Léthique permet de nous recentrer sur lessentiel: u « Le citoyen au centre de nos préoccupations » u Léthique permet de nous questionner: u « Le développement est-il dans lintérêt du citoyen et du respect de ses droits fondamentaux dont celui à la vie privée ? »

La loi sur laccès … quelques éléments à retenir u La Loi sur laccès est prépondérante à toutes les lois du Québec ; u Tous les organismes publics y sont soumis (environ 3 600) ; u Deux principes fondamentaux: transparence de ladministration publique et protection des renseignements personnels (PRP).

Léquilibre entre deux principes

Quest-ce quun renseignement personnel ? u Concerne une personne physique et permet de lidentifier u Permet de reconnaître la nature de la personne, de la distinguer par rapport à une autre u Doit faire connaître quelque chose concernant un individu à quelqu'un dautre

u u Renseignements personnels confidentiels (nominatifs) Renseignements liés à lidentité Caractéristiques dune personne Code postal à 6 positions Situation financière, salaire Numéro de dossier médical Numéro dasssurance-maladie Numéro dassurance-sociale État de santé physique ou mentale u u Renseignements personnels à caractère public Salaires (cadres, dirigeants) Échelle de traitement, classement dun employé Adresse et numéro de téléphone du lieu de travail Contrats de services Comptes de dépenses Nom et adresse du titulaire dun permis Renseignements personnels confidentiels et à caractère public - exemples

Confidentialité des renseignements personnels et dautre nature 1- Les renseignements nominatifs ou personnels de nature confidentielle. 2- L information dont laccès doit être refusé selon la Loi sur laccès. 3- L information dont laccès peut être refusé selon la Loi sur laccès.

La protection des renseignements personnels cest...

RESPECT DE LA VIE PRIVÉE Protection des renseignements personnels Respect de la vie privée, PRP et sécurité Exigences légales CNLPRP ET RVP Gestion des risques DICAI Sécurité

En bref u La sécurité de l'information est une notion distincte de la PRP. u La PRP ne peut se réaliser sans des mesures de sécurité adéquates, toutefois, la sécurité ne peut à elle seule assurer la PRP. u La sécurité de l'information ne fournit pas une assurance de confidentialité au sens de la Loi sur l'accès ou d'une autre loi. Un organisme public peut recueillir et communiquer des données à un tiers extérieur ou à des membres du personnel en toute sécurité et être dans une situation d'illégalité.

Comment assurer la PRP ? Communication à des tiers à des tiers Détention/Conservation Accès par le personnel Inventaire des renseignements renseignementspersonnels Archivage/Destruction Utilisation/traitement Collecte et saisie

Les principes et les règles de PRP u u Responsabilité en matière de protection des renseignements personnels Tout renseignement personnel détenuTout renseignement personnel détenu Désignation dun responsable de laccès et de la PRP qui a lautorité légale pour prendre toute décision concernant lapplication de la Loi sur laccès.Désignation dun responsable de laccès et de la PRP qui a lautorité légale pour prendre toute décision concernant lapplication de la Loi sur laccès. u Confidentialité des renseignements personnels Le respect du caractère confidentiel des renseignements se traduit par le respect de lensemble des principes et des règles de PRP pour toute le cycle de vie de linformation (de la collecte à la destruction).Le respect du caractère confidentiel des renseignements se traduit par le respect de lensemble des principes et des règles de PRP pour toute le cycle de vie de linformation (de la collecte à la destruction). u Consentement de la personne Le consentement à la collecte, l utilisation ou la communication de renseignements personnels doit être libre, manifeste ou écrit, éclairé, spécifique et limité dans le temps. Il ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.Le consentement à la collecte, l utilisation ou la communication de renseignements personnels doit être libre, manifeste ou écrit, éclairé, spécifique et limité dans le temps. Il ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.

Les principes et les règles de PRP (suite) u Anonymat des personnes La protection ultime des renseignements personnels consiste à les rendre anonymes. Toute personne concernée a droit à lanonymat.La protection ultime des renseignements personnels consiste à les rendre anonymes. Toute personne concernée a droit à lanonymat. Dans tous les cas où il est possible datteindre les fins visées sans recourir à des renseignements permettant didentifier la personne, un organisme public devrait toujours privilégier la collecte, laccès, lutilisation ou le traitement ainsi que la communication de renseignements sous forme anonyme.Dans tous les cas où il est possible datteindre les fins visées sans recourir à des renseignements permettant didentifier la personne, un organisme public devrait toujours privilégier la collecte, laccès, lutilisation ou le traitement ainsi que la communication de renseignements sous forme anonyme. u Détermination des fins de la collecte de renseignements Un organisme public doit, avant la collecte, déterminer les fins pour lesquelles des renseignements personnels sont recueillis.Un organisme public doit, avant la collecte, déterminer les fins pour lesquelles des renseignements personnels sont recueillis.

Les principes et les règles de PRP (suite) u Limitation en matière de collecte Un organisme public doit limiter la collecte des renseignements personnels. Il ne doit recueillir que les renseignements personnels nécessaires à lexercice des ses attributions ou à la mise en œuvre dun programme dont il a la gestion.Un organisme public doit limiter la collecte des renseignements personnels. Il ne doit recueillir que les renseignements personnels nécessaires à lexercice des ses attributions ou à la mise en œuvre dun programme dont il a la gestion. u Recours à des moyens licites et légaux Un organisme public doit recueillir des renseignements personnels par des moyens licites et légaux et éviter les intrusions non justifiées de la vie privée.Un organisme public doit recueillir des renseignements personnels par des moyens licites et légaux et éviter les intrusions non justifiées de la vie privée. u Source des renseignements personnels Un organisme public devrait tenter, lorsque cela est possible, dobtenir les renseignements personnels directement auprès de la personne concernée.Un organisme public devrait tenter, lorsque cela est possible, dobtenir les renseignements personnels directement auprès de la personne concernée.

Les principes et les règles de PRP (suite) u Information de la personne lors de la collecte u Un organisme doit informer la personne auprès de qui il recueille des renseignements (la personne concernée ou un tiers), des éléments suivants : Nom et adresse de l'organisme Usage auquel ce renseignement est destiné Catégories de personnes qui auront accès à ce renseignement Caractère obligatoire ou facultatif de la demande Conséquences pour la personne ou pour le tiers d'un refus de répondre à la demande Droits d'accès et de rectification prévus par la loi u Qualité des données Un organisme public doit prendre les moyens nécessaires pour assurer que les renseignements personnels quil recueille, utilise, rend accessible, communique et dispose sont exacts, complets et à jour en fonction des fins pour lesquelles ils ont été recueillis et des intérêts de la personne concernée.

Les principes et les règles de PRP (suite) u Limitation de laccès par le personnel Les renseignements personnels ne sont accessibles, sans le consentement des personnes concernées, quaux membres du personnel dun organisme public qui ont qualité pour prendre connaissance des renseignements personnels lorsque ces renseignements sont nécessaires à lexercice de leurs fonctions.Les renseignements personnels ne sont accessibles, sans le consentement des personnes concernées, quaux membres du personnel dun organisme public qui ont qualité pour prendre connaissance des renseignements personnels lorsque ces renseignements sont nécessaires à lexercice de leurs fonctions. u Limitation de l'utilisation ou des traitements Les renseignements personnels ne devraient pas utilisés ou traités à des fins autres que celles pour lesquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne lautorise. Ils devraient être traités en conformité avec les autres principes de protection des renseignements personnels.Les renseignements personnels ne devraient pas utilisés ou traités à des fins autres que celles pour lesquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne lautorise. Ils devraient être traités en conformité avec les autres principes de protection des renseignements personnels. Un organisme public devrait être en mesure de justifier le bien fondé et la légalité de tout traitement informatisé de renseignements personnels au regard des répercussions possibles sur les droits des personnes concernées.Un organisme public devrait être en mesure de justifier le bien fondé et la légalité de tout traitement informatisé de renseignements personnels au regard des répercussions possibles sur les droits des personnes concernées.

Les principes et les règles de PRP (suite) u Limitation de l'utilisation ou des traitements(suite ) Toute personne a le droit dêtre informée des traitements des renseignements personnels qui la concerne et des finalités visées, sauf dans les cas dexceptions prévus par la loi. Aucune décision individuelle la concernant ne sera prise automatiquement sur la base d'un fichier sans quelle nen soit informée.Toute personne a le droit dêtre informée des traitements des renseignements personnels qui la concerne et des finalités visées, sauf dans les cas dexceptions prévus par la loi. Aucune décision individuelle la concernant ne sera prise automatiquement sur la base d'un fichier sans quelle nen soit informée. u Limitation de la communication à des tiers Les renseignements personnels ne peuvent être communiqués à des tiers sans le consentement de la personne concernée, sauf dans les cas prévus par la loi. Toute personne a le droit dêtre informée des communications de renseignements la concernant.Les renseignements personnels ne peuvent être communiqués à des tiers sans le consentement de la personne concernée, sauf dans les cas prévus par la loi. Toute personne a le droit dêtre informée des communications de renseignements la concernant.

Les principes et les règles de PRP (suite) u Garanties de sécurité Un organisme public doit prendre des mesures de sécurité nécessaires pour préserver en tout temps, et en conformité aux dispositions légales qui sappliquent, le caractère confidentiel des renseignements personnels, et ce, pour tout leur cycle de vie. (Directive du SET sur la sécurité numérique) Il doit prendre en compte le caractère sensible des renseignements et les répercussions possibles pour la personne dune divulgation non autorisée. u Archivage et destruction Un organisme public doit assurer que les renseignements personnels sont détruits une fois que lobjet pour lequel ils sont recueillis est accompli, sous réserve de la Loi sur les Archives.

Les principes et les règles de PRP (suite) u Accès aux renseignements personnels et rectification Un organisme public doit prendre les mesures nécessaires afin :Un organisme public doit prendre les mesures nécessaires afin : -Dinformer les personnes concernées du nom et des coordonnées de la personne désignée responsable de laccès à linformation et de la protection des renseignements personnels; -D informer les personnes de leurs droits daccès et de rectification des renseignements qui les concernent et de leurs droits de recours à la CAI ; -De permettre aux personnes concernées lexercice de ces droits en fonction de la Loi sur laccès.

Les principes et les règles de PRP (suite) u Droits de recours (suite) Les personnes doivent être assurées que leurs plaintes sont traitées de façon équitable et efficace par lorganisme public. Toute personne bénéficie dun droit de recours auprès de la Commission daccès à linformation..Une personne ne doit pas être désavantagée pour avoir utilisé ses recours ou fait valoir ses droits en matière de respect de la vie privée ou de protection des renseignements personnel.

Assurer la PRP cest... u u Accorder la première place à lintérêt du citoyen et à la protection de ses droits fondamentaux. u u Planifier, organiser et réaliser lensemble des activités qui permettent aux M/O dassurer ses obligations légales et ses responsabilités en matière de PRP. u u Un objectif stratégique à atteindre.

Des travaux en cours : MRCI et SCT u Orientations et lignes directrices gouvernementales sur la PRP et les technologies de linformation. u Guide pratique de mise en application des orientations et des lignes directrices.

Quelques questions et pistes de travail... pistes de travail...

Quelles questions lorsquon initie un projet technologique. u De quelle manière cette technologie améliore-t-elle le respect des valeurs fondamentales de liberté et dautonomie des personnes ? u Quels sont les principaux facteurs de succès assurant que les principes et les règles de PRP sont actualisées par les chargés de projets et les fournisseurs ? u Comment la vie privée des personnes peut-elle être le mieux protégée par cette technologie et les changements administratifs d'affaires qui en découlent ? u En quoi ajoute-t-elle une « valeur plus grande » au respect de vie privée et à la PRP des citoyens ?

Quelles questions Quelles questions …(suite) u La conformité aux normes légales de PRP est-elle définie comme un besoin daffaires et intégrée à titre de composante stratégique distincte de la sécurité ? u Les principes et les règles de PRP sont-ils intégrés dans les orientations et les principes des projets ? u Une évaluation préalable des répercussions de ces projets sur la vie privée et la protection des renseignements personnels est-elle prévue ? u La conformité aux normes légales de PRP fait-elle lobjet dun bien livrable particulier ? u La gestion de ce bien livrable est-elle intégrée dans la structure de gestion des projets ?

En résumé u Lintérêt du citoyen et son bénéfice doivent être au cœur des préoccupations des M/O lors du développement des sites Web. u Les sites Web sont des outils permettant aux M/O de soutenir les employés de la fonction publique afin dassurer aux citoyens des services de qualité dans le respect de leurs droits fondamentaux dont le droit à la vie privée.

En résumé (suite) u Lors du développement des sites Web, les M/O sassurent de renforcer et de préserver la vie privée en prenant les mesures appropriées. u La PRP dans les sites Web nest pas inconciliable avec lefficacité administrative.

Quelques références sur la PRP u u Avant-projet de Loi sur la normalisation juridique des nouvelles technologies de l'information. Commission daccès à linformation du Québec. Commissaire fédéral à la vie privée Industrie Canada-commerce électronique com.ic.gc.ca/francais/index.html Loi sur la protection des renseignements personnels et les documents électroniques. Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. Loi sur la protection des renseignements personnels dans le secteur privé. u Sites des commissaires à la vie privée. ttp:// u Sites des commissaires à la vie privée. h ttp://