une main qui tient une guitare

Perspectives

Gestion de demandes d’accès : une décision de la Commission d’accès à l’information riche en enseignements pour les entreprises

Le 31 mai 2024, la Commission d’accès à l’information (« CAI ») a rejeté trois demandes d’examen de mésentente traitées conjointement dans la décision Bérubé c. Fédération des caisses Desjardins, 2024 QCCAI 130. Cette décision rappelle certains principes importants à garder à l’esprit pour les entreprises qui doivent répondre à des demandes d’accès à des renseignements personnels, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP »).

Bref survol du contexte : des demandes d’accès répétées

La demanderesse contestait, dans cette affaire, la responsabilité d’un solde de carte de crédit que l’entreprise lui attribuait conjointement avec son ex-conjoint.

En vue d’obtenir plus de détails relatifs à cette carte de crédit, qu’elle alléguait n’avoir jamais demandée ni signée, la demanderesse a adressé des demandes d’accès répétées. Les documents en litige incluaient notamment le contrat initial de la carte de crédit conjointe et les notes au dossier de la demanderesse.

Points à retenir

Intensité de l’obligation de recherche de l’entreprise

La CAI rappelle qu’une organisation saisie d’une demande d’accès à des renseignements personnels est tenue d’effectuer un repérage complet et sérieux. Il ne s’agit pas d’une obligation de résultat, mais plutôt d’une obligation de moyens.

En l’espèce, l’entreprise a présenté une preuve concluante qu’elle s’était acquittée de cette obligation, bien qu’elle n’ait pas été en mesure de mettre la main sur le contrat de crédit initial. Devant cette preuve, il incombait à la demanderesse d’apporter une preuve contraire, allant au-delà de simples allégations et pouvant démontrer que l’entreprise n’avait pas effectué les recherches suffisantes; la demanderesse n’a pas été en mesure de révéler une faille dans les recherches de l’entreprise.

Secret professionnel de l’avocat

La CAI a conclu que certaines notes au dossier, qui reprenaient presque textuellement les échanges intervenus entre des employés de l’entreprise et ses avocats internes, étaient inaccessibles à la demanderesse puisque protégées par le secret professionnel de l’avocat.

Dans le cadre de son analyse, la CAI a appliqué les trois critères développés dans l’affaire Solosky c. La Reine, [1980] 1 R.C.S. 821, pour déterminer si une information est protégée par le secret professionnel :

  • il doit s’agir d’une communication entre un avocat et son client;
  • qui comporte une consultation ou l’obtention d’un avis juridique;
  • que les parties considèrent de nature confidentielle.

Puisque la divulgation des notes au dossier aurait permis de révéler la nature des conseils et des avis donnés par les avocats du contentieux dans le cadre du mandat leur ayant été confié, celles-ci sont protégées par le secret professionnel édicté par l’article 9 de la Charte des droits et libertés de la personne du Québec (la « Charte »).

Restriction au droit d’accès pour les renseignements liés à un litige

La CAI a également confirmé le refus de communication de certaines notes au dossier en application de l’article 39(2) de la LPRPSP, au motif que leur divulgation risquerait d’avoir une incidence sur une procédure judiciaire en cours.

Pour en arriver à cette conclusion, la CAI a examiné les quatre conditions d’application de l’article 39(2) de la LPRPSP, ayant été définies par la Cour supérieure dans l’affaire La Personnelle Vie, Corporation d’assurance c. Cour du Québec, [1997] R.J.Q. 2296 :

  • Le document demandé doit contenir des renseignements personnels sur la personne qui désire y avoir accès.
  • Le refus doit être en relation avec une procédure judiciaire en cours (ici, un recours en responsabilité avait déjà été institué devant la Cour du Québec).
  • La divulgation des renseignements doit risquer vraisemblablement d’avoir un effet sur cette procédure judiciaire.
  • L’évaluation du risque de procédure judiciaire et de l’effet de la divulgation doit être faite au moment de refuser l’accès aux renseignements demandés.

L’article 39(2) de la LPRPSP permet à une organisation de refuser de communiquer des renseignements personnels qui ne sont pas nécessairement protégés par le secret professionnel au sens de l’article 9 de la Charte. Il n’est pas non plus nécessaire que l’effet sur la procédure judiciaire soit déterminant, de façon favorable ou défavorable, sur l’issue de la procédure. Un effet quelconque suffit, l’article 39(2) de la LPRPSP ayant pour objectif d’empêcher une divulgation prématurée de la preuve qui aurait pour effet d’avantager l’auteur d’une demande d’accès au détriment de l’organisation visée par cette demande.

Dans le présent cas, les notes au dossier contenaient des renseignements liés au traitement du dossier et aux demandes d’accès de la demanderesse. Il était donc manifeste, de l’avis de la CAI, que leur divulgation risquerait d’avoir un effet sur le recours en responsabilité institué devant la Cour du Québec, ces notes pouvant constituer un élément de preuve utilisé par l’entreprise pour soutenir sa défense et justifier ses actions et agissements.

Communiquez avec nous

Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG suit de près les développements juridiques susceptibles d’éclairer les organisations sur les exigences en matière de protection des données au Canada. N’hésitez pas à communiquer avec notre équipe si votre organisation souhaite être accompagnée dans le traitement d’une demande d’accès à des renseignements personnels.

Key Contacts

  • Frédéric Wilson

    Frédéric Wilson

    Coresponsable national, Respect de la vie privée

    Montréal
    [email protected]
    514.954.2509

    Frédéric Wilson

    Coresponsable national, Respect de la vie privée

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Conformité à la législation sur le respect de la vie privée et la protection des renseignements personnels
    • Enquêtes des organismes de réglementation en matière de protection de la vie privée
    • Protection de la vie privée et atteintes à la sécurité
    • Technologies de l’information

    • Voir la biographie
    Voir la biographie
  • Simon Du Perron

    Simon Du Perron

    Avocat

    Montréal
    [email protected]
    514.954.2542

    Simon Du Perron

    Avocat

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Technologies de l’information
    • Technologies
    • Publicité et marketing
    • Intelligence artificielle (IA)
    Voir la biographie