Allocution en commission parlementaire relative au Rapport quinquennal 2011 de la Commission d'accès à l'information | Protecteur du Citoyen
23 avril 2013

Allocution en commission parlementaire relative au Rapport quinquennal 2011 de la Commission d'accès à l'information

Corps

Monsieur le Président,
Monsieur le Ministre,
Mesdames, Messieurs, membres de la Commission,

Je vous remercie de me permettre, avant de conclure vos travaux, de partager avec vous certaines réflexions énoncées dans le mémoire que nous vous avons adressé. Pour respecter le temps qui m’est imparti, je me limiterai à vous présenter quelques constats découlant de nos activités d’enquête auprès de la Commission d’accès à l’information et d’observations par suite de notre analyse de son Rapport quinquennal 2011 avant de vous formuler une recommandation de modification législative.

Les constats du Protecteur du citoyen à l’égard de la Commission d’accès à l’information

Le Protecteur du citoyen a compétence sur les fonctions de nature administrative qu’exerce la Commission d’accès à l’information. Il traite annuellement une trentaine de plaintes à son endroit, pour lesquelles le premier motif de celles jugées fondées concerne la problématique des délais d’inscription au rôle d’audience. J’ai abordé cette problématique, qui n’est d’ailleurs pas l’apanage de ce seul tribunal administratif, dans mon rapport d’activités 2009-2010.

Depuis lors, le délai moyen de fixation des audiences serait passé de 10 à 8 mois à Québec, et de 18 à 13 mois à Montréal, selon les données que m’ont fournies les autorités de la CAI au mois de mars dernier. Si les résultats des efforts de la Commission sur ce plan sont encourageants, l’écart demeure important pour satisfaire pleinement les objectifs de célérité et d’accessibilité énoncés à l’article premier de la Loi sur la justice administrative. Car entre la fixation de la date d’une audience, la tenue de cette audience et la publication de la décision du commissaire, les délais peuvent varier en moyenne de 434 jours (sans remise) à 870 jours (avec remise), selon les données rendues publiques par la CAI dans son rapport annuel de gestion 2011-2012.

Nous avons également constaté des délais non négligeables dans l’exercice des fonctions de surveillance de la CAI, le délai moyen de traitement des enquêtes étant de 470 jours, selon le même rapport annuel de gestion.

Mais quelles sont donc les causes de cette difficulté récurrente de la CAI à entendre diligemment les citoyens qui s’adressent à elle et à effectuer plus rapidement ses enquêtes en matière de protection des renseignements personnels? L’une d’elles, plausible, serait le nombre insuffisant de commissaires pour entendre les causes et d’employés affectés aux enquêtes, situation que le président de la Commission a lui-même soulevée lors de son audition devant vous le 9 avril dernier.

Rappelons qu’au 31 mars 2012, la CAI était composée de 7 membres nommés par l’Assemblée nationale, incluant son président. Six d’entre eux étaient affectés à la section juridictionnelle et un seul à la section de surveillance. Bien que n’étant vraisemblablement pas la seule cause des délais au sein de ces deux sections, force est de constater que le niveau de ressources actuelles freine l’optimisation de la performance de la Commission et la pleine réalisation de sa mission.

C’est en gardant en tête ce constat, que nous avons examiné le Rapport quinquennal 2011 et ses recommandations. Ce constat, vous le verrez, trouve échos dans le cadre des autres sujets que j’aborde à l’instant.

La Loi sur l’accès et son impact sur la mission du Protecteur du citoyen en matière de santé et de services sociaux

Comme vous le savez, le Protecteur du citoyen exerce depuis 2006 les fonctions qui étaient auparavant dévolues au Protecteur des usagers en matière de santé et de services sociaux. Il est donc chargé d’assurer le respect des droits des usagers, notamment par une intervention en deuxième niveau à la suite de conclusions rendues par les commissaires locaux ou régionaux aux plaintes et à la qualité des services.

Or, l’exercice de cette mission est freiné par l’article 173 de la Loi sur l’accès qui impose au Protecteur du citoyen l'obligation de transmettre à la CAI toute plainte relative à une matière qui relève de sa compétence.

Cet article – qui existe depuis les origines de la Loi sur l'accès en 1982 – a été pensé à une époque où le Protecteur du citoyen n’intervenait qu’auprès des ministères et organismes publics, sans évidemment considérer la réalité propre au réseau de la santé et des services sociaux et certaines modalités prévues à la Loi sur les services de santé et les services sociaux (LSSSS) relativement au dossier de l’usager.

En effet, les droits des usagers introduits aux articles 17 et suivants de cette loi incluent l’accès et la confidentialité des informations contenues au dossier de l’usager. Ces dispositions, qui ont préséance sur la Loi sur l’accès, ont eu pour effet d'autoriser les commissaires aux plaintes et à la qualité des services à se saisir, indépendamment des responsables de l’accès et de la protection des renseignements personnels, de récriminations d’usagers relatives à la protection des renseignements personnels inscrits dans leurs dossiers.

Il est également intéressant de noter que l'article 27 de la LSSSS permet à un usager de contester devant la CAI, mais également devant trois autres instances (la Cour supérieure, la Cour du Québec et le Tribunal administratif du Québec), le refus d'accès à son dossier par un établissement. On constate donc que la CAI ne détient pas une compétence exclusive en matière d’accès aux renseignements personnels inscrits dans un dossier d’usager.

Conformément au régime de traitement des plaintes prévu à la LSSSS et à la Loi sur le Protecteur des usagers en matière de santé et de services sociaux, ce dernier se saisissait légitimement en deuxième niveau – jusqu’en 2006 – de telles plaintes, puisque l’article 173 de la Loi sur l’accès ne s’appliquait qu’au Protecteur du citoyen. Or, depuis avril 2006, alors qu’il a pour mandat non équivoque de veiller au respect des droits des usagers prévus à la LSSSS, dont ceux spécifiquement consacrés au dossier de l’usager, le Protecteur du citoyen doit dorénavant en référer à la CAI et ne peut plus légalement agir en deuxième niveau.

Cette situation est souvent source de confusion et de frustration pour les usagers qui s’adressent à nous à la suite de conclusions rendues par des commissaires aux plaintes et à la qualité des services sur des questions de bris de confidentialité. Confusion, frustration et inefficacité, puisque pour les dossiers que nous lui référons, la CAI demandera aux usagers de s’adresser, obligatoirement par écrit, de nouveau à l’établissement pour exiger du responsable de l’accès à l’information et de la protection des renseignements personnels une décision formelle qui, elle, pourra être contestée devant la section juridictionnelle de la CAI, avec les délais que l’on connaît. La CAI pourrait aussi décider de saisir sa section de surveillance de tels cas, là encore avec les importants délais d’enquête constatés, si elle le juge opportun et si l’usager est en mesure de fournir des pièces justificatives, ce qui n’est pas toujours possible.

J’illustre cette problématique par deux cas concrets et récents :

  • Dans le premier cas, une usagère se plaignait au commissaire local qu’un employé d’un CSSS aurait divulgué des informations inscrites à son dossier à la CSST, sans son consentement. La commissaire a légitimement traité ce motif de plainte en vertu de la LSSSS.
  • Dans le deuxième cas, un usager s’est adressé au commissaire local pour dénoncer le fait qu’une employée d’un centre hospitalier, employée qui s’avère être une de ses voisines, aurait partagé avec son conjoint des informations inscrites à son dossier d’usager.
  • Insatisfaite des conclusions, ces deux personnes se sont adressées au Protecteur du citoyen qui, dans le respect de son obligation légale (article 173), a dû les référer respectivement au responsable de l’accès à l’information et de la protection des renseignements personnels de l’établissement et à la CAI. Ces deux citoyens – dont le motif de plainte venait pourtant d'être traité par le commissaire local – ont ainsi dû porter à nouveau plainte cette fois auprès d’un autre interlocuteur du même établissement pour qu'il statue sur le même préjudice présumé. Ce n’est qu’après ce délai additionnel d'une trentaine de jours – et si ils ont toujours l'énergie pour ce faire – que ces citoyens pourraient contester une éventuelle décision négative devant la section juridictionnelle de la CAI et patienter encore pendant plusieurs mois, possiblement même plus d’une année. Je rappelle qu’avant avril 2006, le Protecteur des usagers se saisissait légitimement de ces situations de bris de confidentialité puisque cet article ne s’appliquait pas à lui.

À la lumière de mes précédents commentaires relatifs aux ressources actuelles de la Commission d’accès à l’information et de ses difficultés à traiter diligemment les demandes de révision et les dossiers relevant de ses fonctions de surveillance et par souci d’efficacité pour les usagers, je ne peux qu’insister sur la pertinence de remédier à ce dysfonctionnement, qui n’a malheureusement pas été porté à l’attention du Législateur en 2005. Il m’apparaît avisé de permettre au Protecteur du citoyen, sans qu’il y ait nécessité de le doter de ressources additionnelles, de se saisir des situations concernant les droits des usagers relatifs à la confidentialité de leur dossier.

Parce que, dans la plupart des cas, le motif de manquement à la protection des renseignements personnels n’est que l’un des motifs de nos dossiers d’enquête, cette modification à la Loi n’aurait pas un impact significatif sur les ressources du Protecteur du citoyen, ni sur ses délais. J’ajoute que mes délégués ont toute l’expertise nécessaire étant déjà formés sur l’interprétation des articles de la LSSSS consacrés au dossier d’usager et à la confidentialité à y accorder.

Principaux commentaires du Protecteur du citoyen sur les recommandations du Rapport quinquennal

Le Protecteur du citoyen recherche et promeut la transparence optimale de l’Administration, dans le respect des impératifs de la bonne gouvernance. Je souscris donc généralement aux recommandations du Rapport quinquennal de la CAI qui visent cette transparence, directement ou par incidence.

Je souligne que la majorité des vingt et une recommandations de la CAI n’a pas d’incidences budgétaires, ou s’il en est, elles ne sont pas importantes. J’ai aussi noté – et je salue – la forte préoccupation de prévention, qui se traduit notamment par la recommandation d’imposer des obligations accrues aux organismes publics et aux entreprises afin de prévenir les préjudices en matière de confidentialité et de protection des renseignements personnels. Plusieurs de ces mesures également n’ont pas ou n’ont que peu d’impacts budgétaires et ceux-ci, le cas échéant, me paraissent pouvoir être assumés à même les budgets actuels des différents services publics assujettis.

Il en est ainsi des recommandations qui prônent le passage vers le gouvernement ouvert et l’assujettissement de tous les organismes publics, incluant le Protecteur du citoyen, et les instances du réseau de la santé et des services sociaux au Règlement sur la diffusion de l’information et sur la protection des renseignements personnels (R12, R13, R14).

Nous l’avons constaté – et le président de la CAI lui-même le souligne – la Commission n’a pas présentement les ressources nécessaires pour remplir pleinement sa mission. Et certaines des recommandations formulées dans son rapport quinquennal auront, si elles sont suivies, un impact indéniable sur sa capacité d’exercer les fonctions additionnelles qui lui seraient alors dévolues par la Loi sur l’accès. C’est pourquoi je veux attirer votre attention sur la recommandation 9 concernant le rôle de la CAI en ce qui a trait à la déclaration des failles de sécurité.

La Commission réclame ici un pouvoir additionnel, celui « d’ordonner aux organismes publics et aux entreprises d’aviser, aux conditions qu’elle déterminera, les personnes concernées d’une faille de sécurité impliquant leurs renseignements personnels et de prendre les mesures qu’elle jugera nécessaires pour assurer une protection adéquate de leurs renseignements personnels ».

La philosophie qui sous-tend cette recommandation en est une de contrôle a priori. Il me semble qu’une recommandation de faire obligation aux organismes publics d’aviser, à certaines conditions – dont celle de le faire « sans délai » – les personnes concernées par de telles failles serait de plus grand intérêt. Cela aurait aussi l’important avantage que cet avis soit communiqué en temps opportun pour prévenir au maximum les préjudices. Cette obligation faite aux organismes publics étant dorénavant légale, la CAI aurait automatiquement le pouvoir d’agir en cas de son non-respect. L’obligation parallèle qui devrait être faite aux organismes publics d’informer la CAI sans délai de ces failles – ou incidents – lui permettrait de plus d’assurer son rôle de surveillance de l’application de la Loi.

Sur ce plan de la surveillance, je souligne que le Secrétariat du Conseil du trésor est l’organisme central qui régit, pour une majorité d’organismes publics, la gestion des technologies de l’information. Il me semble manifeste que la CAI peut jouer avec pertinence, et en priorité, un rôle important en matière de prévention des préjudices à ce chapitre, ce qui serait également source d’optimisation de ses efforts.

Finalement, je ne peux passer sous silence mon entier appui à la recommandation 20, à l’effet d’assujettir à la Loi sur l’accès les organismes dont le fonds social est détenu à plus de 50 % par l’État. L’obligation d’une transparence accrue, dans le respect des prérogatives de bonne gouvernance, s’inscrirait dans l’effort de renforcement de la démocratie qui a été salué à l’ouverture de cette commission parlementaire.

Je vous remercie.