Politique cadre concernant les règles de gouvernance en matière de protection des renseignements personnels
Candiac, Quebec
· adopted 2023-10-16
This is the exact embedded text of the captured official document.
Snapshot b1557ec1d964 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE CADRE CONCERNANT LES RÈGLES DE GOUVERNANCE EN
MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
VILLE DE CANDIAC
Adoption : 16 octobre 2023
Résolution : 23-10-11
TABLE DES MATIÈRES
CHAPITRE I -- APPLICATION ET INTERPRÉTATION ................................................................................ 1
1.
DÉFINITIONS ............................................................................................................................ 1
2.
CHAMPS D'APPLICATION .......................................................................................................... 1
3.
OBJECTIFS ............................................................................................................................... 1
CHAPITRE II -- MESURES DE PROTECTION DES RENSEIGNEMENTS PERSONNELS ................................... 2
4.
COLLECTE DES RENSEIGNEMENTS PERSONNELS ......................................................................... 2
5.
CONSERVATION ET UTILISATION DES RENSEIGNEMENTS PERSONNELS ........................................ 2
6.
COMMUNICATION À DES TIERS ................................................................................................. 3
7.
DESTRUCTION OU ANONYMISATION ......................................................................................... 3
CHAPITRE III -- RÔLES ET RESPONSABILITÉS À L'ÉGARD DE LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS ......................................................................................................................................... 3
8.
CONSEIL .................................................................................................................................. 3
9.
DIRECTION GÉNÉRALE .............................................................................................................. 4
10.
COMITÉ ................................................................................................................................... 4
11.
RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ...................................... 4
12.
DIRECTEUR DE SERVICE ............................................................................................................ 5
13.
EMPLOYÉS ............................................................................................................................... 5
14.
FORMATION DU PERSONNEL DE LA VILLE EN VUE DE LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS ........................................................................................................................... 5
CHAPITRE IV -- MESURES ADMINISTRATIVES ......................................................................................... 6
15.
SONDAGES .............................................................................................................................. 6
16.
ACQUISITION, DÉVELOPPEMENT OU REFONTE D'UN SYSTÈME D'INFORMATION OU DE PRESTATION
ÉLECTRONIQUE ........................................................................................................................ 6
17.
SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS .......................................................................... 6
18.
INCIDENTS DE CONFIDENTIALITÉ ............................................................................................... 6
19.
TRAITEMENT DES PLAINTES ...................................................................................................... 6
CHAPITRE V -- DISPOSITIONS FINALES ................................................................................................ 7
20.
SANCTIONS .............................................................................................................................. 7
21.
ENTRÉE EN VIGUEUR ................................................................................................................ 7
ANNEXE A - POLITIQUE CADRE CONCERNANT LES RÈGLES DE GOUVERNANCE EN MATIÈRE DE
PROTECTION DES RENSEIGNEMENTS PERSONNELS .............................................................................. 8
1
CHAPITRE I -- APPLICATION ET INTERPRÉTATION
1. DÉFINITIONS
Aux fins de la présente politique, les expressions ou les termes suivants ont la signification ci-
dessous énoncée :
CAI : Désigne la Commission d'accès à l'information créée en vertu de la Loi sur l'accès;
Comité : Désigne le Comité sur l'accès à l'information et la protection des renseignements
personnels de la Ville de Candiac;
Conseil : Désigne le Conseil municipal de la Ville de Candiac;
Cycle de vie : Désigne l'ensemble des étapes d'existence d'un renseignement détenu par la Ville
et plus précisément la collecte, l'utilisation, la communication, la conservation et la destruction
de celui-ci ;
Loi sur l'accès : Désigne la Loi sur l'accès aux documents des organismes publics et sur la protection
des renseignements personnels, RLRQ c. A-2.1 ;
Personne concernée : Désigne toute personne physique pour laquelle la Ville collecte, détient,
communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels ;
Renseignement personnel (ou RP) : Désigne toute information qui concerne une personne
physique et qui permet de l'identifier directement ou indirectement;
Renseignement personnel (ou RP) sensible : Désigne tout renseignement personnel qui suscite
un haut degré d'attente raisonnable en matière de vie privée de tout individu, notamment en
raison du préjudice potentiel à la personne en cas d'incident de confidentialité, comme
l'information financière, les informations médicales, les données biométriques, le numéro
d'assurance sociale, le numéro de permis de conduire ou l'orientation sexuelle ;
Responsable de la protection des renseignements personnels (ou RPRP) : Désigne la personne
qui, conformément à la Loi sur l'accès, exerce cette fonction et veille à la protection des
renseignements personnels détenus par la Ville.
2. CHAMPS D'APPLICATION
La présente politique s'applique à toute personne qui traite des RP que la Ville détient, incluant
ceux dont la conservation est assurée par un tiers, quel que soit le support sur lequel ils sont
conservés, et ce, de leur collecte à leur destruction.
3. OBJECTIFS
La présente politique vise les objectifs suivants :
- Énoncer les orientations et les principes directeurs destinés à assurer efficacement la
protection des RP ;
- Protéger les RP recueillis par la Ville tout au long de leur cycle de vie ;
- Assurer la conformité aux exigences légales applicables à la protection des RP, dont la Loi
sur l'accès, et aux meilleures pratiques en cette matière ;
- Assurer la confiance du public et faire preuve de transparence concernant le traitement des
RP et les mesures de protection des RP appliquées par la Ville et leur donner accès lorsque
requis.
2
CHAPITRE II
--
MESURES
DE
PROTECTION
DES
RENSEIGNEMENTS
PERSONNELS
4. COLLECTE DES RENSEIGNEMENTS PERSONNELS
4.1. La Ville ne collecte que les RP nécessaires aux fins de ses activités.
4.2. Sous réserve des exceptions prévues à la Loi sur l'accès, la Ville ne procède pas à la
collecte de RP sans avoir préalablement obtenu le consentement de la Personne
concernée.
4.3. Au moment de la collecte de tout RP, la Ville s'assure d'obtenir de façon expresse le
consentement libre et éclairé de la Personne concernée.
4.4. Est entendu que le consentement doit être donné à des fins spécifiques, pour une durée
nécessaire à la réalisation des fins auxquelles il est demandé. Le consentement de la
Personne concernée doit être :
a)
Manifeste : ce qui signifie qu'il est évident et certain ;
b)
Libre : ce qui signifie qu'il doit être exempt de contraintes ;
c)
Éclairé : ce qui signifie qu'il est pris en toute connaissance de cause.
5. CONSERVATION ET UTILISATION DES RENSEIGNEMENTS PERSONNELS
5.1. La Ville restreint l'utilisation de tout RP aux fins pour lesquelles il a été recueilli et pour
lequel elle a obtenu le consentement exprès de la Personne concernée, le tout sous
réserve des exceptions prévues par la Loi sur l'accès.
5.2. La Ville peut utiliser un RP à des fins secondaires sans le consentement de la Personne
concernée, dans l'un ou l'autre des cas énumérés ci-dessous et prévus par la Loi sur
l'accès:
-
lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les RP ont
été recueillis ;
-
lorsque l'utilisation est manifestement au bénéfice de la Personne concernée ;
-
lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette
utilisation soit ou non prévue expressément par la loi ;
-
lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production
de statistiques et que les RP sont dépersonnalisés.
5.3. La Ville limite l'accès à tout RP détenu aux seules personnes pour lesquelles ledit accès
est requis à l'exercice de leurs fonctions au sein de la Ville.
5.4. La Ville applique des mesures de sécurité équivalente, quelle que soit la sensibilité des
RP détenus afin de prévenir les atteintes à leur confidentialité et à leur intégrité sous
réserve des exceptions prévues à la Loi sur l'accès.
5.5. La Ville conserve les données et documents comportant des RP pour la durée nécessaire
à l'utilisation pour laquelle ils ont été obtenus ou conformément aux délais prévus à son
calendrier de conservation.
5.6. Lors de l'utilisation de tout RP, la Ville s'assure de l'exactitude du RP. Pour ce faire, elle
valide son exactitude auprès de la Personne concernée de façon régulière et, si
nécessaire, au moment de son utilisation.
3
5.7. La Ville accorde le même haut taux d'attente raisonnable de protection, en matière de
confidentialité et d'intégrité envers tout RP qu'elle collecte, conserve et utilise que le RP
soit sensible ou non.
La Ville établit et maintient à jour un inventaire de ses fichiers de renseignements personnels.
Cet inventaire doit contenir les indications suivantes :
a) la désignation de chaque fichier, les catégories de renseignements qu'il contient, les
fins pour lesquelles les renseignements sont conservés et le mode de gestion de
chaque fichier ;
b) la provenance des renseignements versés à chaque fichier ;
c) les catégories de Personnes concernées par les renseignements versés à chaque
fichier ;
d) les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs
fonctions ;
e) les mesures de sécurité prises pour assurer la protection des RP.
Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des
renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions
de la Loi sur l'accès.
6. COMMUNICATION À DES TIERS
6.1. Sous réserve des exceptions prévues par la Loi sur l'accès, la Ville ne peut communiquer
des RP sans le consentement de la Personne concernée. Le consentement doit être
donné expressément lorsque des RP sensibles sont en cause.
6.2. Lorsque des RP sont communiqués à un mandataire ou un fournisseur de services dans
le cadre d'un mandat ou d'un contrat de services ou pour l'exécution d'un mandat, la
Ville doit conclure une entente de confidentialité avec le fournisseur de services ou le
mandataire.
6.3. La Ville indique, dans les registres exigés par la Loi sur l'accès, toutes les informations
relatives à la transmission de tout RP à un tiers à quelques fins que ce soit.
7. DESTRUCTION OU ANONYMISATION
7.1. Lorsque des RP ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis, ces
renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives,
RLRQ, c. A-21.1, et suivant les délais prévus au calendrier de conservation et aux règles
de gestion des documents de la Ville.
7.2. L'anonymisation vise une fin sérieuse et légitime et la procédure est irréversible.
CHAPITRE III -- RÔLES ET RESPONSABILITÉS À L'ÉGARD DE LA PROTECTION
DES RENSEIGNEMENTS PERSONNELS
8. CONSEIL
Le Conseil adopte la présente politique et veille à sa mise en œuvre, notamment en s'assurant :
a) De prendre les décisions nécessaires relevant de sa compétence pour voir à la mise
en œuvre et au respect de la présente politique ;
4
b) Que la direction générale et les directeurs de service de la Ville fassent la promotion
d'une culture organisationnelle fondée sur la protection des RP et des
comportements nécessaires afin d'éviter tout incident de confidentialité ;
c) Que le RPRP puisse exercer de manière autonome ses pouvoirs et responsabilités.
9. DIRECTION GÉNÉRALE
La direction générale est responsable de la qualité de la gestion de la protection des RP et de
l'utilisation de toute infrastructure technologique de la Ville à cette fin.
À cet égard, elle doit mettre en œuvre la présente politique en :
a) S'assurant que les valeurs et les orientations en matière de protection des RP soient
partagées et véhiculées par tout gestionnaire, employé de la Ville et membre du
Conseil;
b) Apportant les appuis financiers et logistiques nécessaires à la mise en œuvre et au
respect de la présente politique ;
c) Exerçant son pouvoir d'enquête et appliquant les sanctions appropriées aux
circonstances en cas de non-respect de la présente politique ;
d) Établissant la composition et le mandat du Comité.
10. COMITÉ
Le Comité exerce toute fonction permettant une meilleure gestion des RP qui lui est attribuée par
la direction générale. De plus, le Comité a la responsabilité de :
a) Définir et approuver les orientations en matière de protection des RP au sein de la
Ville;
b) Formuler des avis sur les initiatives d'acquisition, de déploiement et de refonte de
systèmes d'information ou de toute nouvelle prestation électronique de services de
la Ville nécessitant la collecte, l'utilisation, la conservation, la communication à des
tiers ou la destruction des RP, et ce, tant au moment de la mise en place de ces
initiatives que lors de toute modification à celles-ci ;
c) Assurer la réalisation des activités de formation des employés de la Ville en matière
de protection des RP ;
d) Formuler des avis sur les mesures particulières à respecter quant aux sondages qui
collectent ou utilisent des RP, ou encore en matière de vidéosurveillance ;
e) Évaluer le niveau de protection des RP au sein de la Ville, notamment en identifiant
les principaux risques.
11. RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Le RPRP, contribue à assurer une saine gestion de la protection des RP au sein de la Ville. Il soutient
le conseil, la direction générale et l'ensemble du personnel de la Ville dans la mise en œuvre de la
présente politique.
Notamment, le RPRP s'assure de :
a) Déterminer la nature des RP devant être collectés par les différents services de la
Ville, leur conservation, leur communication à des tiers et leur destruction ;
5
b) Suggérer les adaptations nécessaires en cas de modifications à la Loi sur l'accès, à ses
règlements afférents ou suivant l'interprétation des tribunaux, le cas échéant ;
c) Veiller à ce que la Ville connaisse les orientations, les directives et les décisions
formulées par la CAI en matière de protection des RP ;
d) Superviser les différents registres requis par la Loi sur l'accès;
e) Traiter les demandes d'accès aux documents et les demandes de rectification ou
d'accès au RP, rendre les décisions et prêter assistance aux Personnes concernées à
la suite de leur demande;
f) Traiter les incidents de confidentialité selon la procédure applicable.
12. DIRECTEUR DE SERVICE
Chaque directeur de service est responsable de veiller à la protection des RP au sein du service
qu'il dirige ainsi que des infrastructures technologiques nécessaires à cette fin auxquelles les
employés du service et lui ont accès dans le cadre de leurs fonctions à la Ville.
À ce titre, chaque directeur de service doit :
a) Faire connaître la présente politique en matière de protection des RP aux employés
de son service et s'assurer de son application et son respect par ceux-ci ;
b) S'assurer que les mesures de sécurité déterminées et mises en place soient
appliquées systématiquement à l'occasion de son emploi et de celui des employés
qu'il dirige dans le service dont il est responsable ;
c) Participer à la sensibilisation de chaque employé de son équipe aux enjeux de la
protection des RP ;
d) Désigner, au sein de son service, le ou les employés dont la tâche inclut
spécifiquement la protection des RP.
13. EMPLOYÉS
Chaque employé doit :
a) Prendre toutes les mesures nécessaires afin de protéger les RP ;
b) Mettre tout en œuvre pour respecter le cadre légal applicable et les mesures prévues
aux différentes politiques et directives de la Ville en lien avec la protection des RP ;
c) N'accéder qu'aux RP nécessaires dans l'exercice de ses fonctions ;
d) Signaler au RPRP tout incident de confidentialité ou traitement irrégulier des RP ;
e) Participer activement à toute activité de sensibilisation ou formation données en
matière de protection des RP ;
f) Collaborer avec le RPRP.
14. FORMATION DU PERSONNEL DE LA VILLE EN VUE DE LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS
Les employés de la Ville doivent recevoir de manière continue toute formation pertinente qui leur
permettra d'être sensibilisés aux menaces et aux conséquences d'une atteinte à la sécurité de
l'information. Des activités de formation et de sensibilisation sont ainsi tenues selon les besoins
et adaptées selon les tâches, les types de RP et les étapes du cycle de vie impliquées dans les
6
processus. En outre, tous les employés reçoivent une copie de la présente politique et doivent
signer un engagement de confidentialité (Annexe A). En somme, la Ville s'assure que tous ses
employés possèdent une bonne compréhension de leurs responsabilités en matière de protection
des RP.
CHAPITRE IV -- MESURES ADMINISTRATIVES
15. SONDAGES
Le RPRP doit être consulté lorsque la Ville désire réaliser un sondage nécessitant la collecte et
l'utilisation de RP. Le RPRP procède alors à l'évaluation de la nécessité de recourir au sondage et
de son aspect éthique en tenant compte, notamment, de la sensibilité, de la nature des RP
recueillis et de la finalité de leur utilisation.
16. ACQUISITION, DÉVELOPPEMENT OU REFONTE D'UN SYSTÈME D'INFORMATION OU DE
PRESTATION ÉLECTRONIQUE
Avant de procéder à l'acquisition, au développement ou à la refonte des systèmes de gestion des
RP, la Ville doit procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP). La réalisation
d'une ÉFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de
leur utilisation, à leur quantité, à leur répartition et à leur support.
Aux fins de cette évaluation, la Ville doit consulter, dès le début du projet, le Comité.
Dans le cadre de la mise en œuvre du projet, le Comité peut, à toute étape, suggérer des mesures
de protection des RP.
17. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS
La Ville met en place des mesures de sécurité raisonnables afin d'assurer la confidentialité,
l'intégrité et la disponibilité des RP recueillis, utilisés, communiqués, conservés ou détruits. Ces
mesures tiennent notamment en compte du degré de sensibilité des RP, de la finalité de leur
collecte, de leur quantité, de leur localisation et de leur support.
18. INCIDENTS DE CONFIDENTIALITÉ
L'accès, l'utilisation ou la communication non autorisés de tout RP ou sa perte constituent un
incident de confidentialité au sens de la Loi sur l'accès.
Tout incident de confidentialité est pris en charge conformément à la Procédure de gestion des
incidents de confidentialité de la Ville. La Ville prend alors les mesures raisonnables pour diminuer
les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se
produisent.
Tout incident de confidentialité est signalé au RPRP et est consigné au registre des incidents de
confidentialité.
Si l'incident de confidentialité présente un risque de préjudice sérieux pour les Personnes
concernées, la Ville avise celles-ci avec diligence ainsi que la CAI.
19. TRAITEMENT DES PLAINTES
Toute personne physique qui estime que la Ville n'assure pas la protection des RP de manière
conforme à la Loi sur l'accès peut porter plainte de la manière suivante :
7
19.1. Une plainte ne peut être considérée que si elle est faite par écrit par une personne
physique qui s'identifie.
19.2. Telle demande est adressée au RPRP de la Ville.
19.3. Le RPRP avise par écrit le plaignant de la date de la réception de sa plainte et indique
les délais pour y donner suite.
19.4. Le RPRP donne suite à une plainte avec diligence et au plus tard dans les vingt jours
suivant la date de sa réception.
19.5. Si le traitement de la plainte dans le délai mentionné ci-haut paraît impossible à
respecter sans nuire au déroulement normal des activités de la Ville, le RPRP peut,
avant l'expiration de ce délai, le prolonger d'une période raisonnable et en donne avis
au plaignant, par tout moyen de communication permettant de joindre ce dernier.
19.6. Dans le cadre du traitement de la plainte, le RPRP pourra procéder à une enquête ou à
toute intervention qu'il estimera utile et nécessaire.
19.7. À l'issue de l'examen de la plainte, le RPRP transmet au plaignant une réponse finale
écrite et motivée.
19.8. Si le plaignant n'est pas satisfait de la réponse obtenue ou du traitement de sa plainte,
il peut s'adresser par écrit à la CAI.
CHAPITRE V -- DISPOSITIONS FINALES
20. SANCTIONS
Tout employé de la Ville qui contrevient à la présente politique ou aux lois et à la réglementation
en vigueur applicable en matière de protection des RP s'expose, en plus des pénalités prévues aux
lois, à une mesure disciplinaire pouvant notamment aller jusqu'au congédiement. La Direction
générale, de concert avec le Service des Ressources humaines, est chargée de décider de
l'opportunité d'appliquer la sanction appropriée, le cas échéant. La Ville peut également
transmettre à toute autorité judiciaire les informations colligées sur tout employé, qui portent à
croire qu'une infraction à l'une ou l'autre loi ou règlement en vigueur en matière de protection
des RP a été commis.
21. ENTRÉE EN VIGUEUR
La présente politique entre en vigueur dès son adoption par le conseil.
Approbation
Date d'adoption
Diffusion
Par le Comité sur l'accès à l'information et
la
protection
des
renseignements
personnels de la Ville
16 octobre 2023
Publié
sur
le
site
Internet de la Ville le 17
octobre 2023
8
ANNEXE A - POLITIQUE CADRE CONCERNANT LES RÈGLES DE GOUVERNANCE EN
MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
ENGAGEMENT DE CONFIDENTIALITÉ
Je soussigné(e) _______________________________________________, déclare ce qui suit :
(prénom, nom)
1. J'occupe
la
fonction
de
______________________________________
au
Service
_________________________________________ de la Ville de Candiac ;
2. J'ai lu et compris la Politique cadre concernant les règles de gouvernance en matière de
protection des renseignements personnels ;
3. Je comprends que les renseignements personnels dont je pourrais prendre connaissance, que
l'on pourra me communiquer ou auxquels je pourrais avoir accès dans le cadre de mes
fonctions sont et doivent demeurer confidentiels ;
4. Je m'engage à ne pas communiquer, divulguer ou révéler de quelque façon que ce soit, à
quiconque, les renseignements personnels qui me seront communiqués dans le cadre de mes
fonctions à la Ville de Candiac ;
5. Je m'engage à limiter l'utilisation des renseignements personnels aux seules fins pour
lesquelles ils sont recueillis et à ne pas les utiliser à des fins personnelles ou au profit de tiers ;
6. Je m'engage également à prendre les mesures de sécurité propres à assurer la protection des
renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui
sont raisonnables compte tenu notamment de leur sensibilité, de la finalité, de leur utilisation,
de leur quantité, de leur répartition et de leur support.
Et j'ai signé à ____________________, le _________________
___________________________________________________
Signature