Politique relative à la gouvernance, à la sécurité et à la confidentialité de l'information — full text

This is the exact embedded text of the captured official document. Snapshot 93141ceacd41 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

Politique relative à la gouvernance, à la sécurité et à la confidentialité de l'information Adoptée par résolution le 27 novembre 2023 1 HISTORIQUE DES RÉVISIONS Date Modifications - 2 TABLES DES MATIÈRES 1. PRÉAMBULE.......................................................................................................................................... 4 2. OBJET .................................................................................................................................................... 4 3. CADRE LÉGAL ........................................................................................................................................ 4 4. CHAMP D'APPLICATION ....................................................................................................................... 5 5. PRINCIPES GÉNÉRAUX .......................................................................................................................... 5 5.1 Accès à l'information et protection des renseignements personnels .......................................... 5 5.2 Responsabilité et reddition de comptes ....................................................................................... 5 5.3 Universalité ................................................................................................................................... 5 5.4 Évolution ....................................................................................................................................... 5 5.5 Éthique .......................................................................................................................................... 6 5.6 Sensibilisation et formation .......................................................................................................... 6 6. GOUVERNANCE DE L'INFORMATION ................................................................................................... 6 6.1 Primauté du support numérique de l'information ....................................................................... 6 6.2 Utilisation du logiciel Constellio comme outil central pour la création et la conservation des documents ................................................................................................................................................ 6 6.3 Utilisation du plan de classification et des outils complémentaires ............................................. 7 6.4 Conformité et application du calendrier de conservation ............................................................ 7 7. SÉCURITÉ DE L'INFORMATION ............................................................................................................. 7 7.1 Gestion du risque .......................................................................................................................... 7 7.2 Plan de relève et de continuité ..................................................................................................... 8 7.3 Gestion des accès .......................................................................................................................... 8 7.4 Sécurité physique .......................................................................................................................... 8 7.5 Cycles de vie des systèmes d'information .................................................................................... 8 7.6 Surveillance ................................................................................................................................... 9 7.7 Gestion des incidents de confidentialité et de sécurité de l'information .................................... 9 8. CONFIDENTIALITÉ DE L'INFORMATION ET PROTECTION DES RENSEIGNEMENTS PERSONNELS ......... 9 8.1 Identification des renseignements ............................................................................................... 9 8.2 Identification des utilisateurs ..................................................................................................... 10 8.3 Exactitude des renseignements .................................................................................................. 10 8.4 Accès aux renseignements - employés et fournisseurs de service ............................................ 10 8.5 Protection des renseignements au moyen de procédures de sécurité établies ........................ 11 8.6 Infolettre et alertes ..................................................................................................................... 11 8.7 Témoins de connexion ................................................................................................................ 11 3 8.8 Listes de diffusion et bases de données ..................................................................................... 11 8.9 Acceptation des modalités d'emploi du site internet et des services en ligne .......................... 12 9. ACCÈS AUX DOCUMENTS ET AUX RENSEIGNEMENTS PERSONNELS ................................................. 12 9.1 Droits des personnes concernées ............................................................................................... 12 9.2 Traitement des demandes d'accès aux documents et des plaintes relatives à la protection des renseignements personnels ................................................................................................................... 12 10. RÔLES ET RESPONSABILITÉS ............................................................................................................ 13 10.1 Conseil municipal : ...................................................................................................................... 13 10.2 Direction des affaires juridiques : ............................................................................................... 13 10.3 Service des technologies de l'information : ................................................................................ 14 10.4 Direction des communications et des relations avec le citoyen ................................................. 14 10.5 Responsable de l'accès à l'information et de la protection des renseignements personnels.... 15 10.6 Comité d'accès à l'information et la protection des renseignements personnels ..................... 15 10.7 Autres directions et services ....................................................................................................... 16 10.8 Employés ..................................................................................................................................... 16 11. DOCUMENTS COMPLÉMENTAIRES ................................................................................................. 16 12. SANCTIONS ...................................................................................................................................... 17 13. ENTRÉE EN VIGUEUR ....................................................................................................................... 17 14. CALENDRIER DE RÉVISION .............................................................................................................. 17 15. ABROGATION ........................................................................................... Erreur ! Signet non défini. 4 1. PRÉAMBULE La gouvernance, la sécurité et la confidentialité de l'information revêtent de plus en plus d'importance dans la société où les échanges accélérés par des moyens technologiques hautement sophistiqués facilitent la diffusion et l'accès de l'information. La Ville de Beloeil, ci-après dénommée « Ville », doit collecter de l'information sous toutes ses formes, la conserver et l'utiliser à différentes fins, pour l'exécution et la prestation de ses services, pour ses opérations administratives et pour assurer la sécurité de ses citoyens. L'information est donc essentielle aux opérations courantes de la Ville et, de ce fait, elle doit faire l'objet d'une gouvernance, d'une utilisation et d'une protection appropriées. La Ville recueille et conserve par ailleurs des renseignements personnels ainsi que des informations qui ont notamment une valeur légale, administrative, économique ou patrimoniale. Ces informations doivent être adéquatement gérées et protégées. Par conséquent, cette politique relative à la gouvernance, à la sécurité et à la confidentialité de l'information, ci-après dénommée « Politique », est adoptée afin d'assurer l'accès sécurisé, la disponibilité, l'intégrité, la protection et la conservation de l'information. 2. OBJET La présente politique a pour objet : - D'énoncer les principes encadrant la gouvernance, la sécurité et la confidentialité de l'information de la Ville tout au long de son cycle de vie, de même que les droits des personnes concernées; - D'établir le processus de traitement des demandes d'accès aux documents et les plaintes relatives à la protection des renseignements personnels; - De définir les rôles et responsabilités en matière de gouvernance, de sécurité et de confidentialité de l'information, de même que concernant la protection des renseignements personnels; - De prévoir des activités de formation et de sensibilisation offertes au personnel. 3. CADRE LÉGAL La présente politique repose notamment sur les législations suivantes : - Loi sur les cités et Villes (RLRQ, c. C-19); - Code civil du Québec (RLRQ, c. 64); - Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ., c. A-2.1); - Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1); - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, c.25); 5 - Règlement sur les incidents de confidentialité (Décret 1761-2022 du 30 novembre 2022, publié dans la Gazette officielle du Québec du 14 décembre 2022, 154e année numéro 50, pp. 6819- 6822 et entré en vigueur le 29 décembre 2022); - Loi sur les archives (RLRQ, c. A-21.1). 4. CHAMP D'APPLICATION La présente politique s'applique à tout employé de la Ville et vise l'ensemble des informations produites ou reçues par celui-ci dans le cadre de leurs fonctions, qu'elles soient physiques ou numériques. Toutes les informations produites ou reçues par les employés dans le cadre de leurs fonctions sont la propriété de la Ville, de sa création ou réception à sa destruction ou sa conservation permanente, peu importe leur support. 5. PRINCIPES GÉNÉRAUX La présente politique s'appuie sur les principes généraux suivants : 5.1 Accès à l'information et protection des renseignements personnels Tout employé doit avoir accès à l'information nécessaire pour pouvoir accomplir ses tâches et activités. Cette information doit être disponible, repérable, authentique et fiable, intègre et exploitable. De plus, toute information contenant des renseignements personnels ou confidentiels doit être préservée de toute divulgation, tout accès ou toute utilisation non autorisée. 5.2 Responsabilité et reddition de comptes L'efficacité des règles de gouvernance et des mesures de sécurité de l'information commandent l'attribution claire de rôles et responsabilités aux divers intervenants de tous les niveaux de l'organisation ainsi que la mise en place de processus de gestion interne assurant une reddition de comptes adéquate. 5.3 Universalité Les diverses pratiques ainsi que les solutions retenues en matière de gouvernance de l'information doivent correspondre à des façons de faire reconnues et généralement utilisées à l'échelle nationale et internationale. 5.4 Évolution Les diverses pratiques ainsi que les solutions retenues en matière de gouvernance de l'information doivent être réévaluées périodiquement afin de tenir compte des changements 6 juridiques, organisationnels, technologiques, physiques et environnementaux, de même que de l'évolution des menaces et des risques. 5.5 Éthique Les processus de gouvernance et de gestion de la sécurité de l'Information doivent être appuyés par une démarche d'éthique visant à assurer la régulation des conduites et la responsabilisation individuelle. 5.6 Sensibilisation et formation La gouvernance et la sécurité de l'information reposent notamment sur la régulation des conduites et la responsabilisation individuelle. À cet égard, la Ville s'engage à sensibiliser et à former régulièrement les membres de son personnel aux processus de gouvernance et aux mesures de sécurité de l'information, aux conséquences d'une atteinte à leur sécurité ainsi qu'à leur rôle et leurs obligations en la matière. 6. GOUVERNANCE DE L'INFORMATION La gouvernance de l'information détenue par la Ville est assurée par les moyens décrits ci-après : 6.1 Primauté du support numérique de l'information - Compte tenu de la transformation numérique, des espaces de travail collaboratif et du télétravail, le support numérique est privilégié pour l'utilisation et la conservation de l'information; - Sauf exception, les documents sur support papier doivent être numérisés et la version papier doit être éliminée. Toute numérisation de documents ayant une valeur légale et/ou à conservation permanente doit se faire en conformité avec la procédure de numérisation des documents. 6.2 Utilisation du logiciel Constellio comme outil central pour la création et la conservation des documents - Le logiciel de gestion intégré des documents Constellio est l'outil central de création et de conservation des dossiers et des documents. Tous les dossiers et documents créés et conservés dans le cadre des activités de la Ville doivent donc être enregistrés dans ce logiciel; - Ce logiciel permet un accès à tous les dossiers et documents nécessaires pour la réalisation des activités, tout en assurant la gestion sécurisée et la journalisation des accès aux dossiers et documents; - Le développement et l'implantation du logiciel Constellio sont sous la responsabilité de la Direction des affaires juridiques. 7 6.3 Utilisation du plan de classification et des outils complémentaires - Le travail collaboratif implique une centralisation des dossiers et documents de même qu'une structure de classement normalisée pour assurer le repérage des dossiers et éviter le dédoublement de l'information; - Un plan de classification a été élaboré à cet effet, ce qui permet de classer et de retrouver tous les dossiers et documents créés dans le cadre des activités de la Ville; - Le plan de classification doit être utilisé par tous les employés de la Ville pour le classement de leurs documents. Tout nouvel employé doit obligatoirement suivre une formation dispensée par la Direction des affaires juridiques concernant l'utilisation de ce plan; - Des outils complémentaires, tels notamment les règles de nommages et la liste des abréviations, complètent le plan de classification et sont également à la disposition des employés; - La Direction des affaires juridiques peut, s'il y a lieu, dispenser des formations sur mesure en fonction des besoins des unités administratives; - La gestion de l'évolution et des modifications du plan de classification est sous la responsabilité de la Direction des affaires juridiques. 6.4 Conformité et application du calendrier de conservation - En tant qu'organisme public, la Ville doit se conformer à la Loi sur les archives lors du traitement et de l'élimination de l'information qu'elle conserve; - Elle doit à cet effet appliquer son calendrier de conservation, approuvé par Bibliothèque et archives nationales du Québec (BAnQ). - Le calendrier de conservation est composé de règles qui déterminent le délai pendant lequel les documents doivent être conservés pour assurer la continuité des activités, remplir ses obligations légales et constituer le patrimoine informationnel de la Ville. - L'application des règles de conservation permet également de gérer de façon optimale l'information par l'élimination de celles qui ne doivent plus être conservées, en plus d'assurer la destruction des renseignements personnels dès que les fins pour lesquelles ils ont été recueillies sont accomplies; - La gestion de l'évolution et des modifications du calendrier de conservation est sous la responsabilité de la Direction des affaires juridiques. 7. SÉCURITÉ DE L'INFORMATION La sécurité de l'information détenue par la Ville est assurée par les moyens décrits ci-après : 7.1 Gestion du risque Un comité d'accès à l'information et à la protection des renseignements personnels, ci-après dénommé « Comité » est constitué par la Ville afin de coordonner les efforts en matière de 8 protection des renseignements personnels, de même que pour le suivi des incidents de confidentialité. Dans le but d'orienter ses choix de mesures de sécurité de l'information, ce comité : - Procède à l'identification et l'évaluation périodiques des risques qui menacent la confidentialité, l'intégrité ou la disponibilité de l'information; - Déploie des mesures de protection en fonction de l'évaluation des impacts et de la probabilité d'occurrence d'une menace, de façon à atténuer les risques et à les maintenir à un niveau acceptable; - Procède à une évaluation des risques et à une évaluation des facteurs relatifs à la vie privée, ci-après dénommée « ÉFVP » préalablement à toute acquisition ou tout changement important à ses systèmes d'information ou des infrastructures informationnelles. Une ÉFVP est une démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées. 7.2 Plan de relève et de continuité La continuité des activités nécessaires à la réalisation de sa mission est assurée en tout temps, y compris lors d'un sinistre ou d'une défaillance majeure affectant les informations jugées essentielles. Un plan des mesures d'urgence, prévoyant notamment une cellule de crise ainsi que des mesures d'urgence, est élaboré et maintenu à jour afin de limiter les impacts liés à un incident majeur. 7.3 Gestion des accès Un contrôle de l'accès aux locaux, de même qu'aux informations de manière à empêcher tout accès non autorisé, dommage ou intrusion est fait par la Ville. L'accès à l'information n'est permis qu'aux personnes détentrices de celle-ci et aux personnes autorisées par celles-ci, incluant les fournisseurs de service. 7.4 Sécurité physique Des mesures adéquates pour protéger ses informations et ses systèmes d'information contre toute atteinte à leur intégrité, incluant notamment contre les risques d'incendie, d'inondation, de survoltage, de coupures de courant et autres pannes de diverses natures, sont prises par la Ville. 7.5 Cycles de vie des systèmes d'information Les systèmes d'information permettent de protéger la confidentialité et l'intégrité de l'information et assurer sa disponibilité. Des mesures d'encadrement et de suivi sont établies en ce sens et suivies tout au long du processus menant à l'acquisition, au développement, à l'implantation et à l'entretien des systèmes d'information, de même que tout au long de leur 9 cycle de vie de l'information, soit pendant l'ensemble des étapes de son traitement que sont la collecte, l'utilisation, la communication, la conservation et la destruction de celle-ci. 7.6 Surveillance Le maintien de différents mécanismes de surveillance afin de détecter les défaillances des systèmes d'information, de même que toute utilisation non autorisée ou malveillante est assurée par la Ville. 7.7 Gestion des incidents de confidentialité et de sécurité de l'information La Ville élabore et applique des procédures de gestion des incidents de confidentialité et de sécurité, de manière à traiter efficacement tout événement qui cause un dommage à une information ou un système d'information et prévenir tout acte ou omission qui entraîne ou pourrait entraîner la matérialisation d'un risque. Tout incident de confidentialité est signalé au responsable de l'accès à l'information et de la protection des renseignements personnels, inscrit au registre des incidents de confidentialité et traité selon la procédure de gestion des incidents de confidentialité. Le registre des incidents de confidentialité comprend le registre des communications d'information concernant un incident de confidentialité à une personne ou un organisme susceptible de réduire le risque de préjudice grave associé à un incident de confidentialité. Si l'incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, la Ville avise celles-ci avec diligence ainsi que la Commission d'accès à l'information. Un incident de confidentialité désigne toute consultation, utilisation ou communication non autorisée par la loi d'un renseignement personnel ou toute perte ou atteinte à la protection de ce renseignement. 8. CONFIDENTIALITÉ DE L'INFORMATION ET PROTECTION DES RENSEIGNEMENTS PERSONNELS La Ville met en œuvre tout ce qui est nécessaire pour garantir la transparence et le respect de la confidentialité de l'information et la protection des renseignements personnels qu'on lui communique pour obtenir les services souhaités. 8.1 Identification et utilisation des renseignements Les informations recueillies par la Ville et qui contiennent des renseignements personnels sont identifiés dans l'inventaire de fichiers de renseignements personnels. L'inventaire permet d'identifier toutes les catégories de renseignements personnels, toutes les personnes qui y ont accès et les fins pour lesquelles les renseignements sont recueillis et conservés. Cet inventaire inclut donc toutes les situations prévues par la loi où des renseignements personnels sont communiqués sans le consentement d'une personne concernée. Il constitue donc le registre des communications de renseignements sans le consentement d'une personne concernée, le registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou 10 pour la mise en œuvre d'un programme d'un organisme public avec lequel la Ville collabore, le registre des utilisations de renseignements personnels au sein de la Ville à d'autres fins et sans le consentement de la personne concernée. Pour toutes les situations qui ne sont pas déjà identifiées dans l'inventaire de fichiers des renseignements personnels, incluant l'accès à des renseignements personnels à des fins de recherche ou de sondage par un tiers, une évaluation des facteurs relatifs à la vie privée doit être complétée. Cette évaluation, qui prend la forme d'un formulaire d'analyse, contient toutes les informations relatives à la nature ou le type de renseignements communiqué, la personne ou l'organisme qui reçoit la communication, la ou les fins et la ou les raisons pour lesquelles ce renseignement est communiqué et l'indication, le cas échéant, s'il s'agit d'une communication de renseignements personnels à l'extérieur du Québec. La synthèse de chacune des ÉFVP est inscrite dans le registre de communication des renseignements personnels. Les renseignements personnels comprennent toute information permettant d'identifier une personne physique. 8.2 Identification des utilisateurs Afin d'administrer les activités de la Ville et de fournir des services de qualité à la population, la Ville collecte, conserve et utilise l'information recueillie auprès des personnes concernées uniquement. Cette information n'est conservée que le temps nécessaire pour remplir ces objectifs et assurer les obligations légales. L'inventaire de fichiers de renseignements personnels identifie les employés ayant accès à des renseignements personnels et constitue également le registre des utilisations de renseignements personnels à des fins secondaires. Toute utilisation autre que celle prévue dans l'inventaire des fichiers de renseignements personnels doit faire l'objet d'une ÉFVP. L'utilisateur qui communique ses renseignements personnels accepte que ceux-ci soient traités conformément à ce qui est indiqué dans la présente politique et autorise la Ville et ses fournisseurs de services à traiter les renseignements personnels aux fins énoncées ci-dessus. 8.3 Exactitude des renseignements L'exactitude et la protection des renseignements personnels qu'elle détient sont assurées par la Ville. Ces informations sont conservées conformément à la loi. Toute demande de correction de renseignements inexacts est traitée de manière diligente et dans les plus brefs délais. 8.4 Accès aux renseignements - employés et fournisseurs de service Les employés de la Ville, de même que les fournisseurs de services, sont informés de l'importance de la confidentialité et la protection des renseignements. Seuls les employés ou les fournisseurs de service dont les tâches requièrent l'accès aux renseignements personnels permettant d'identifier les utilisateurs y ont accès. 11 8.5 Protection des renseignements au moyen de procédures de sécurité établies Des normes et des procédures de sécurité rigoureuses en ce qui concerne la gestion des accès aux renseignements liés aux utilisateurs sont établies par la Ville. Des sauvegardes informatiques sont réalisées et un pare-feu est opérationnel. Les renseignements personnels collectés sont conservés dans un environnement sécurisé. Les membres du personnel et les fournisseurs sont tenus de respecter la confidentialité de ces informations. 8.6 Infolettre et alertes Des infolettres et des alertes sont envoyées par la Ville aux personnes qui en font la demande par l'entremise du formulaire d'abonnement sur le site Internet. Le nom et l'adresse courriel des abonnés sont uniquement utilisés à cette fin. Il est possible pour les abonnés de se désabonner afin de ne plus recevoir de courriels, en cliquant sur le lien se trouvant dans le bas des courriels. Les infolettres et alertes peuvent comprendre des technologies de pistage permettant de savoir si les courriels ont été ouverts, si les abonnés ont cliqué sur des liens et si les pages du site internet ont été consultées à la suite d'un envoi par courriel. 8.7 Témoins de connexion Des témoins de connexion, ci-après dénommé « cookies » afin de faciliter la navigation sur le site Internet sont utilisés par la Ville. Un cookie est un fichier stocké sur le poste de l'utilisateur d'un site Internet, qui sert principalement à enregistrer des informations sur l'utilisateur et sur les opérations effectuées sur le site en question. L'utilisateur peut modifier les paramètres de son navigateur afin de refuser les témoins de connexion. Toutefois, cette action risque de le priver de l'utilisation de certaines fonctions du site. En aucun cas, ces renseignements ne sont utilisés pour identifier des personnes ou leur habitude de navigation à l'extérieur du site Internet de la Ville. 8.8 Listes de diffusion et bases de données Dans le cadre de l'utilisation des services offerts, les utilisateurs fournissent des adresses courriel. Ces données peuvent être importées au moyen d'un dispositif de téléchargement des contacts ou des données vers le serveur. En aucun cas, ces données ne peuvent être vendues, louées, partagées ou rendues accessibles de quelque façon que ce soit, à qui que ce soit, à moins que ce ne soit exigé dans le cadre de procédures judiciaires ou conformément à une loi, à un règlement ou à un ordre de la cour ou d'un organisme de réglementation détenant la compétence. 12 8.9 Acceptation des modalités d'emploi du site internet et des services en ligne En utilisant les services internet offert par la Ville, l'utilisateur convient avoir lu et compris les présentes conditions d'utilisation et, par conséquent, il accepte de s'y conformer ainsi qu'à toute modification qui pourrait y être apportée. Les présentes modalités d'utilisation représentent une entente entre l'utilisateur et la Ville. Les présentes modalités peuvent être sujettes à des changements, ajouts ou suppressions en tout temps. Tout changement est affiché sur le site internet, le cas échéant. De plus, les abonnés à l'infolettre sont avisés, par courriel, des changements importants qui sont apportés. L'utilisateur est invité à lire ces modalités d'utilisation régulièrement au cas où des changements y auraient été apportés. L'utilisateur des services internet offert par la Ville peut en tout temps retirer son consentement à l'utilisation et à la communication des renseignements personnels recueillis en faisant une demande au responsable de l'accès à l'information et la protection des renseignements personnels. Toutefois, il se peut que certains services ne soient pas disponibles en raison d'un retrait de consentement. 9. ACCÈS AUX DOCUMENTS ET AUX RENSEIGNEMENTS PERSONNELS 9.1 Droits des personnes concernées En vertu de la Loi sur l'accès aux documents des organismes publics et la protection des renseignements personnels, toute personne peut avoir accès aux documents que la ville détient dans l'exercice de ses fonctions et aux renseignements personnels la concernant. Elle peut également demander des corrections, si nécessaires, aux renseignements qui la concernent. Sous réserve des lois applicables, toute personne dispose des droits suivants : - D'accéder aux documents de la ville et aux renseignements personnels la concernant et détenus par la Ville et d'en obtenir une copie, quelque ce soit le support. À moins que cela ne soulève des difficultés pratiques sérieuses, un document ou un renseignement personnel informatisé recueilli auprès d'une personne concernée, et non pas créé ou inféré à partir d'un renseignement personnel la concernant, sera communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Le renseignement personnel peut aussi être communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement; - Faire rectifier tout Renseignement personnel incomplet ou inexact détenu par la Ville; - D'être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé. 9.2 Traitement des demandes d'accès aux documents et des plaintes relatives à la protection des renseignements personnels Les documents contenant des renseignements personnels peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la Ville informe la personne concernée de l'obligation de payer des frais avant de traiter sa demande. 13 Les demandes d'accès aux documents et aux renseignements personnels par les personnes concernées peuvent être faites verbalement ou par écrit. Les demandes verbales seront traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. Les demandes d'accès aux renseignements personnels sensibles doivent être faites par écrit et recevront une réponse écrite. Les renseignements personnels sensibles sont des renseignements, qui de par leur nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de leur utilisation ou de sa communication, suscitent un haut degré d'attente raisonnable en matière de vie privée. Les demandes d'accès aux documents et aux renseignements personnels doivent être suffisamment précises pour permettre au responsable de localiser lesdits renseignements personnels. Le droit d'accès ne s'applique qu'aux Renseignements personnels existants. Lorsqu'une demande d'accès à des documents, aux renseignements personnels ou une plainte relative à la protection de ces renseignements est reçue par le responsable de l'accès aux documents et de la protection des renseignements personnels, ce dernier transmet un accusé de réception au demandeur l'informant du délai de traitement de la demande. Le responsable d'accès a un délai de vingt (20) jours suivant la réception de la demande ou la plainte pour l'étudier et y répondre; En cas d'impossibilité de répondre dans les délais prévus, un délai supplémentaire de dix (10) jours est accordé au responsable. Si tel est le cas, le responsable prendra soin d'aviser par écrit le demandeur de ce délai de prolongation; À défaut de respecter ces délais, le responsable est alors réputé avoir refusé l'accès aux documents demandés. Ce défaut permet alors au demandeur un recours en révision devant la Commission d'accès à l'information. 10. RÔLES ET RESPONSABILITÉS 10.1 Conseil municipal : - Adopter la présente politique de même que les révisions; - Confier à la Direction des affaires juridiques, au Service des technologies de l'information et à la Direction des communications et des relations avec le citoyen le mandat d'appliquer la présente politique, les directives, procédures et activités qui en découleront et d'assurer leur évolution en conformité avec le cadre légal et les meilleures pratiques dans le domaine; - Affecter les ressources humaines, financières, matérielles et technologiques requises à l'application réelle et efficace de la présente politique. 10.2 Direction des affaires juridiques : - Appliquer la présente politique et les procédures qui en découleront; assurer leur évolution. - S'assurer du respect de toutes les lois et de tous les règlements qui encadrent gouvernance, la sécurité et la confidentialité de l'information; 14 - Établir, mettre à jour et veille à l'application du calendrier de conservation des documents et le plan de classification de la Ville; - Fournir aux employés de la Ville la formation, le support et les conseils nécessaires à l'exercice de leur rôle en matière de gouvernance, de sécurité et de confidentialité de l'information; - Implanter et développer le logiciel de gestion intégrée des documents Constellio; - Assurer la conservation, le traitement et la mise en valeur du patrimoine informationnel de la Ville; - Faire la promotion, par toutes mesures appropriées, d'une saine gestion des documents auprès des employés. 10.3 Service des technologies de l'information : - Appliquer la présente politique et les procédures qui en découleront; assurer leur évolution; - Assurer la mise en place des orientations, des plans d'action, des infrastructures informatiques et des systèmes d'information nécessaires à la réalisation de la mission, des tâches et activités de la Ville; - Assurer l'implantation, le développement, l'entretien et l'évolution des infrastructures et des systèmes d'information; - Offrir l'assistance technique requise aux employés dans le cadre de l'implantation et de l'application des outils technologiques; - Promouvoir l'importance d'une gestion efficace de l'information de la Ville et l'utilisation optimale des outils technologiques en place; - Assurer la protection et la sauvegarde des données; - Coordonner la gestion des incidents de sécurité et mettre en œuvre les plans d'action appropriés; - Collaborer à l'élaboration du contenu de la formation en matière de gouvernance et de sécurité de l'information, de même que pour la protection des renseignements personnels. 10.4 Direction des communications et des relations avec le citoyen - Appliquer la présente politique et les procédures qui en découleront; assurer leur évolution; - Assurer la mise en place des orientations, des plans d'action et des procédures nécessaires pour assurer l'accès à l'information et la protection des renseignements personnels dans les systèmes de communication interne et interne; - Collaborer à l'élaboration du contenu de la formation en matière de gouvernance et de sécurité de l'information, de même que pour la protection des renseignements personnels. 15 10.5 Responsable de l'accès à l'information et de la protection des renseignements personnels - S'assurer de la protection des renseignements personnels tout au long de leur cycle de vie, de la collecte à la destruction ; - Siéger au Comité d'accès à l'information et la protection des renseignements personnels; - Se conformer aux exigences légales liées aux demandes d'accès ou de rectification; - Superviser la tenue de l'inventaire des fichiers de renseignements personnels, du registre des incidents de confidentialité, du registre de communication des renseignements personnels ainsi que des ÉFVP; - Participer à l'évaluation du risque de préjudice sérieux lié à un incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes; - Effectuer, le cas échéant, des vérifications des obligations de confidentialité en lien avec la communication de renseignements personnels dans le cadre de mandats ou de contrats de services confiés à des tiers. 10.6 Comité d'accès à l'information et la protection des renseignements personnels - Veiller à la mise en place de mesures visant la sensibilisation et la formation des employés sur les obligations et les pratiques en matière d'accès à l'information et de protection des renseignements personnels; - Élaborer les principes de diffusion de l'information; - Élaborer et assurer la révision de la présente politique; - Émettre des directives sur l'utilisation d'outils informatiques impliquant la communication de données ou le profilage ; - Identifier les principaux risques en matière de protection de renseignements personnels et proposer des mesures correctives; - Émettre des directives pour la protection des renseignements personnels, notamment pour la conservation de ceux-ci par des tiers et à l'extérieur du Québec ; - Agir à titre de consultant, dès le début d'un projet et aux fins de l'ÉFVP, pour tous les projets d'acquisition, de développement et de refonte des systèmes d'information ou de prestation électronique de services impliquant des renseignements personnels, de même que pour toute communication de renseignements personnels qui n'est pas déjà prévue dans l'inventaire de fichiers des renseignements personnels : - Veiller à ce que la réalisation de l'ÉFVP soit proportionnée à la sensibilité des renseignements concernés, aux fins auxquelles ils sont utilisés, à la quantité et à la distribution des Renseignements et au support sur lequel ils seront hébergés ; - S'assurer, le cas échéant, que le projet permet de communiquer à la personne concernée les renseignements personnels informatisés recueillis auprès d'elle dans un format technologique structuré et couramment utilisé; - Identifier au responsable de l'accès à l'information et de la protection des renseignements personnels les recommandations qui ne sont pas suivies; 16 - Être avisé de tout incident de confidentialité impliquant les renseignements personnels et conseiller la Ville quant aux suites à y donner ; - Élaborer et assurer la révision du plan de réponse aux incidents de confidentialité dans l'éventualité d'un incident de confidentialité; - Établir des règles pour la collecte et la conservation des renseignements personnels provenant de sondages; - Analyser toute question d'intérêt touchant la protection des renseignements personnels ; - Élaborer et assurer la révision des mesures relatives à la vidéosurveillance. 10.7 Autres directions et services - Se conformer à la présente politique et aux procédures qui en découlent; - Veiller à ce que les informations produites ou reçues au sein de la direction ou du service sont sauvegardées dans Constellio; - Valider les règles et les délais de conservation des documents énoncés au calendrier de conservation. - Participer aux processus de consultation pour l'élaboration des politiques, procédures et outils de gouvernance, de sécurité et de confidentialité de l'information; - Soutenir les utilisateurs de leur direction ou service dans l'application des politiques, procédures et outils de de gouvernance, de sécurité et de confidentialité de l'information. 10.8 Employés - Se conformer à la présente politique et aux procédures qui en découlent; - Sauvegarder les informations produites ou reçues au sein de la direction ou du service sont sauvegardées dans Constellio; - Éliminer toute information comportant des renseignements personnels dès que sa conservation n'est plus nécessaire, en conformité avec les lois et règlements applicables. - Signaler tout manquement, incident de confidentialité ou tout autre situation ou irrégularité qui peut compromettre, de quelque façon que ce soit, la sécurité, l'intégrité ou confidentialité des renseignements personnels. 11. DOCUMENTS COMPLÉMENTAIRES Les documents suivants complètent la présente politique : - Politique relative à l'utilisation des ressources informatiques de la Ville de Beloeil; - Procédure de gestion des incidents de confidentialité; - Registre des incidents de confidentialité - Inventaire de fichiers de renseignements personnels; - Évaluation des facteurs relatifs à la vie privée; 17 - Registre de communication des renseignements personnels; - Politique en matière de surveillance vidéo; - Directive relative à l'utilisation des caméras corporelles; - Plan de classification des documents de la Ville de Beloeil; - Calendrier de conservation des documents de la Ville de Beloeil; - Directive relative à l'utilisation des répertoires numériques; - Directives de nommage des dossiers et documents numériques; - Procédure de numérisation. En cas d'incompatibilité entre la présente politique et l'un de ces documents, la présente politique prévaut. De plus, aucune disposition de la présente politique n'exclut l'application à une loi ou à un règlement 12. SANCTIONS Toute personne qui enfreint la présente politique est passible de sanctions selon le cadre légal en vigueur. 13. ENTRÉE EN VIGUEUR La présente politique entre en vigueur à la date de son adoption par le conseil municipal. 14. CALENDRIER DE RÉVISION Cette politique doit être révisée régulièrement ou au moins une fois aux trois ans afin de tenir compte des nouveaux besoins, priorités, lois, règlements, pratiques, technologies, risques ou des changements organisationnels.