Procédure de gestion des incidents de confidentialité — full text

This is the exact embedded text of the captured official document. Snapshot efc44b7b2ff5 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

1 PROCÉDURE DE GESTION DES INCIDENTS DE CONFIDENTIALITÉ 1. Objectif La présente procédure vise à encadrer les exigences à respecter ainsi que les mesures à prendre en cas d'incident de confidentialité, le tout en conformité avec les articles 63.8 à 63.11 de la Loi sur l'accès aux documents des organismes publics et la protection des renseignements personnels (RLRQ, c. A-2.1). 2. Définitions Aux fins de la présente procédure, les expressions ou les termes suivants ont la signification ci- dessous énoncée : CAI : Désigne la Commission d'accès à l'information créée en vertu de la Loi sur l'accès; Conseil : Désigne le conseil municipal de la Municipalité d'Ayer's Cliff; Employé : Désigne un élu.e, un cadre ou un employé, à temps plein ou temps partiel, permanent, saisonnier ou contractuel; Incident de confidentialité : Désigne l'accès, l'utilisation ou la communication non autorisés par la Loi sur l'accès de tout renseignement personnel, sa perte ou toute autre atteinte à la protection d'un tel renseignement; Loi sur l'accès : Désigne la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A -2,1 ; Personne concernée : Désigne toute personne physique pour laquelle la Municipalité collecte, détient, communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels ; Renseignement personnel (ou RP) : Désigne toute information qui concerne une personne physique et qui permet de l'identifier directement ou indirectement, comme : l'adresse postale, le numéro de téléphone, le courriel ou le numéro de compte bancaire, que ce soit les données personnelles ou professionnelles de l'individu ; Renseignement personnel (ou RP) sensible : Désigne tout renseignement personnel qui suscite un haut degré d'attente raisonnable en matière de vie privée de tout individu, notamment en raison du préjudice potentiel à la personne en cas d'incident de confidentialité, comme l'information financière, les informations médicales, les données biométriques, le numéro d'assurance sociale, le numéro de permis de conduire ou l'orientation sexuelle ; Responsable de la protection des renseignements personnels (ou RPRP) : Désigne la personne qui, conformément à la Loi sur l'accès, exerce cette fonction veille à la protection des renseignements personnels détenus par la Municipalité. 3. Responsable de l'application Le RPRP est responsable de voir à l'application de la présente procédure. Dans le cadre de ses fonctions il peut se faire assister d'autres employés de la Municipalité. Il peut également, sous 2 réserve des règles de gestion contractuelles et de délégation de pouvoir, utiliser des services externes spécialisés en la matière. Tous les employés doivent collaborer avec le RPRP dans le cadre de l'application de la présente procédure. 4. Constat de l'incident de confidentialité Tout employé de la Municipalité qui constate un incident de confidentialité avéré ou potentiel doit aviser sans délai Me Abelle L'Écuyer-Legault à [email protected] ou par téléphone au 819-838-5006. En cas d'absence de cette personne, communiquer avec Me Josiane Hudon à [email protected] ou par téléphone au 819-838-5006. Exemples d'incidents de confidentialité : - Communication par erreur des renseignements personnels à un mauvais destinataire - Un vol de dossier ou de données au moyen de divers moyens technologiques (clé USB, piratage, etc.); - Accès à des renseignements personnels par une personne non autorisée. 5. Analyse de l'incident de confidentialité Le RPRP doit analyser l'événement rapporté conformément à l'article 4 de la présente politique afin de déterminer s'il s'agit effectivement d'un incident de confidentialité. - Dans la négative : aucune action particulière ne doit être prise. Toutefois, considérant les circonstances, le RPRP peut décider d'effectuer un diagnostic afin d'évaluer si les mesures de sécurité mises en place sont fonctionnelles et bien adaptées aux circonstances. - Dans l'affirmative : poursuivre les prochaines étapes. 6. Évaluation de la situation Le RPRP doit évaluer le risque qu'un préjudice soit causé à une personne concernée dont un RP est touché par l'incident de confidentialité. Afin d'évaluer le risque de préjudice, le RPPR devra notamment répondre aux questions suivantes : - Quand l'incident a-t-il eu lieu? - Quand l'incident a-t-il été constaté? - Où l'incident a-t-il eu lieu? o Dans les locaux de la Municipalité? Lesquels? o Chez un tiers détenant des renseignements personnels pour la Municipalité? o Est-ce un incident de confidentialité impliquant un lieu physique, un système informatique ou technologique, etc. ? - Quelles sont les causes probables de l'incident ? o S'agit-il d'enjeux de sécurité physique, humaine, technologique, etc.? o Quelles mesures de sécurité étaient en place? o Pourquoi n'ont-elles pas été efficaces? - Qui peut avoir eu accès aux RP (employé non autorisé, mandataire, fournisseur, tiers, etc.)? o Qui sont les personnes concernées (employés, fournisseur, citoyens, clients, etc.)? 3 o Combien y a-t-il de personnes concernées? o Quelle est la nature des RP visés par l'incident (à caractère public, renseignements nominatifs, sensibles, etc.)? o Il y a-t-il un risque de préjudice sérieux pour les personnes concernées? Pour évaluer le risque de préjudice, il faut considérer notamment : - La sensibilité du RP concerné; - Les utilisations malveillantes possibles; - Les conséquences appréhendées de son utilisation; - La probabilité qu'il soit utilisé à des fins préjudiciables. 7. Mise en place de mesure pour diminuer les risques En fonction de l'évaluation de la situation, le RPRP doit s'assurer que des mesures raisonnables soient mises en place afin de diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent. 8. Avis en cas de risque de préjudice sérieux Lorsque l'évaluation de la situation mène à la conclusion qu'il y a un risque de préjudice sérieux pour les personnes concernées : a. Avis à la CAI Un avis doit être transmis avec diligence à la CAI. Un modèle d'avis est disponible sur le site internet de la CAI à l'adresse : https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf b. Avis à toutes les personnes concernées Un avis doit être transmis par écrit1, dans les meilleurs délais, aux personnes concernées le tout, conformément au modèle joint en Annexe A de la présente procédure. Dans le but d'agir rapidement et de diminuer ou d'atténuer les risques de préjudices sérieux, un avis public peut également être fait. Toutefois, la publication d'un avis public n'exempte pas la Municipalité de l'envoi d'un avis à chaque personne concernée sauf dans les cas suivants : - La transmission de l'avis peut causer un plus grand préjudice à la personne concernée; - La transmission de l'avis représente une difficulté excessive pour la Municipalité; - La Municipalité n'a pas les coordonnées de la personne concernée. Avant de communiquer avec la personne concernée, le RPRP doit s'assurer qu'il détient les bonnes coordonnées. NOTE : La personne concernée n'a pas à être avisée tant que cela est susceptible d'entraver une enquête faite par une personne ou un organisme chargé par la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois. 1 Comme la Loi sur l'accès n'exige pas que l'avis soit donné par écrit, il pourrait tout de même être donné par courrier, par courriel, de même que par téléphone ou en personne. Toutefois, nous sommes d'avis qu'afin de laisser une trace des étapes effectuées, il est préférable de transmettre les avis par écrit. Si les avis sont donnés par téléphone ou en personne, il sera important de bien documenter ces communications. 4 9. Inscrire l'information pertinente au registre des incidents de confidentialité de la Municipalité Le RPRP doit veiller à ce qu'un registre des incidents de confidentialité soit mis en place à la Municipalité. Il doit également y inscrire tous les incidents de confidentialité, et ce, même s'ils ne présentent pas de risque de préjudice sérieux. Les renseignements du registre doivent être conservés pour une période minimale de cinq (5) ans, après la date ou la période de prise de connaissance de l'incident par la Municipalité. 10. Mise à jour et modification de la procédure La présente procédure devra être modifiée en fonction des changements législatifs, règlementaires, ou autres recommandations de la CAI ou du gouvernement, le cas échéant, afin de s'assurer qu'elle demeure en tout temps en conformité avec les lois applicables et les meilleures pratiques en cette matière. En cas de modification, tous les employés de la Municipalité devront en être informés afin qu'ils puissent en prendre connaissance. ANNEXE A Avis à la personne concernée par un incident de confidentialité causant un préjudice sérieux Madame, Monsieur, La Municipalité d'Ayer's Cliff conformément à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1, tient à vous informer de la survenance d'un incident de confidentialité concernant vos renseignements personnels suivants : [description ou énumération des renseignements personnels ou des motifs justifiant l'impossibilité de les décrire]. L'incident de confidentialité a eu lieu au sein de notre service de , le ou vers le lequel a été découvert le . Les circonstances entourant cet incident se résument comme suit : [brève description des circonstances de l'incident]. Actuellement, la Municipalité prend les mesures nécessaires afin de diminuer le risque qu'un préjudice vous soit causé, les mesures suivantes sont ou seront rapidement mises en place : - Avis à la Commission d'accès à l'information en date du ; - [Énumérer les mesures et dates de mise en place]. Afin de diminuer ou atténuer le risque qu'un préjudice vous soit causé, nous vous suggérons de prendre les mesures suivantes : - [Énumérer les mesures à adopter par la personne concernée] Pour toute information complémentaire, vous pouvez contacter le responsable de la protection des renseignements personnels au sein de la municipalité aux coordonnées suivantes : Nom : Téléphone : Courriel : Veuillez agréer, Madame, Monsieur, nos salutations distinguées. ____________________ Nom Poste