Lettre aux ministres

Montréal, 14 décembre 2022

À l’attention de :

François Legault, Premier ministre

Éric Caire, Ministre de la Cybersécurité et du Numérique

Jean-François Roberge, Ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels

Objet : Création d’une fonction de Chef gouvernemental de la protection des renseignements personnels (PRP) et rencontre d’échange

Bonjour,

C’est avec beaucoup de satisfaction que nous avons accueilli la décision du Premier ministre, M. Legault de confier à deux ministres distincts la responsabilité de l’accès à l’information et de la protection des renseignements personnels et celle de la cybersécurité et du numérique. Cette décision élimine ainsi l’apparence de conflit d’intérêts dans ces domaines et les enjeux sous-jacents.

Nous sommes une OBNL dont la mission est la protection de l’être humain et de la démocratie dans le contexte de l’économie numérique. Depuis l’incident avec le Mouvement Desjardins, nos experts.es analysent les faits qui ont permis aux institutions bancaires de soutirer le consentement non libre et non éclairé de leurs clients, ce qui transgresse et inverse les principes des lois sur la PRP.

Nous avons invité les citoyens à porter plainte auprès des institutions bancaires et de la Commission d’accès à l’information (CAI). Des centaines d’entre eux ont fait la démarche, ont signé notre lettre qui a été expédiée aux candidats et futurs élus et des milliers ont signé la pétition déposée à l’Assemblée nationale qui concerne leurs préoccupations concernant l’implantation du portefeuille d’identité numérique, sans débat public. Avec la mise en place de l’écosystème numérique réalisé avec la participation du secteur privé, les citoyens.nes demandent des garanties quant au respect de leurs droits fondamentaux, notamment de garantir leur droit de regard sur leurs données personnelles et de maintenir leur libre consentement. Pour l’instant, le flou entre le respect de ces droits et l’abus de demandes de renseignements préoccupent vivement les personnes à qui on a extorqué leur consentement.

Nos constats

1. La confiance envers les institutions au regard du respect des droits fondamentaux à la vie privée et à la PRP et l’adhésion au nouvel écosystème numérique reposent principalement sur la transparence, l’équité et la participation citoyenne. L’administration publique doit être en mesure de démontrer que ces droits sont respectés.
2. La structure organisationnelle du MCN [1] prévoit un poste de sous-ministre de la cybersécurité qui peut imposer aux organismes publics et aux entreprises avec qui il fait affaires des mesures pour assurer la sécurité de l’information. Or l’organigramme du MCN met en lumière l’absence de fonction similaire, à haut niveau, pour garantir le respect des droits fondamentaux des citoyens lors de la gestion des ressources informationnelles.
3. À notre connaissance, le MCN n’a pas établi de fonction pour agir au plan gouvernemental en matière de respect de la vie privée et des exigences légales de PRP[2]. Dans le cas du projet de portefeuille d’identité numérique, nous ne sommes pas en mesure de savoir si la gouvernance et la gestion des exigences légales de PRP sont intégrées dans la gestion du projet à toutes les phases de développement y compris sa mise en fonction et son évolution. Par exemple, par la description des fonctions, rôles et responsabilités, biens livrables, évaluation, audit externe, etc.. La transparence du MCN à cet égard contribuerait à ce que les citoyens.nes perçoivent que le gouvernement prend ces dimensions au sérieux, en les intégrant de façon concrète dans l’organisation et dans la gestion des projets à portée gouvernementale.
4. De plus, les communications publiques du MCN mettent principalement l’accent sur la cybersécurité, laissant croire que celle-ci garantit le respect des exigences légales de PRP. Cela contribue à maintenir la confusion entre la cybersécurité et la PRP qui sont pourtant deux réalités distinctes bien que complémentaires. D’ailleurs, le Secrétariat du Conseil du trésor a fait ces distinctions et les a endossées dans le Guide sur l’infonuagique- Volet de la PRP[3].
5. Lors de l’étude du projet de loi n° 6 [4], la CAI recommandait dans son mémoire [5]:

• Que la fonction de chef gouvernemental de la protection des renseignements personnels soit formellement intégrée dans la législation ;
• Qu’il fasse partie de ce nouveau ministère de la Cybersécurité et du Numérique, au même titre que le chef gouvernemental de la sécurité de l’information, le chef gouvernemental de la transformation numérique ou le gestionnaire des données numériques gouvernementales ;
• Que ses responsabilités et son rôle soient spécifiés dans la législation ;
• Qu’une équipe dédiée puisse le soutenir dans ses fonctions.

Sans la création d’une telle fonction ni celle d’une fonction pour assumer la responsabilité de la PRP à l’intérieur même du projet, la poursuite du portefeuille d’identité numérique va à l’encontre des meilleures pratiques reconnues au plan international et du principe de responsabilité en matière de PRP. Cela pose de grands risques et enjeux.

Proposition

Enfin, considérant les inquiétudes des citoyens envers les pratiques ambiguës de Desjardins et des banques, envers les risques accrus de profilage par l’État, en raison de la centralisation des données et l’identité numérique, nous vous demandons, par la présente, de mettre en œuvre la recommandation de la CAI, soit la création de la fonction de Chef gouvernemental de la PRP au sein du MCN. Créer une telle fonction contribuerait à rassurer les milliers de personnes préoccupées par le portefeuille d’identité numérique et à susciter leur adhésion à celui-ci.

Je me permets également de solliciter une rencontre afin d’échanger avec vous sur ce qu’on pourrait considérer véritablement comme les normes les plus élevées de l’Amérique et qui pourraient faire la fierté de chaque personne concernée par le projet d’identité numérique et de l’administration publique québécoise.

Veuillez recevoir mes plus cordiales salutations,

Sylvie Bergeron

PDG de Connexion-U

sylviebergeron@connexion-u.org

Copie conforme Maître Diane Poitras, Commission d’accès l’information

Note : Cette lettre sera publiée sur le site Web de Connexion-U pour informer les personnes de notre démarche.

____________________________

[1] https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/cybersecurite_numerique/Organigramme/OR_MCN.pdf?1670254950

[2] Lors des auditions sur le PL n° 6, Me Diane Poitras, présidente de la CAI a précisé les distinctions à faire entre le rôle du responsable de l’accès à l’information et de la PRP du MCN, le rôle de la CAI et celui du Chef gouvernemental de la PRP.

[3] Guide de l’infonuagique. Architecture d’entreprise gouvernementale 3.0. Volume 2 – Considérations juridiques et de

protection des renseignements personnels. Secrétariat du conseil du trésor. Novembre 2014.

[4] Projet de loi n° 6, Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique et modifiant d’autres

dispositions.

[5 https://www.cai.gouv.qc.ca/memoire-de-la-commission-sur-projet-de-loi-6/.