Les décisions des tribunaux administratifs du Québec représentent plus de 60 % du volume de traitement et de diffusion de SOQUIJ. Pourtant, malgré son influence dans le quotidien des Québécois et des Québécoises, la justice administrative reste peu connue. En 2023, SOQUIJ a rencontré des décideurs administratifs pour mieux connaître et faire connaître leur travail.
Au Québec, un organisme veille à ce que la vie privée des citoyens ne soit pas un livre ouvert et à ce que, d'autre part, les organisations aient le moins de secrets possible envers les citoyens.
SOQUIJ a rencontré Diane Poitras, présidente* de la Commission d’accès à l’information (CAI) du Québec, et Rady Khuong, vice-présidente de sa section juridictionnelle. Toutes deux sont également juges administratives. Voici le portrait qu’elles dressent de leur organisation.
Un modèle québécois qui se démarque en Amérique du Nord
La Commission d’accès à l’information est à la fois un tribunal administratif – la section juridictionnelle – et un organisme de surveillance. Elle veille à l’application de 2 lois: la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé. Dès sa création, dans les années 1980, le modèle québécois se démarque: confier la gestion de l’accès à l’information et la protection des renseignements personnels à un seul et même organisme n’était pas la norme en Amérique du Nord.
En tant que tribunal, la CAI se prononce sur les décisions de toute personne désignée par un organisme public ou une entreprise privée comme responsable de l’accès à l’information et de la protection des renseignements personnels. Contester une décision en matière d’accès aux documents des organismes publics, d’accès à un renseignement personnel ou de rectification d'un tel renseignement s’effectue gratuitement et simplement. Bien qu’elle ne soit pas obligatoire, l’utilisation des formulaires de demande de recours disponibles sur le site Web de la CAI facilite grandement les démarches. Il importe d’inclure une copie de la demande initiale effectuée auprès d’un organisme ou d’une entreprise, en plus d'une copie de la décision contestée.
Dans son rôle de surveillance, la CAI déploie plusieurs stratégies pour favoriser le respect des lois: promotion, sensibilisation, lignes directrices, inspections, enquêtes administratives et pénales, etc. La loi exige certaines déclarations, demandes d’avis ou demandes d’autorisation auprès de la CAI. Par exemple, une entreprise qui souhaite mettre en place un système biométrique doit le déclarer 60 jours avant sa mise en service, tandis qu'une autre qui subit un incident de confidentialité doit, dans certains cas, en aviser la CAI. Cette dernière dispose d’un pouvoir d’enquête, notamment lorsqu'une plainte lui est acheminée. À l’issue de l’enquête, elle peut rendre des ordonnances exécutoires et imposer des sanctions administratives pécuniaires –
Une influence certaine sur la transparence des organismes publics
Au Québec, chaque citoyen a le droit de demander l'accès à des documents détenus par tout organisme public. Les documents transmis à la suite de cette demande deviennent accessibles à tous puisque l’organisme doit les diffuser sur son site Web. Les institutions québécoises sont d’ailleurs encouragées à rendre publiques spontanément certaines informations. Cette mesure qui permet d'accroître la transparence des organismes publics est la diffusion proactive de l'information – un concept inséré dans la loi en 2006, à la suite des recommandations de la CAI.
«Nos décisions sont beaucoup des cas d’espèce, mais elles ont un impact majeur dans la vie des citoyens parce que, au fil des ans, il y a de plus en plus de documents rendus accessibles.»
– Diane Poitras, membre (2011-2024) et présidente de la CAI (2018-2024)
La portée inattendue de deux décisions[i] de la CAI rendues il y a quelques années au sujet de l’accessibilité des mémoires au Conseil des ministres offre un bel exemple de l’influence du tribunal administratif sur les institutions québécoises. Dans les deux cas, les membres de la CAI ont tranché en faveur de la publication d’une partie des mémoires, ce qu’a contesté le gouvernement de l’époque. La Cour d’appel du Québec a confirmé les décisions de la CAI mais, en dernier ressort, le gouvernement a eu recours à un projet de loi pour clore le débat. Cependant, depuis ces deux décisions, certaines parties de mémoires sont maintenant diffusées de façon proactive sur le site Web du Conseil des ministres. Les décisions de la CAI peuvent donc faire évoluer les pratiques vers plus de transparence.
La gardienne des renseignements personnels des Québécois et des Québécoises
Le contrôle par chacun de ses renseignements personnels est la pierre angulaire du second volet d’action de la Commission d’accès à l’information, soit la protection des renseignements personnels. Non seulement chaque citoyen a le droit d’avoir accès aux renseignements qui le concernent et qui sont détenus par les organismes publics et les entreprises privées, mais il décide aussi, sauf exception, de l’information qu’il communique, des organisations avec lesquelles il la partage et des conditions d’utilisation de cette information.
Quand il s’agit de démontrer son engagement envers la protection des renseignements personnels, l’organisme public ou l’entreprise privée ne doit pas se contenter d’exposer ses pratiques en matière de confidentialité. La sécurité de l’information n’est pas la garantie d’une gestion responsable des renseignements personnels. La protection des renseignements personnels implique aussi de limiter la collecte, l’utilisation, la communication et la conservation de ces informations. L’incident de confidentialité survenu au sein d’une institution financière l’a révélé puisqu’une partie des renseignements volés concernaient des personnes qui n’étaient plus clientes de l’institution depuis de nombreuses années. La décision de la CAI à ce sujet[ii] a d’ailleurs influencé la loi puisque, dorénavant, les entreprises ont l’obligation de détruire les renseignements personnels une fois l’objet du dossier accompli.
«Il n’est pas suffisant de dire: "On recueille l’information mais, après, celle-ci est 'très très' protégée." On doit aussi se demander: "En avions-nous besoin?", car protection et sécurité ne sont pas des synonymes.»
– Rady Khuong, membre et vice-présidente de la section juridictionnelle de la CAI
Ainsi, la loi ne responsabilise pas les organisations uniquement en ce qui a trait à la collecte de renseignements personnels. Tout le cycle de vie de l’information dans une organisation est sous la loupe de la CAI: de la collecte à la destruction, en passant par l’utilisation et la communication à des tiers. L’objectif est ici de limiter au strict nécessaire ces activités pour respecter la vie privée des personnes. La CAI l’a rappelé dans un rapport de conclusions à la suite d’une enquête réalisée conjointement avec ses homologues du fédéral, de la Colombie-Britannique et de l’Alberta concernant une entreprise de restauration et son application pour téléphones intelligents[iii]. Les utilisateurs donnaient leur consentement à la collecte de leurs données de géolocalisation lorsque l’application était active. Cependant, l’enquête a démontré que, dans certains cas, les données étaient recueillies dès que le téléphone était allumé et que, de plus, l’entreprise en déduisait certains aspects de la vie privée de la personne, comme son adresse de résidence, le lieu de son travail, ses habitudes et les moments où elle se déplaçait hors de sa zone habituelle. Cette collecte et la création de nouveaux renseignements par croisement de données se faisaient à l’insu des utilisateurs. L’entreprise a accepté de suivre les recommandations de la CAI et de ses homologues. Il est fort possible que d’autres entreprises aient modifié leurs pratiques en conséquence.
Quelques dates clés
- 1982: Création de la Commission d’accès à l’information du Québec (CAI), à la suite de l’adoption à l’unanimité de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. À l’époque, on parle beaucoup du modèle québécois. La CAI est l’un des premiers organismes à réunir les volets «accès à l’information» et «protection des renseignements personnels». Dans d’autres juridictions, notamment au fédéral, il existe 2 entités distinctes, qui s'occupent chacune d'un volet.
- 1984: Entrée en vigueur de la plupart des dispositions de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Cette date marque un changement culturel dans la fonction publique vers une plus grande transparence: avant, la pratique était celle du recours au secret sans justification. Le cadre législatif était donc avant-gardiste pour son époque, même s'il est aujourd’hui critiqué par certains, qui demandent une réforme pour répondre aux nouveaux standards internationaux et aux attentes accrues en matière de transparence afin de préserver la confiance des citoyens.
- 1987: Dépôt du premier rapport quinquennal de la CAI. La loi a été conçue pour évoluer avec la société, ses valeurs et le progrès technologique. Il a donc été prévu que, tous les 5 ans, la CAI dépose un rapport qui fait état de l’application de la loi et propose des manières de la bonifier.
- 1994: Entrée en vigueur de la Loi sur la protection des renseignements personnels dans le secteur privé. Il s’agit de la première loi du genre en Amérique du Nord.
- 2006: Modification de certains aspects de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, à la suite des recommandations des rapports quinquennaux. Les 2 sections – de surveillance et juridictionnelle – sont créées, et on introduit le principe de diffusion proactive de l’information. Dorénavant, plutôt que la population doive attendre qu’un citoyen fasse une demande d’accès, les organisations publiques doivent diffuser spontanément les informations d’intérêt public.
- 2020: Virage numérique de la CAI en réponse aux mesures de confinement durant la pandémie de la COVID-19. Au cours de cette période, la CAI se dote des moyens pour tenir des audiences virtuelles et conçoit sa propre solution technologique pour le dépôt de documents numériques.
- 2022-2023: Entrée en vigueur de la majorité des dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (mieux connue sous le nom de «loi 25»). Adoptée en 2021, cette réforme imposante s’inspire des législations les plus avancées du monde dans ce domaine. Son objectif est d’offrir aux citoyens un meilleur contrôle sur leurs renseignements et une meilleure compréhension de l’usage qu’en font les organisations. La loi s’adapte aussi au nouveau contexte technologique.
*NDLR: Mme Poitras a pris sa retraite le 5 janvier dernier.
Cette série de portraits des tribunaux administratifs du Québec est réalisée en collaboration avec le Regroupement des présidents des tribunaux administratifs du Québec et la Conférence des juges administratifs du Québec.
Les auteurs du Blogue ne peuvent donner d'opinion ni de conseil juridique relativement aux situations personnelles des lecteurs.
Consultez un avocat ou un notaire pour obtenir des réponses appropriées à votre situation : visitez la Boussole juridique pour trouver des ressources gratuites ou à faible coût.