Entre mobilité, valorisation et protection des données numériques gouvernementales

Le 5 mai 2021, le gouvernement québécois a fait un pas de plus vers l’objectif de rendre des services publics plus rapides et intuitifs, propulsés par le numérique, comme envisagé dans sa Stratégie de transformation numérique gouvernementale 2019-2023. En effet, le ministre délégué à la Transformation numérique gouvernementale a déposé le projet de loi 95 (« PL 95 ») modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives (« LGGRI »). Après les consultations particulières et son étude détaillée par la Commission des finances publiques, le PL 95 a été adopté le 9 juin 2021 et sanctionné le lendemain.   

La LGGRI s’ajoute ainsi à la Loi favorisant la transformation numérique de l’administration publique, adoptée en octobre 2019, dont l’objet est de favoriser « la transformation numérique de l’administration publique en prévoyant des règles applicables dans le cadre de la réalisation de projets en ressources informationnelles d’intérêt gouvernemental » et « l’efficience et l’efficacité de l’administration gouvernementale et la mise en place d’outils nécessaires à la prestation de services publics optimaux » (article 1).

 

Les principales modifications apportées à la LGGRI peuvent être résumées comme suit :

 

1. La LGGRI a pour objet « d’instaurer un cadre de gouvernance et de gestion en matière de ressources informationnelles applicables aux organismes publics et aux entreprises du gouvernement » (article 1).

Ce cadre applicable à la majorité des ministères et organismes publics a notamment pour but de :

  • permettre d’offrir aux citoyens et aux entreprises des services simplifiés, intégrés et de qualité qui s’appuient sur les technologies de l’information, incluant les technologies numériques, tout en assurant la pérennité du patrimoine numérique gouvernemental;
  • optimiser la gestion des ressources informationnelles et des services publics en favorisant la mise en commun, notamment, du savoir-faire, de l’information, des systèmes, des infrastructures et des ressources;
  • assurer la protection adéquate des ressources informationnelles des organismes publics utilisées en soutien à la prestation des services publics ou à l’accomplissement des missions de l’État;
  • instaurer une gouvernance et une gestion optimales des données numériques gouvernementales pour simplifier l’accès aux services publics par les citoyens et les entreprises, mieux soutenir l’action gouvernementale, accroître la performance et la résilience de l’administration publique et rehausser la qualité et la protection de ces données;
  • coordonner les initiatives de transformation numérique des organismes publics en vue d’offrir des services publics entièrement numériques;
  • assurer une gestion rigoureuse et transparente des sommes consacrées aux ressources informationnelles;
  • promouvoir l’usage des meilleures pratiques en matière de gouvernance et de gestion des ressources informationnelles et le développement de l’expertise gouvernementale relativement aux technologies de l’information, incluant les technologies numériques;
  • favoriser la mise en œuvre d’orientations et de stratégies communes à l’ensemble des organismes publics.

 

2. La LGGRI vise à renforcer la sécurité de l’information (nouveau chapitre II.2). En effet, il est prévu que tout organisme public doit :

  • assurer la sécurité des ressources informationnelles et de l’information qu’il détient ou qu’il utilise en vertu des obligations qui le régissent, en cohérence avec les orientations, les stratégies, les politiques, les standards, les directives, les règles et les indications d’application pris en vertu de la LGGRI;
  • prendre toutes les mesures visant à corriger les impacts ou à réduire le risque lorsqu’il constate qu’une ressource informationnelle ou une information sous sa responsabilité fait ou a fait l’objet d’une atteinte à sa confidentialité, à sa disponibilité ou à son intégrité, ou qu’un risque d’une telle atteinte est appréhendé.

Pour assurer la sécurité de l’information, il est prévu que le président du Conseil du trésor peut conclure des ententes avec toute personne ou avec tout organisme au Canada ou à l’étranger lorsqu’il l’estime nécessaire, notamment pour prévenir, détecter ou diminuer les impacts en cas d’atteinte ou risque d’atteinte.

 

3. La LGGRI insiste sur l’importance pour tout organisme public d’« établir un plan de transformation numérique et [de] le transmettre au chef gouvernemental de la transformation numérique » (nouveau chapitre II.3).

 

4. La LGGRI introduit les notions de « mobilité » et de « valorisation » des « données numériques gouvernementales », et ce, à des « fins administratives ou de services publics », qui s’entendent comme suit :

  • « donnée numérique gouvernementale » : toute information portée par un support technologique, incluant un support numérique détenue par un organisme public, à l’exclusion : a) d’une information sous le contrôle d’un tribunal judiciaire ou d’un autre organisme public lorsqu’il exerce des fonctions juridictionnelles; b) d’une information déterminée par règlement du gouvernement […], notamment une information visée par une restriction au droit d’accès en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels;
  • « mobilité » : le fait, pour une donnée numérique gouvernementale, d’être communiquée ou transmise entre organismes publics à une fin administrative ou de services publics;
  • « valorisation » : la mise en valeur d’une donnée numérique gouvernementale au sein de l’Administration publique à une fin administrative ou de services publics, excluant sa vente ou toute autre forme d’aliénation;
  • « fin administrative ou de services publics » : l’une ou l’autre des fins suivantes, soit : l’optimisation ou la simplification des services offerts aux citoyens ou aux entreprises; le soutien aux différents services de l’État, à la prestation par plus d’un organisme public de services commun ou à la réalisation de missions communes à plus d’un organisme public; la vérification de l’admissibilité d’une personne à un programme ou à une mesure; la recherche et le développement.

Ces notions figurent au nouveau chapitre II.4 « Données numériques gouvernementales ». Il est en effet prévu que :

« les données numériques gouvernementales constituent un actif informationnel stratégique du patrimoine numérique gouvernemental. Leur mobilité et leur valorisation au sein de l’Administration publique à des fins administratives ou de services publics, en tenant compte de leur nature, de leurs caractéristiques et des règles d’accès et de protection qui autrement les régissent, sont d’intérêt gouvernemental. » (nouvel article 12.10)

Lors de l’étude détaillée de cette disposition, il a été ajouté que cette possibilité de mobilité et de valorisation « ne doit pas être interprété[e] comme ayant pour effet de modifier les obligations qu’ont les organismes publics à l’égard des renseignements personnels qu’ils détiennent ou les droits d’une personne à l’égard de tels renseignements ».

Il a également été ajouté un article 12.10.1 qui précise que « les pouvoirs conférés par le présent chapitre doivent être exercés de manière à respecter le droit à la vie privée et le principe de transparence ainsi qu’à promouvoir la confiance du public dans les mesures permettant d’assurer la sécurité, la confidentialité, la disponibilité et l’intégrité des données numériques gouvernementales ».

 

5. La LGGRI prévoit que le gouvernement peut désigner un organisme public pour agir comme source officielle de données numériques gouvernementales (nouvel article 12.13). Cet organisme pourra recueillir, utiliser ou communiquer de telles données, incluant des renseignements personnels, lorsque cela sera nécessaire à une fin administrative ou de services publics. Il reviendra au gouvernement de :

  • préciser les données numériques gouvernementales concernées;
  • préciser les fins administratives ou de services publics visées;
  • déterminer les organismes publics qui devront recueillir ces données auprès de la source officielle et les utiliser ou qui devront les communiquer à cette dernière.

Lorsque des données numériques gouvernementales comprennent des renseignements personnels, il est prévu aux nouveaux articles 12.14 à 12.17 que :

  • ces données ne soient communiquées que pour des fins relevant de l’intérêt public ou étant au bénéfice des personnes concernées;
  • si ces données peuvent être utilisées ou communiquées sous une forme qui ne permet pas d’identifier directement la personne concernée, cette forme doit être retenue;
  • la source officielle doit :
    • procéder à une évaluation des facteurs relatifs à la vie privée avant de recueillir, utiliser ou communiquer de telles données. Cette évaluation doit être transmise à la Commission d’accès à l’information (« la CAI »). Cette disposition fait écho au nouvel article 63.5 prévu à l’article 14 du PL 64;
    • établir et faire approuver par la CAI les règles encadrant sa gouvernance à l’égard des renseignements personnels et les publier sur son site Internet. Cette disposition fait écho au nouvel article 63.3 prévu à l’article 14 du PL64;
    • soumettre à la CAI un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués dans les 45 jours suivant la fin de chaque année financière et publier sur son site Internet;
  • un audit externe visant le respect des plus hautes normes et des meilleures pratiques en matière de sécurité de l’information et de protection des renseignements personnels doit être réalisé pour toute personne ou tout organisme qui se voit communiquer des renseignements personnels par organisme désigné comme source officielle dans le cadre d’un mandat ou d’un contrat qui est lié à l’accomplissement de l’une des fins administratives ou de services publics alors précisée et qui est confié conformément à l’article 67.2 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

 

6. La LGGRI prévoit que le gestionnaire des données numériques gouvernementales peut confier à un organisme public le mandat de diffuser des données ouvertes ou un jeu de données en format ouvert (nouveaux articles 12.18 et 12.19). L’organisme qui se voit confier un tel mandat agira à titre de source officielle des données de référence et devra diffuser ces données ou jeu de données sur son site Internet ou sur tout autre site désigné.

 

Conclusion

À l’instar du PL 64 en matière de renseignements personnels, les modifications apportées à la LGGRI font partie intégrante de la stratégie gouvernementale de modernisation du régime juridique applicable aux données détenues par les organismes publics.

Plusieurs amendements ont été apportés pendant l’étude détaillée du PL 95 afin de renforcer les droits et obligations inhérents à la protection des renseignements personnels et à la vie privée.

Il convient donc d’envisager les modifications apportées à la LGGRI au regard de celles prévues au PL 64 pour permettre aux ministères et organismes publics d’anticiper les enjeux qui pourraient découler de l’application de ces deux pièces législatives et ainsi prendre les mesures requises pour assurer la conformité de leurs pratiques.

Flèche vers le haut Montez