Protection de la vie privée lors d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services

L’ajout de l’article 63.5 à la Loi sur l’accès y introduit le principe de la protection de la vie privée dès la conception (PDF 261 Ko).

Pour les organismes publics concernés, des exigences similaires à celles de l’article 63.5 de la Loi sur l’accès étaient prévues au Règlement sur la diffusion de l’information et sur la protection des renseignements personnels. En effet, l’article 7 de ce règlement prévoyait que le comité sur l’accès à l’information et la protection des renseignements personnels pouvait notamment suggérer l’évaluation, dès l’étude préliminaire, des risques d’atteinte à la protection des renseignements personnels de tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services.

Obligation de procéder à une évaluation des facteurs relatifs à la vie privée

En vertu de l’article 63.5 de la Loi sur l’accès, un organisme public doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services qui impliquerait la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Il est à noter qu’un projet d’acquisition, de développement ou de refonte d’un système d’information qui impliquerait de la vidéosurveillance ou de la biométrie est aussi visé par cet article.

Selon la Commission d’accès à l’information, l’évaluation des facteurs relatifs à la vie privée est une démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées.

Ces facteurs sont :

• la conformité d’un projet avec la législation applicable à la protection des renseignements personnels et le respect des principes qui l’appuient;
• la détermination des risques d’atteinte à la vie privée engendrés par ce projet et l’évaluation de leurs conséquences;
• la mise en place de stratégies pour éviter ces risques ou les réduire efficacement.

Exclusion

Cette obligation se limite aux projets d’acquisition, de développement et de refonte de systèmes d’information et de prestations électroniques de services, ce qui exclut, par exemple, leurs mises à jour. Cela étant dit, si la mise à jour d’un système d’information ou d’une prestation électronique de services a une incidence importante sur la protection des renseignements personnels, il est recommandé d’appliquer les exigences de l’article 63.5 de la Loi sur l’accès.

Consultation du comité sur l’accès à l’information et la protection des renseignements personnels

En ce qui concerne l’évaluation des facteurs relatifs à la vie privée, l’organisme public doit consulter, dès le début du projet, son comité sur l’accès à l’information et la protection des renseignements personnels. Comme l’indique l’article 63.6 de la Loi sur l’accès, le comité peut suggérer, à toute étape d’un projet visé :

• la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
• des mesures de protection des renseignements personnels dans tout document, tels un cahier des charges ou un contrat;
• une description des responsabilités des personnes participantes, en matière de protection des renseignements personnels;
• la tenue d’activités de formation sur la protection des renseignements personnels pour les personnes participantes.

Droit à la portabilité

Un organisme public doit prévoir qu’une personne pourra exercer son droit à la portabilité, sous réserve qu’il ne soulève pas des difficultés pratiques sérieuses.