Le 14 avril 2020, la Commission d’accès à l’information du Québec (CAIQ) a rendu public un document portant sur les enjeux relatifs à la protection de la vie privée et des renseignements personnels soulevés par la pandémie actuelle. 

Ce document ne se prononce pas quant à la conformité des divers outils technologiques susceptibles d’être utilisés afin de freiner la pandémie (par ex. la géolocalisation, le traçage des contacts, les bracelets connectés et les outils d’évaluation du niveau de risque qu’une personne soit infectée, etc.), mais offre plutôt un cadre d’analyse permettant de répondre à certaines questions soulevées par l’utilisation de ces outils.

Le document rédigé par la CAIQ se divise en deux parties. La première porte sur la possibilité de limiter le droit à la vie privée dans le contexte d’une pandémie, tandis que la deuxième porte sur les principes et bonnes pratiques applicables en matière de gestion des renseignements personnels.

Dans un contexte où plusieurs organisations considèrent différentes mesures visant à encadrer l’accès aux lieux publics et au lieux de travail à l’occasion de la levée des règles de confinement, ce cadre d’analyse proposé par la CAIQ est fort pertinent et utile.

1. La possibilité de limiter le droit à la vie privée dans le contexte d’une pandémie 

Bien que le droit à la vie privée constitue un droit fondamental, la CAIQ rappelle qu’il ne s’agit pas d’un droit absolu. Selon la CAIQ, la question de savoir si l’utilisation des outils technologiques mentionnés ci-dessus est conforme aux principes constitutionnels doit être le résultat d’une analyse en deux étapes. 

La première étape doit porter sur l’objectif poursuivi par la solution technologique envisagée. Cet objectif doit être suffisamment important pour justifier que l’on restreigne le droit à la vie privée. Cet objectif doit être légitime et se rapporter à des préoccupations sociales urgentes et réelles. En d’autres mots, on doit se demander si l’utilisation des divers outils technologiques apparaît « nécessaire » dans les circonstances. 

Dans la mesure où l’on conclut que l’utilisation des outils technologiques est nécessaire, on doit ensuite se questionner quant aux modalités d’application de ceux-ci. De manière pratique, la CAIQ propose de se demander si l’atteinte au droit à la vie privée résultant de l’utilisation de ces outils technologiques apparaît « proportionnelle » à l’importance de l’objectif poursuivi et au bénéfice concret découlant de ces solutions. La CAIQ mentionne que la question de la proportionnalité peut se décomposer en trois sous-questions. 

Premièrement, il doit exister un « lien rationnel » entre l’objectif poursuivi et la solution proposée. On doit donc se demander en quoi la collecte, l’utilisation ou la communication des renseignements personnels envisagée permettrait d’atteindre l’objectif poursuivi. 

Deuxièmement, l’atteinte à la vie privée doit être « minimale » et s’imposer en l’absence d’autres solutions efficaces et moins intrusives. La CAIQ souligne que la nature des renseignements utilisés aura un impact important sur cette évaluation. Le recours à des renseignements sensibles, comme les renseignements de santé ou les déplacements d’une personne, sont en effet plus intrusifs que des renseignements d’une autre nature ou agrégés. 

Troisièmement, les avantages concrets de la solution proposée doivent surpasser les conséquences préjudiciables découlant de son utilisation. En d’autres mots, les avantages pour le bien collectif doivent surpasser l’atteinte aux droits individuels.

En plus de proposer un cadre d’analyse permettant de déterminer la conformité de l’utilisation de certains outils technologiques à la lumière des principes de droits fondamentaux, la CAIQ souligne également l’importance de respecter certains principes et bonnes pratiques en matière de gestion des renseignements personnels.

2. Principes et bonnes pratiques en matière de gestion des renseignements personnels

Le document diffusé par la CAIQ rappelle l’importance de respecter les principes et bonnes pratiques en matière de collecte, d’utilisation, de communication et de conservation des renseignements personnels. La CAIQ rappelle plus particulièrement l’existence des principes suivants :

Principe de prévention : on doit déterminer la conformité juridique d’un outil technologique avant de l’utiliser. 

Limites de la collecte : seuls les renseignements personnels nécessaires peuvent être recueillis. Cette règle ne peut être contournée par l’obtention du consentement de la personne concernée. Si des renseignements sensibles doivent être recueillis (par ex. sur la santé ou les déplacements des personnes), les mesures mises en place pour minimiser l’intrusion dans la vie privée devront être plus importantes.

Transparence : l’entreprise ou l’organisme doit faire preuve de transparence à l’égard de ses pratiques de gestion des renseignements personnels. Par exemple, la personne concernée doit être en mesure de savoir quels renseignements sont recueillis et à quelles fins.

Limites de l’utilisation : l’utilisation et la communication des renseignements personnels doivent être limitées aux fins pour lesquelles ceux-ci ont été recueillis. Ce principe invite à dépersonnaliser ou à anonymiser les renseignements personnels chaque fois que cela est possible.

Consentement : le consentement de la personne concernée doit être libre, éclairé, spécifique, manifeste et limité dans le temps. La possibilité que l’utilisation d’une solution technologique constitue une condition d’entrée dans un immeuble, un commerce ou au travail pourrait remettre en cause la validité du consentement. 

Intelligence artificielle : si le recours à un système d’intelligence artificielle impliquant l’utilisation de renseignements personnels est envisagé, la CAIQ considère qu’il est important de réaliser une évaluation d’impact algorithmique.

Données de géolocalisation : la CAIQ rappelle que l’article 43 de la Loi concernant le cadre juridique des technologies de l’information (LCCJTI) prévoit qu’« à moins que la loi le prévoie expressément en vue de protéger la santé des personnes ou la sécurité publique, nul ne peut exiger qu’une personne soit liée à un dispositif qui permet de savoir où elle se trouve ».

Renseignements biométriques : la CAIQ rappelle l’existence des règles prévues aux articles 43 à 45 de la LCCJTI à propos de l’utilisation de renseignements biométriques. 

Destruction des renseignements personnels : Selon la CAIQ, les renseignements personnels doivent être détruits lorsque les fins pour lesquelles ils ont été recueillis sont accomplies.

Exercice des droits de la personne concernée : La CAIQ invite les entreprises et organismes publics à tenir compte du droit des personnes concernées d’avoir accès aux renseignements personnels les concernant lors du choix et de l’utilisation d’une solution technologique particulière.

Bien que le document publié par la CAIQ ne se prononce pas quant à la conformité des divers outils technologiques susceptibles d’être utilisés afin de freiner la pandémie de COVID-19, les principes juridiques qu’il énonce demeurent pertinents afin de répondre aux questions complexes entourant la validité juridique de ces solutions technologiques.


Personnes-ressources

Avocat-conseil
Avocate senior

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...