Politique administrative concernant les regles de gouvernance en matiere de protection des renseignements personnels
Austin, Quebec
This is the exact embedded text of the captured official document.
Snapshot e3611372c0f9 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
Règles de gouvernance
Protection des renseignements personnels
1
PROVINCE DE QUÉBEC
MRC DE MEMPHRÉMAGOG
MUNICIPALITÉ D'AUSTIN
POLITIQUE ADMINISTRATIVE CONCERNANT LES RÈGLES DE
GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS
PERSONNELS DE LA MUNICIPALITÉ D'AUSTIN
ATTENDU QUE la Municipalité d'Austin (ci-après la « Municipalité ») est un organisme
public assujetti à la Loi sur l'accès aux documents des organismes publics et sur la
protection des renseignements personnels, RLRQ c. A -2.1 (ci-après la « Loi sur
l'accès ») ;
ATTENDU QUE la Municipalité s'engage à protéger les renseignements personnels
qu'elle collecte et traite dans le cadre de ses activités dans le respect des lois et
règlements applicables ;
ATTENDU QU'en 2022, la Municipalité employait, en moyenne, 50 salariés ou moins, et
qu'elle n'est donc pas assujettie à l'obligation de constituer un comité sur l'accès à
l'information et la protection des renseignements personnels conformément au Règlement
excluant certains organismes publics de l'obligation de former un comité sur l'accès à
l'information et la protection des renseignements personnels ;
ATTENDU QUE pour s'acquitter des obligations prévues à la Loi sur l'accès, est instituée
la présente politique administrative concernant les règles de gouvernance en matière de
protection des renseignements personnels.
CHAPITRE I -- APPLICATION ET INTERPRÉTATION
1. DÉFINITIONS
Aux fins de la présente politique, les expressions ou les termes suivants ont la signification
ci-dessous énoncée :
CAI : la Commission d'accès à l'information créée en vertu de la Loi sur l'accès;
Conseil : le conseil municipal de la Municipalité d'Austin;
Cycle de vie : l'ensemble des étapes d'existence d'un renseignement détenu par la
Municipalité et plus précisément sa création, sa modification, son transfert, sa
consultation, sa transmission, sa conservation, son archivage, son anonymisation ou sa
destruction ;
Loi sur l'accès : la Loi sur l'accès aux documents des organismes publics et sur la
protection des renseignements personnels, RLRQ c. A -2,1 ;
Personne concernée : toute personne physique pour laquelle la Municipalité collecte,
détient, communique à un tiers, détruit ou rend anonyme, un ou des renseignements
personnels ;
Partie prenante : une personne physique en relation avec la Municipalité dans le cadre
de ses activités et, sans limiter la généralité de ce qui précède, un employé ou un
fournisseur ;
Politique de gouvernance PRP : la politique administrative concernant les règles de
gouvernance en matière de protection des renseignements personnels de la Municipalité ;
PRP : la protection des renseignements personnels ;
Renseignement personnel (ou RP) : toute information qui concerne une personne
physique et qui permet de l'identifier directement ou indirectement, comme : l'adresse
postale, le numéro de téléphone, le courriel ou le numéro de compte bancaire, que ce soit
les données personnelles ou professionnelles de l'individu ;
Règles de gouvernance
Protection des renseignements personnels
2
Renseignement personnel sensible (RPS) : tout renseignement personnel qui suscite
un haut degré d'attente raisonnable en matière de vie privée de tout individu, notamment
en raison du préjudice potentiel à la personne en cas d'incident de confidentialité, comme
l'information financière, les informations médicales, les données biométriques, le numéro
d'assurance sociale, le numéro de permis de conduire ou l'orientation sexuelle ;
Responsable de l'accès aux documents (ou RAD) : la personne qui, conformément à
la Loi sur l'accès, exerce cette fonction et répond aux demandes d'accès aux documents
de la Municipalité ;
Responsable de la protection des renseignements personnels (ou RPRP) : la
personne qui, conformément à la Loi sur l'accès, exerce cette fonction veille à la protection
des renseignements personnels détenus par la Municipalité.
2. OBJECTIFS
La Politique de gouvernance PRP vise les objectifs suivants :
-
Énoncer les orientations et les principes directeurs destinés à assurer efficacement la
PRP ;
-
Protéger les RP recueillis par la Municipalité tout au long de leur cycle de vie ;
-
Assurer la conformité aux exigences légales applicables à la PRP, dont la Loi sur
l'accès, et aux meilleures pratiques en cette matière ;
-
Assurer la confiance du public en la Municipalité, faire preuve de transparence
concernant le traitement des RP et les mesures de PRP appliquées par la Municipalité
et leur donner accès lorsque requis.
CHAPITRE II -- MESURES DE PROTECTION DES RENSEIGNEMENTS
PERSONNELS
3. COLLECTE DES RENSEIGNEMENTS PERSONNELS
La Municipalité ne collecte que les RP nécessaires aux fins de ses activités.
Sous réserve des exceptions prévues à la Loi sur l'accès, la Municipalité ne procède pas
à la collecte de RP sans avoir préalablement obtenu le consentement de la personne
concernée.
Est entendu que le consentement doit être donné à des fins spécifiques, pour une durée
nécessaire à la réalisation des fins auxquelles il est demandé. Le consentement de la
personne concernée doit être :
a) Manifeste : ce qui signifie qu'il est évident et certain ;
b) Libre : ce qui signifie qu'il doit être exempt de contraintes ;
c) Éclairé : ce qui signifie qu'il est pris en toute connaissance de cause.
Au moment de la collecte de tout RP, la Municipalité s'assure d'obtenir de façon expresse
le consentement libre et éclairé de la personne concernée. La Municipalité doit notamment
indiquer :
-
Les fins auxquelles tout RP est requis ;
-
Le caractère obligatoire ou facultatif de la demande de collecte de RP ;
-
Les conséquences, pour la personne concernée, d'un refus de répondre à la
demande ;
-
Les conséquences, pour la personne concernée, d'un retrait de son consentement à
la communication ou à l'utilisation des RP suivant une demande facultative ;
-
Les droits d'accès et de rectification aux RP collectés ;
Règles de gouvernance
Protection des renseignements personnels
3
-
Les moyens par lesquels tout RP est recueilli ;
-
Les précisions relatives à la durée de conservation de tout RP ;
-
Les coordonnées de la personne responsable de la PRP au sein de la Municipalité.
4. CONSERVATION ET UTILISATION DES RENSEIGNEMENTS PERSONNELS
La Municipalité restreint l'utilisation de tout RP aux fins pour lesquelles il a été recueilli et
pour lequel la Municipalité a obtenu le consentement exprès de la personne concernée,
le tout sous réserve des exceptions prévues par la Loi sur l'accès.
La Municipalité limite l'accès à tout RP détenu aux seules personnes pour lesquelles ledit
accès est requis à l'exercice de leurs fonctions au sein de la Municipalité.
La Municipalité applique des mesures de sécurité équivalente, quelle que soit la sensibilité
des RP détenus afin de prévenir les atteintes à leur confidentialité et à leur intégrité sous
réserve des exceptions prévues à la Loi sur l'accès.
La Municipalité conserve les données et documents comportant des RP :
a) pour la durée nécessaire à l'utilisation pour laquelle ils ont été obtenus
ou
b) conformément aux délais prévus à son calendrier de conservation.
Lors de l'utilisation de tout RP, la Municipalité s'assure de l'exactitude du RP. Pour ce
faire, elle valide son exactitude auprès de la personne concernée de façon régulière et, si
nécessaire, au moment de son utilisation.
La Municipalité accorde le même haut taux d'attente raisonnable de protection, en matière
de confidentialité et d'intégrité envers tout RP qu'elle collecte, conserve et utilise que le
RP soit sensible ou non.
5. FICHIER DE RENSEIGNEMENTS PERSONNELS
La Municipalité établit et maintient à jour un inventaire de ses fichiers de renseignements
personnels.
Cet inventaire doit contenir les indications suivantes :
a) la provenance des renseignements versés à chaque fichier ;
b) les catégories de personnes concernées par les renseignements versés à chaque
fichier ;
c) les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs
fonctions ;
d) les mesures de sécurité prises pour assurer la protection des renseignements
personnels.
Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des
renseignements dont la confirmation de l'existence peut être refusée en vertu des
dispositions de la Loi sur l'accès.
6. COMMUNICATION À DES TIERS
La Municipalité, ne peut communiquer à des tiers tout RP sans un consentement exprès
de la personne concernée sauf exception prévue à la Loi sur l'accès.
La Municipalité indique, dans les registres exigés par la Loi sur l'accès, toutes les
informations relatives à la transmission de tout RP à un tiers à quelques fins que ce soit.
Règles de gouvernance
Protection des renseignements personnels
4
7. DESTRUCTION OU ANONYMISATION
Lorsque des RP ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis et
lorsque le délai prévu au calendrier de conservation est expiré, la Municipalité doit les
détruire de façon irréversible ou les rendre anonymes.
Au moment de la rédaction de cette politique, les fonctions de RPRP, RAD, direction
générale et greffière trésorière sont exercées par la même personne.
La procédure de destruction devra être approuvée par la greffière-trésorière (même que
RPRP) afin de s'assurer notamment du respect de l'article 199 du Code municipal du
Québec.
L'anonymisation vise une fin sérieuse et légitime et la procédure est irréversible.
Toute procédure d'anonymisation doit être approuvée par la greffière-trésorière (même
que RPRP).
CHAPITRE III -- RÔLES ET RESPONSABILITÉS À L'ÉGARD DE LA
PROTECTION DES RENSEIGNEMENTS PERSONNELS
Le RPRP approuve la présente Politique et veille, en collaboration avec conseil, à sa mise
en œuvre, notamment en s'assurant :
a) de prendre les décisions nécessaires relevant de sa compétence pour voir à la
mise en œuvre et au respect de la présente Politique ;
b) que les directeurs de service de la Municipalité fassent la promotion d'une culture
organisationnelle fondée sur la protection des RP et des comportements
nécessaires afin d'éviter tout incident de confidentialité ;
c) que le RPRP et RAD puissent exercer de manière autonome leurs pouvoirs et
responsabilités.
8. DIRECTION GÉNÉRALE
La direction générale est responsable (même que RPRP) de la qualité de la gestion de la
PRP et de l'utilisation de toute infrastructure technologique de la Municipalité à cette fin.
À cet égard, elle doit mettre en œuvre la présente Politique en :
a) veillant à ce que le RPRP et le RAD puissent exercer de manière autonome leurs
pouvoirs et responsabilités ;
b) s'assurant que les valeurs et les orientations en matière de PRP soient partagées
et véhiculées par tout gestionnaire et employé de la Municipalité ;
c) apportant les appuis financiers et logistiques nécessaires à la mise en œuvre et
au respect de la présente politique ;
d) exerçant son pouvoir d'enquête et appliquant les sanctions appropriées aux
circonstances pour le non-respect de la présente Politique ;
9. RESPONSABLE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Le RPRP, en collaboration avec le RAD, contribue à assurer une saine gestion de la PRP
au sein de la Municipalité. Il soutient le conseil, la direction générale et l'ensemble du
personnel de la Municipalité dans la mise en œuvre de la présente Politique.
Conformément au Règlement excluant certains organismes publics de l'obligation de
former un comité sur l'accès à l'information et la protection des renseignements
personnels (Décret 744-2023, 3 mai 2023), le RPRP assume les tâches qui sont dévolues
au Comité sur l'accès à l'information et la protection des renseignements personnels
prévu à l'article 8.1 de la Loi sur l'accès ainsi que les obligations qui en découlent.
Notamment, le RPRP s'assure de :
a) définir et approuver les orientations en matière de PRP au sein de la Municipalité ;
Règles de gouvernance
Protection des renseignements personnels
5
b) déterminer la nature des RP devant être collectés par les différents services de la
Municipalité, leur conservation, leur communication à des tiers et leur destruction ;
c) suggérer les adaptations nécessaires en cas de modifications à la Loi sur l'accès,
à ses règlements afférents ou l'interprétation des tribunaux, le cas échéant ;
d) planifier et assurer la réalisation des activités de formation des employés de la
Municipalité en matière de PRP ;
e) formuler des avis sur les initiatives d'acquisition, de déploiement et de refonte de
systèmes d'information ou de toute nouvelle prestation électronique de services
de la Municipalité nécessitant la collecte, l'utilisation, la conservation, la
communication à des tiers ou la destruction des RP, et ce, tant au moment de la
mise en place de ces initiatives que lors de toute modification à celles-ci ;
f) formuler des avis sur les mesures particulières à respecter quant aux sondages
qui collectent ou utilisent des RP, ou encore en matière de vidéosurveillance ;
g) veiller à ce que la Municipalité connaisse les orientations, les directives et les
décisions formulées par la CAI en matière de PRP ;
h) évaluer le niveau de PRP au sein de la Municipalité ;
i) recommander à la greffière-trésorière de procéder à l'anonymisation de RP en lieu
et place de la destruction de RP qui n'est plus utile à la Municipalité ;
j) faire rapport au conseil et à la direction générale, sur une base annuelle, quant à
l'application de la présente politique.
10. RESPONSABLE DE L'ACCÈS AUX DOCUMENTS
Dans le cadre de cette fonction, le responsable de la conformité doit :
a) recevoir toutes les demandes qui sont de la nature d'une demande d'accès aux
documents au sens de la Loi sur l'accès, y compris les demandes d'informations ;
b) répondre aux requérants de l'accès à des documents en fonction des prescriptions
de la Loi sur l'accès.
11. DIRECTEUR DE SERVICE
Chaque directeur de service est responsable de veiller à la PRP au sein du service qu'il
dirige ainsi que des infrastructures technologiques nécessaires à cette fin auxquelles les
employés du service et lui ont accès dans le cadre de leurs fonctions à la Municipalité.
À ce titre, chaque directeur de service doit :
a) faire connaître la présente politique en matière de PRP aux employés de son
service et s'assurer de son application et son respect par ceux-ci ;
b) s'assurer que les mesures de sécurité déterminées et mises en place soient
appliquées systématiquement à l'occasion de son emploi et de celui des employés
qu'il dirige dans le service dont il est responsable ;
c) participer à la sensibilisation de chaque employé de son équipe aux enjeux de la
PRP ;
d) désigner, au sein de son service, le ou les employés dont la tâche inclue
spécifiquement les fonctions de veiller à la collecte, la détention, la conservation
ou la destruction des RP et leur protection ;
e) dans le cas où aucun employé n'est désigné, le directeur de service assume les
tâches et responsabilités prévues à l'article 13.
Règles de gouvernance
Protection des renseignements personnels
6
12. RESPONSABLE DE LA PRP AU SEIN DES DIFFÉRENTS SERVICES DE LA
MUNICIPALITÉ
Chaque directeur de service de la Municipalité doit identifier le responsable de la PRP au
sein de son service au RPRP. Les employés de chaque service de la Municipalité ainsi
désignés sont responsables au sein de leur service de certaines étapes de la vie des RP,
c'est-à-dire la collecte et la détention.
Chaque responsable au sein d'un service susmentionné travaille en étroite collaboration
avec le RPRP afin d'inventorier les diverses catégories de RP recueillies, détenues,
communiquées à des tiers, le cas échéant, détruites ou rendues anonymes et de maintenir
à jour cet inventaire. Le responsable doit également voir à ce que les employés du service
obtiennent tout consentement requis de tout individu aux fins de collecter, détenir ou
transférer à des tiers le cas échéant. Le responsable doit voir à la conservation et au
classement des consentements recueillis de manière que ceux-ci puissent être facilement
retracés.
13. EMPLOYÉS
Chaque employé doit :
a) prendre toutes les mesures nécessaires afin de protéger les RP ;
b) mettre tout en œuvre pour respecter le cadre légal applicable et les mesures
prévues aux différentes politiques et directives de la Municipalité en lien avec la
protection des RP ;
c) n'accéder qu'aux RP nécessaires dans l'exercice de ses fonctions ;
d) signaler au RPRP tout incident de confidentialité ou traitement irrégulier des RP ;
e) participer activement à toute activité de sensibilisation ou formation données en
matière de PRP ;
f) collaborer avec le RPRP et le RAD.
14. FORMATION DU PERSONNEL DE LA MUNICIPALITÉ EN VUE DE LA
PROTECTION DES RENSEIGNEMENTS PERSONNELS
Le RPRP établit le contenu et le choix des formations offertes à tous les employés de la
Municipalité et détermine la fréquence à laquelle les employés doivent suivre toute
formation établie.
Les activités de formation ou de sensibilisation inclus notamment :
-
Formation à l'embauche sur l'importance de la PRP et les actions à prendre dans son
travail ;
-
Formation à tous les employés sur la mise en œuvre de la présente politique ;
-
Formation aux employés utilisant un nouvel outil informatique impliquant des RP ;
-
Formation sur les mises à jour de la présente politique ou des mesures de sécurité
des RP, le cas échéant ;
-
Lors de réunions mensuelles d'employés, discuter des cas ou étude de cas;
CHAPITRE IV -- MESURES ADMINISTRATIVES
15. SONDAGES
Avant d'effectuer, ou de permettre à une tierce partie d'effectuer un sondage auprès des
personnes concernées pour lesquelles la Municipalité détient, recueille ou utilise des RP,
le RPRP devra préalablement faire une évaluation des points suivants :
-
la nécessité de recourir au sondage ;
Règles de gouvernance
Protection des renseignements personnels
7
-
l'aspect éthique du sondage compte tenu, notamment, de la sensibilité des
renseignements personnels recueillis et de la finalité de leur utilisation.
Suivant cette évaluation, le RPRP devra faire des recommandations au conseil et à la
direction générale.
16. ACQUISITION,
DÉVELOPPEMENT
OU
REFONTE
D'UN
SYSTÈME
D'INFORMATION OU DE PRESTATION ÉLECTRONIQUE
Avant de procéder à l'acquisition, au développement ou à la refonte des systèmes de
gestion des RP, la Municipalité doit procéder à une évaluation des facteurs relatifs à la vie
privée.
Aux fins de cette évaluation, la Municipalité doit consulter, dès le début du projet, son
RPRP.
Dans le cadre de la mise en œuvre du projet prévu à l'article 17.1, le RPRP peut, à toute
étape, suggérer des mesures de protection des RP, dont notamment :
a) la nomination d'une personne chargée de la mise en œuvre des mesures de PRP ;
b) des mesures de PRP dans tout document relatif au projet, tel qu'un cahier des
charges ou un contrat ;
c) une description des responsabilités des participants au projet en matière de PRP ;
d) la tenue d'activités de formation sur la PRP pour les participants au projet.
La Municipalité doit également s'assurer que dans le cadre du projet prévu à l'article 17.1,
le système de gestion des renseignements personnels permet qu'un RP informatisé
recueilli auprès de la personne concernée soit communiqué à cette dernière dans un
format technologique structuré et couramment utilisé.
La réalisation d'une évaluation des facteurs relatifs à la vie privée doit être proportionnée
à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur
quantité, à leur répartition et à leur support.
17. INCIDENTS DE CONFIDENTIALITÉ
L'accès, l'utilisation ou la communication non autorisés de tout RP ou sa perte constituent
un incident de confidentialité au sens de la Loi sur l'accès.
La Municipalité assure la gestion de tout incident de confidentialité conformément à la
procédure de gestion des incidents de confidentialité dont font partie les règles suivantes :
-
Tout incident de confidentialité avéré ou potentiel doit être rapporté le plus rapidement
possible au RPRP par toute personne qui s'en rend compte ;
-
Le RPRP doit réviser l'information rapportée afin de déterminer s'il s'agit d'un incident
de confidentialité et dans l'affirmative :
o inscrire l'information pertinente au registre des incidents de confidentialité de la
Municipalité ;
o aviser la CAI et toute personne concernée par l'incident de confidentialité ;
o identifier et recommander l'application de mesures d'atténuation appropriées, le
cas échéant.
18. TRAITEMENT DES PLAINTES
Toute personne physique qui estime que la Municipalité n'assure pas la protection des
RP de manière conforme à la Loi sur l'accès peut porter plainte de la manière suivante :
-
Une plainte ne peut être considérée uniquement que si elle est faite par écrit par une
personne physique qui s'identifie.
Règles de gouvernance
Protection des renseignements personnels
8
-
Telle demande est adressée au RPRP de la Municipalité.
-
Le RPRP avise par écrit le requérant de la date de la réception de sa plainte et indique
les délais pour y donner suite.
-
Le RPRP donne suite à une plainte avec diligence et au plus tard dans les vingt jours
suivant la date de sa réception.
-
Si le traitement de la plainte dans le délai prévu à l'article 19.4 de la présente Politique
paraît impossible à respecter sans nuire au déroulement normal des activités de la
Municipalité, le RPRP peut, avant l'expiration de ce délai, le prolonger d'une période
raisonnable et en donne avis au requérant, par tout moyen de communication
permettant de joindre ce dernier.
-
Dans le cadre du traitement de la plainte, le RPRP peut communiquer avec le
plaignant et faire une enquête interne.
-
À l'issue de l'examen de la plainte, le RPRP transmet au plaignant une réponse finale
écrite et motivée.
-
Si le plaignant n'est pas satisfait de la réponse obtenue ou du traitement de sa plainte,
il peut s'adresser par écrit à la CAI.
19. SANCTIONS
Tout employé de la Municipalité qui contrevient à la présente Politique ou aux lois et à la
réglementation en vigueur applicable en matière de PRP s'expose, en plus des pénalités
prévues aux lois, à une mesure disciplinaire pouvant notamment mener à une mesure
disciplinaire et pouvant aller jusqu'au congédiement. La direction générale, de concert
avec le Service des Ressources humaines, est chargée de décider de l'opportunité
d'appliquer la sanction appropriée, le cas échéant. La Municipalité peut également
transmettre à toute autorité judiciaire les informations colligées sur tout employé, qui
portent à croire qu'une infraction à l'une ou l'autre loi ou règlement en vigueur en matière
de PRP a été commis.
20. DISPOSITION FINALE
La présente politique entre en vigueur dès son approbation.
Manon Fortin
Manon Fortin
Directrice générale et greffière-trésorière
Responsable de la protection des renseignements personnels
Responsable de l'accès aux documents
Approbation de la politique : 21 septembre 2023