La Commission d'accès à l'information du Québec (la CAIQ) publiait récemment son rapport périodique (qu'elle doit déposer tous les cinq ans) à la suite d’un exercice d'analyse de l'application des diverses lois québécoises en matière de renseignements personnels. Selon ce rapport, intitulé Rétablir l'équilibre, le temps est venu d'offrir aux individus une meilleure protection de leurs renseignements personnels, ce qui doit passer par un amendement majeur de nos lois à ce sujet.
Le rapport fait une soixantaine de recommandations, autant pour le secteur public que le secteur privé, quant à la façon dont les renseignements personnels devraient être encadrés par nos lois. Le rapport constate notamment la désuétude des dispositions des lois québécoises en la matière.
La CAIQ maintient que notre loi devrait notamment être modifiée pour confirmer la responsabilité des entreprises et fournir plus de certitude face aux technologies et aux médias sociaux quant à la cueillette, l'utilisation, la sécurité et l'exportation des renseignements personnels des individus. C'est d'ailleurs là l'une des propositions (répétée) par la CAIQ, à savoir de renforcer l'obligation des entreprises de respecter les renseignements personnels en leur possession. Un aspect de cette obligation devrait passer par l'inclusion dans nos lois de l'obligation de nommer un responsable des questions de renseignements personnels chez chaque entreprise, à l'instar de l'obligation énoncée à ce sujet dans la loi fédérale.
Le rapport recommande aussi de modifier le concept central de la loi québécoise qui parle encore de « dossiers » censés être tenus en les identifiant par noms d'individus, concept devenu archaïque depuis l'adoption de la loi en 1994.
On devrait aussi selon la CAIQ clarifier pour les entreprises qu'un consentement (en matière de renseignements personnels) peut bien être exprès ou tacite, ce qui demeure incertain en droit québécois à l'heure actuelle, notamment à cause de l'utilisation du concept de consentement « manifeste ». Pour la CAIQ, oui on peut effectivement se fier à un consentement tacite concernant des renseignements peu « sensibles », chose qui est loin d'être claire à la lecture de la loi québécoise telle qu'elle existe actuellement. À l'inverse, la CAIQ recommande aussi d'ajouter une interdiction de communication de certains types de renseignements « sensibles » (au-delà du but initial visé) à moins du consentement exprès de l'individu ciblé.
Le rapport de la CAIQ fait une série d'autres recommandations, dont plusieurs introduiraient dans notre loi des aspects existant dans les lois d'autres juridictions. Par exemple, on ajouterait à notre loi l'obligation de déclarer les incidents de sécurité, à l'instar de ce qu'on est à ajouter au régime en vertu de la loi canadienne.
À voir maintenant si ce rapport s'avérera plus qu'un document « tablette ». Certaines des recommandations contenues dans ce rapport avaient déjà été faites en 2011, sans résultat. Le législateur bougera-t-il cette fois ?