Sécurité de l'information/Sécurité et aspects légaux

Projet de loi n° 95: un pas en avant pour faciliter l’accès aux données gouvernementales

Par Éloïse Gratton, Associée et Co-chef national, Respect de la vie privée et protection des renseignements personnels et Simon Du Perron, stagiaire au sein du groupe de pratique Respect de la vie privée et protection des renseignements personnels, tous deux chez BLG cabinet juridique

Le 5 mai dernier, Éric Caire, ministre délégué à la Transformation numérique gouvernementale et ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, a déposé le Projet de loi n° 95Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives (« projet de loi n° 95 ») à l’Assemblée nationale du Québec.

Le projet de loi n° 95 introduit plusieurs amendements à la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (« Loi sur la gouvernance des ressources informationnelles ») qui visent notamment à :

  • assurer une protection adéquate à l’information détenue par les organismes publics;
  • coordonner les initiatives de transformation numérique des organismes publics; et
  • instaurer un nouveau cadre de gestion des données numériques gouvernementales.

En matière de sécurité de l’information, le projet de loi n° 95 prévoit l’obligation, pour les organismes publics, d’assurer la sécurité des ressources informationnelles et de l’information qu’ils détiennent ou qu’ils utilisent. Il prévoit également, en cas d’atteinte ou de risque d’atteinte à la confidentialité, à la disponibilité ou à l’intégrité de ces ressources ou de cette information, une obligation de prendre toutes les mesures visant à en corriger les impacts ou à en réduire le risque. Le projet de loi n° 95 crée également le nouveau poste de chef gouvernemental de la sécurité de l’information, dont le titulaire sera notamment chargé de diriger l’action gouvernementale en matière de sécurité de l’information.

En ce qui concerne la transformation numérique, le projet de loi n°95 prévoit que les organismes publics doivent établir un plan de transformation numérique dont les modalités sont déterminées par le président du Conseil du trésor. Ce plan doit être transmis au chef gouvernemental de la transformation numérique qui est responsable d’évaluer et d’accompagner les organismes publics dans leur transformation numérique.

Le cœur du projet de loi n° 95 réside dans l’introduction d’un nouveau cadre de gestion des données numériques gouvernementales. Ainsi, le nouvel article 12.10 de la Loi sur la gouvernance des ressources informationnelles proposé par le projet de loi prévoit que :

« Les données numériques gouvernementales constituent un actif informationnel stratégique du patrimoine numérique gouvernemental. Leur mobilité et leur valorisation au sein de l’Administration publique à des fins administratives ou de services publics, en tenant compte de leur nature, de leurs caractéristiques et des règles d’accès et de protection qui autrement les régissent, sont d’intérêt gouvernemental. »

Le projet de loi n° 95 indique que les « données numériques gouvernementales » comprennent toute information portée par un support technologique, incluant un support numérique, détenue par un organisme public, à l’exclusion d’une information sous le contrôle d’un tribunal judiciaire ou d’un autre organisme exerçant des fonctions juridictionnelles, une information faisant partie d’une catégorie déterminée par un règlement ou encore une information visée par une restriction au droit d’accès en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Le projet de loi n° 95 prévoit que le gouvernement pourra émettre des décrets afin de désigner un organisme public pour agir comme source officielle de données numériques gouvernementales (« décret de désignation »), ce qui lui permettra de recueillir, d’utiliser ou de communiquer des données numériques gouvernementales et de recueillir auprès de toute personne des renseignements, y compris des renseignements personnels, lorsque cela est nécessaire à une fin administrative ou de services publics.

Plus précisément, le décret de désignation émis par le gouvernement devra mentionner quelles sont les données numériques gouvernementales concernées, les fins administratives ou de services publics pour lesquelles celles-ci peuvent faire l’objet d’une autorisation de mobilité ou de valorisation ainsi que les organismes publics qui sont autorisés à recevoir la communication de ces données. Ainsi, l’objet du nouveau processus introduit par le projet de loi n° 95 vise à permettre :

  • la « mobilité », soit le fait, pour une donnée numérique gouvernementale, d’être communiquée ou transmise entre organismes publics à une fin administrative ou de services publics; et/ou
  • la « valorisation »,  soit la mise en valeur d’une donnée numérique gouvernementale au sein de l’Administration publique à une fin administrative ou de services publics, excluant sa vente ou toute autre forme d’aliénation.

Ces deux définitions semblent exclure les partenariats entre les organismes publics et les entreprises considérant que la mobilité ne vise que la transmission de données entre organismes publics et que la valorisation est limitée à la mise en valeur des données au sein de l’« Administration publique », c’est-à-dire les ministères du gouvernement selon l’article 2 de la Loi sur la gouvernance des ressources informationnelles proposé par le projet de loi.

En outre, le projet de loi n° 95 propose une liste limitative de fins qui peuvent être considérées comme de nature administrative ou de services publics, soit :

  • l’optimisation ou la simplification des services offerts aux citoyens ou aux entreprises;
  • le soutien aux différentes missions de l’État, à la prestation par plus d’un organisme public de services communs ou à la réalisation de missions communes à plus d’un organisme public;
  • l’accomplissement d’un mandat attribué conformément à une loi ou d’une initiative à portée gouvernementale;
  • la planification, la gestion, l’évaluation ou le contrôle de ressources, de programmes ou de services gouvernementaux;
  • la production d’information en soutien à la prise de décision ministérielle ou gouvernementale;
  • la vérification de l’admissibilité d’une personne à un programme ou à une mesure; et
  • la recherche et le développement.

Le projet de loi n° 95 précise que des données numériques gouvernementales qui comprennent des renseignements personnels peuvent être communiqués par tout organisme public à une source officielle de données numériques lorsque la communication est nécessaire aux fins précisées dans le décret de désignation. Ces fins doivent être « dans l’intérêt public ou au bénéfice des personnes concernées ». D’ailleurs, les organismes publics devraient, lorsqu’il est possible de le faire, communiquer ces données sous une forme dépersonnalisée.

À titre d’exemple, le projet de loi n° 95 modifie la Loi sur l’administration fiscale, LRQ c. A-6.002 afin de prévoir qu’un renseignement contenu dans un dossier fiscal puisse être communiqué sans le consentement de la personne concernée à un organisme visé par un décret de désignation lorsque l’Agence du revenu est désignée comme source officielle de données numériques gouvernementales et que le renseignement est nécessaire à l’une des fins administratives ou de services publics précisée dans le décret. Le projet de loi n° 95 modifie également la Loi sur l’assurance maladieRLRQ c. A-29 pour offrir la même désignation à la Régie de l’assurance maladie.

Le projet de loi n° 95 assujetti toutefois l’organisme public désigné comme source officielle de données numériques gouvernementales à l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée et de la transmettre à la Commission d’accès à l’information (« CAI ») avant de recueillir, d’utiliser ou de communiquer des renseignements personnels dans l’exercice de sa fonction. L’organisme désigné comme source officielle de données numériques gouvernementales doit également établir des règles encadrant sa gouvernance à l’égard de renseignements personnels, les faire approuver par la CAI et les publier sur son site Internet. Cette obligation n’est pas sans rappeler l’article 14 du Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui prévoit une exigence similaire pour les organismes publics.

Finalement, le projet de loi n° 95 prévoit également que le gouvernement peut confier à un organisme public le mandat de diffuser des données ouvertes ou un jeu de données en format ouvert. Dans un tel cas, l’organisme à qui est confié le mandat agit comme « source officielle de données de référence » et il doit diffuser ces données ou ce jeu de donnée sur son site Internet ou sur un autre site indiqué par le gouvernement. Ces données seraient diffusées au grand public et pourraient donc être utilisées par une grande variété d’acteurs.

Le projet de loi n° 95 est illustre clairement la volonté du gouvernement de reconnaître la valeur des données détenues par l’Administration publique. En effet, accroître la mobilité et la valorisation des données semble être le principal objectif du nouveau cadre de gestion des données numériques gouvernementales. Le projet de loi n°95 constitue toutefois une occasion manquée de faire participer les entreprises privées aux efforts de mobilité et de valorisation des données publiques dans une perspective de bien commun. Espérons que des amendements pourront être apportés au projet de loi afin de corriger cet angle mort.

***

* Ce billet est préalablement paru sur le site de BLG le 6 mai 2021 et est repris ici avec l’autorisation et la collaboration des auteurs.

À propos de BLG :

BLG est un cabinet juridique de référence au Canada avec des bureaux dans les villes de Calgary, Montréal, Ottawa, Toronto, Vancouver et Beijing. Leur site web est une source d’information très utile pour suivre l’évolution de l’environnement législatif au pays. Découvrez-en plus ici.

CC BY 2.0 SOURCE

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s