Extraits pertinents :

[1] Après avoir été informée que des documents contenant des renseignements personnels ont été laissés sans surveillance, à l’entrée de l’Hôtel de Ville de Montréal, le 25 novembre 2014, par le Service de police de la Ville de Montréal (SPVM), la Commission a mandaté sa Direction de la surveillance pour faire enquête sur l’application et l’observation de la Loi sur l’accès auprès du SPVM. Plus particulièrement, cette enquête avait pour objet de surveiller la conformité des activités du SPVM avec les exigences prévues à l’article 63.1 de la Loi sur l’accès, soit les mesures de sécurité mises en place propres à assurer la confidentialité des renseignements personnels recueillis par le SPVM.

[2] Dans le cadre de son enquête, la Direction de la surveillance de la Commission interpelle le SPVM. Dans une lettre datée du 16 janvier 2015, Me Alain Cardinal, chef du Service des affaires juridiques et responsable de
l’accès à l’information (le chef du SAJ), répond pour le SPVM.

[3] Le SAJ précise le contexte entourant les faits à l’origine de l’enquête, et ce, dans les termes suivants : « C’est à la suite de ce qui a été appelé le « saccage de l’Hôtel de Ville », causé par l’éruption d’employés municipaux mécontents dans l’enceinte de la salle du Conseil municipal, à l’Hôtel de Ville de Montréal que les autorités municipales ont demandé à la direction du SPVM que des policiers soient chargés de la sécurité et du contrôle des citoyens aux séances du Conseil municipal.

[5] Tout d’abord, il allègue qu’il s’agit d’« un cas isolé, fruit d’une initiative personnelle de policiers affectés à une opération de sécurité qui ne leur était pas habituelle ».

[6] Par la suite, il soutient que « selon les médias, il s’agirait du « nom, de la date de naissance et du numéro de permis de conduire ». Le règlement municipal lui réfère au « nom et prénom et, le cas échéant, au nom de l’organisme qu’elle représente  ».

[8] Il précise enfin que l’inspecteur Richer, chef du poste de quartier 21 (chef du PDQ 21), de qui relèvent les policiers affectés à l’Hôtel de Ville, « s’est assuré auprès de son personnel que cette situation ne se répète pas » et que « des directives ont été données pour interdire la collecte de renseignements personnels » autres que ceux prévus à l’article 52 alinéa 2 paragraphe 6 du Règlement 06-051 sur la procédure d’assemblée et les règles de régie interne du Conseil municipal (« Règlement 06-051 ») qui se lit comme suit : [...]

Analayse 

[14] Le SPVM est un organisme public assujetti à la Loi sur l’accès. À ce titre, il doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient, et ce, tout au long de leur cycle de vie. (Art. 63.1)

[15] L’enquête ne portait pas sur la nécessité des renseignements personnels recueillis auprès des citoyens souhaitant participer au conseil municipal du 25 novembre 2015, mais sur les mesures de sécurité mises en place par le SPVM pour en assurer la confidentialité concomitamment et à la suite des faits à l’origine de l’enquête.

[16] La Commission a pris connaissance de la documentation remise par le SPVM, à savoir : le Règlement 06-051, un article sur « la communication de renseignements personnels en contravention du serment de discrétion » paru dans Le Conseiller juridique – Service des affaires juridiques produit par le SPVM, la procédure de gestion et d’accès à l’information du SPVM, l’article publié sur Canoë le 27 novembre 2014 et le Règlement sur la discipline interne.

[18] Or, même si le chef du SAJ soutient, dans sa réponse du 29 janvier 2016, qu’« il est difficile d’élaborer à l’avance des procédures pour des incidents imprévisibles, il revient à un organisme public, tel que le SPVM, d’assurer la protection des renseignements personnels et d’adopter des mesures de sécurité adéquates qui contribuent à limiter les risques de collecte, d’utilisation, de communication ou de conservation inappropriée de ces renseignements personnels.

[19] De même, lors d’un évènement compromettant la confidentialité de renseignements personnels, un organisme public doit prendre les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et d’éviter qu’une telle situation se reproduise. 

[23] Ainsi, considérant les mesures prises par le SPVM et qu’il s’agit d’un cas isolé, la Commission n’entend pas émettre d’ordonnance et ferme le dossier.

[24] Elle recommande toutefois au SPVM de se doter d’une procédure déterminant les principales étapes à suivre en cas d’incident compromettant la confidentialité des renseignements personnels, et ce, que celui-ci soit dans le cadre de ses fonctions ou de fonctions ad hoc.

[25] Elle recommande également au SPVM de rappeler de façon régulière aux policiers leurs obligations en matière de confidentialité, et ce, peu importe qu’ils agissent dans le cadre de leurs fonctions ou de fonctions ad hoc comme en l’espèce.