Extraits pertinents : [2] Cette plainte porte sur la communication à l’extérieur du Québec par l’organisme de renseignements personnels concernant ses élèves et leurs parents ainsi que ses employés à l’entreprise Blackboard Connect inc. (l’entreprise) située aux États-Unis. Les faits [4] Selon l’enquête, l’organisme a conclu, en juin 2008, un contrat de service relatif à un système de communication téléphonique de masse (mass messaging system) avec l’entreprise. Ce système permettait de communiquer rapidement avec tous les parents en cas d’urgence : par exemple, dans les cas de fermeture pour tempête de neige ou toute autre mesure d’urgence liée à la sécurité des élèves. [7] Selon l’organisme, la communication des renseignements personnels à l’entreprise s’est faite dans le cadre d’un contrat de service répondant aux exigences de l’article 67.2 de la Loi sur l’accès et en tenant compte de l’article 70.1 de cette même loi. Analyse [15] La Loi sur l’accès prévoit que lorsqu’un organisme public entend communiquer des renseignements personnels, sans le consentement des personnes concernées, dans le cadre d’un contrat de service, ce dernier en plus d’être écrit doit contenir certains éléments. Elle prévoit également que cette communication doit être inscrite dans un registre. 67.2. Un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise confié par l'organisme public à cette personne ou à cet organisme. Dans ce cas, l’organisme public doit : 1° confier le mandat ou le contrat par écrit; 2° indiquer, dans le mandat ou le contrat, les dispositions de la présente loi qui s'appliquent au renseignement communiqué au mandataire ou à l'exécutant du contrat ainsi que les mesures qu'il doit prendre pour en assurer le caractère confidentiel, pour que ce renseignement ne soit utilisé que dans l’exercice du mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration. En outre, l'organisme public doit, avant la communication, obtenir un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué, à moins que le responsable de la protection des renseignements personnels estime que cela n’est pas nécessaire. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service visé au premier alinéa doit aviser sans délai le responsable de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et doit également permettre au responsable d’effectuer toute vérification relative à cette confidentialité. [16] De plus, la Loi sur l’accès prévoit que lorsque des renseignements personnels sont communiqués à l’extérieur du Québec, un organisme public doit s’assurer que les renseignements bénéficieront d’une protection équivalant à celle prévue par cette loi. 70.1. Avant de communiquer à l’extérieur du Québec des renseignements personnels ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements, l’organisme public doit s’assurer qu’ils bénéficieront d’une protection équivalant à celle prévue à la présente loi. Si l’organisme public estime que les renseignements visés au premier alinéa ne bénéficieront pas d’une protection équivalant à celle prévue à la présente loi, il doit refuser de les communiquer ou refuser de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de les détenir, de les utiliser ou de les communiquer pour son compte. [17] L’enquête a démontré que le contrat de service conclu entre l’organisme et l’entreprise ne faisait pas référence aux dispositions de la Loi sur l’accès applicables aux renseignements communiqués à l’exécutant du contrat et aux mesures devant être prises par l’entreprise pour s’assurer de leur caractère confidentiel, des conditions d’utilisation et de conservation. [19] L’organisme a reconnu, le 8 mai 2015, que le contrat de service conclu avec l’entreprise « ne référait pas explicitement aux obligations prévues à la [Loi sur l’accès] ». Il a prétendu, néanmoins, qu’il avait « obtenu des engagements additionnels à l’égard des mesures de sécurité qui étaient mises en place par [l’entreprise] ». [21] L’organisme a également précisé qu’il avait « eu accès aux différentes politiques de l’entreprise concernant la protection des renseignements qui lui étaient transmis, lesquelles étaient disponibles sur le site du fournisseur et le contrat y référait ». [23] Cette lettre fait mention des enjeux inhérents au USA Patriot Act3. Elle rappelle également que dans les provinces canadiennes qui autorisent la communication de renseignements personnels à l’extérieur de leurs frontières, les organismes publics doivent s’assurer de l’équivalence de la protection accordée aux renseignements personnels. Elle énumère également, sous forme de liste, les mesures de sécurité prises par l’entreprise. [24] Dans sa correspondance du 8 mai 2015, l’organisme a également indiqué qu’il « est présentement à mettre en place un processus afin de s’assurer du respect des dispositions de la [Loi sur l’accès] ». À ce titre, il a transmis à la Commission un document intitulé Dispositions contractuelles relatives à la protection des renseignements personnels et confidentiels en précisant que tous les gestionnaires susceptibles de conclure des contrats de service impliquant la transmission de renseignements personnels à des tiers seront informés des nouvelles directives. [26] Ce document contient des dispositions relatives à la protection des renseignements personnels que le fournisseur s’engage à respecter (c.-à-d. confidentialité des renseignements, information de son personnel quant à la protection des renseignements, identification préalable, mesures de sécurité). Il fait également référence à un formulaire d’engagement de confidentialité qui devra être signé par toute personne à l’emploi du fournisseur ou ayant un lien contractuel. Conclusion [29] À la lumière de l’enquête et des observations de l’organisme et, même s’il n’existe plus de lien juridique entre l’organisme et l’entreprise et que l’organisme semble vouloir prendre les mesures nécessaires pour modifier ses pratiques en matière de communication de renseignements personnels à des tiers, la Commission conclut que l’organisme a contrevenu aux articles 67.2 et 70.1 de la Loi sur l’accès. POUR CES MOTIFS, LA COMMISSION : [30] DÉCLARE la plainte fondée; [31] ORDONNE à l’organisme de prendre les mesures nécessaires afin que les contrats de services impliquant la communication de renseignements personnels qu’il conclura à l’avenir réfèrent aux dispositions de la Loi sur l’accès applicables aux renseignements communiqués, aux mesures prises pour s’assurer de leur caractère confidentiel, à leurs conditions d’utilisation et de conservation et à la signature d’un engagement de confidentialité; [32] ORDONNE à l’organisme d’adopter une directive établissant les conditions et les modalités visant à s’assurer que les renseignements personnels communiqués à l’extérieur du Québec bénéficient d’une protection équivalant à celle prévue par la Loi sur l’accès; [33] RECOMMANDE à l’organisme de poursuivre son intention d’informer tous les gestionnaires pour qui il est pertinent de connaître cette information;" Dernière modification : le 13 décembre 2017 à 16 h 11 min.