Quel est l’événement marquant de cet été 2019 ? Le vol de données chez Desjardins, évidemment ! Il soulève l’inquiétude quant à l’accès à nos renseignements personnels et à leur utilisation. La Commission d’accès à l’information (CAI) s’est penchée sur les demandes de citoyens qui souhaitaient notamment que leurs renseignements personnels ne soient plus accessibles dans des bases de données informatiques. Voici 2 de ses décisions.
Renseignements personnels sur le portail de l’employeur
Affaire Turgeon : mise en situation
Le demandeur est un employé de la Société de transport de Montréal (STM). Celle-ci a mis en place un portail («Mon guichet STM») pour ses employés. Il contient des documents contenant des renseignements personnels sur les employés, par exemple leurs relevés fiscaux.
Le demandeur a imprimé un document à partir d’une borne libre-service du Centre de transport de LaSalle. Ce document a été pris par erreur par une autre employée, qui l’a jeté dans une poubelle publique à la station de métro Lionel-Groulx.
Le demandeur s’est adressé à la STM afin qu’elle mette fin à toute diffusion, sur le portail «Mon guichet STM», de ses feuillets d’impôt et de tout autre document pouvant contenir de l’information permettant de l’identifier. Il a expliqué qu’il faisait cette demande en raison d’un récent vol d’un document personnel et d’une vague de cyberattaques sur le portail, un problème connu de la STM.
Il a notamment expliqué que plusieurs personnes ont accès à l’imprimante reliée aux bornes libre-service et qu’il n’existe aucun mécanisme de protection des renseignements personnels. L’imprimante est d’ailleurs située loin de ces bornes.
La STM ayant rejeté sa demande, il s’est adressé à la CAI.
Décision de la CAI
Premièrement, la STM n’a pas communiqué les renseignements personnels du demandeur sans son consentement. Le demandeur est le seul à avoir accès à son portail «Mon Guichet STM» au moyen d’un code d’utilisateur et d’un mot de passe qu’il a choisi.
Il y a 2 façons d’accéder au portail «Mon Guichet STM» : à partir du réseau interne ou par un réseau privé virtuel (VPN). Le code d’utilisateur et le mot de passe doivent être saisis par l’employé dans les 2 cas.
Bien que le demandeur ait fait la preuve que le portail «Mon Guichet STM» contient des renseignements personnels à son sujet, la STM n’a pas donné accès à ces renseignements à un tiers. Elle n’a pas communiqué de renseignements personnels concernant le demandeur sans son autorisation en ce qui a trait à l’utilisation du portail «Mon Guichet STM».
Deuxièmement, le demandeur n’a pas prouvé que la collecte, la communication ou la conservation de ces renseignements ne sont pas autorisées par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. En ce sens, la CAI ne peut en ordonner la rectification en application de l’article 89 de la loi sur l’accès.
Enfin, la CAI n’a pas compétence pour ordonner à la STM de retirer de son portail les renseignements personnels du demandeur.
Quant aux relevés fiscaux, la STM a démontré qu’elle avait eu l’autorisation de l’Agence du revenu du Canada et de Revenu Québec pour les transmettre par voie électronique sans l’autorisation écrite de l’employé.
Renseignements personnels détenus par Revenu Québec
Affaire Morin : mise en situation
Les demandeurs se sont adressés à Revenu Québec afin d’obtenir la liste des personnes qui ont eu accès à leurs renseignements personnels, laquelle leur a transmis la liste des employés ayant consulté leurs dossiers fiscaux. Toutefois, elle a indiqué ne pas être en mesure de justifier la consultation d’un dossier fiscal par ses employés.
Les demandeurs ont également réclamé que Revenu Québec supprime tous leurs renseignements personnels de ses bases de données informatiques, pages Internet et réseaux sociaux afin de les conserver dans un endroit plus sécuritaire, soit un classeur verrouillé. Revenu Québec a refusé.
Enfin, ils ont demandé que leurs renseignements personnels ne soient plus communiqués à aucun employé et qu’ils soient gardés confidentiels. Encore une fois, Revenu Québec a refusé.
Décision de la CAI
Premièrement, Revenu Québec n’est pas en mesure de produire, de façon systématique, un rapport ou un autre document qui précise la raison de la consultation d’un dossier par l’un de ses employés, mais elle dispose de moyens de contrôle internes afin de détecter une consultation d’un dossier fiscal qui serait interdite.
En fait, les motifs de consultation des dossiers fiscaux des contribuables ne sont pas disponibles puisque cette information n’est pas colligée. Revenu Québec n’a pas à se doter d’outils informatiques permettant de consigner les raisons de la consultation des dossiers fiscaux des contribuables.
Deuxièmement, Revenu Québec doit, pour remplir l’ensemble de ses missions, recueillir et utiliser une information abondante.
Elle est en droit de recueillir et de conserver les renseignements personnels des demandeurs puisqu’ils sont bénéficiaires du programme Allocation-logement, qu’elle administre.
Les renseignements personnels des demandeurs dont dispose Revenu Québec sont conformes et n’ont pas à être rectifiés.
De plus, Revenu Québec affirme n’avoir jamais diffusé les renseignements personnels des demandeurs sur les réseaux sociaux ou sur quelque site Internet que ce soit.
Plusieurs articles de la Loi sur l’administration fiscale permettent de conserver certains renseignements personnels d’un contribuable selon des règles bien établies.
Enfin, il ne relève pas de la compétence de la section juridictionnelle de la CAI de déterminer si Revenu Québec a transmis des renseignements personnels des demandeurs sans leur consentement. La plainte visant une contravention à la loi sur l’accès, elle relève de la compétence de la section de surveillance de la CAI.
Les auteurs du Blogue ne peuvent donner d'opinion ni de conseil juridique relativement aux situations personnelles des lecteurs.
Consultez un avocat ou un notaire pour obtenir des réponses appropriées à votre situation : visitez la Boussole juridique pour trouver des ressources gratuites ou à faible coût.