Politique relative aux règles de gouvernance — full text

This is the exact embedded text of the captured official document. Snapshot 2e5f0ac3ba77 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

CANADA PROVINCE DE QUÉBEC M.R.C. LE DOMAINE-DU-ROY MUNICIPALITÉ DE CHAMBORD POLITIQUE RELATIVE AUX RÈGLES DE GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE LA MUNICIPALITÉ DE CHAMBORD PRÉAMBULE CONSIDÉRANT QUE la Municipalité de Chambord (ci-après la « Municipalité ») est un organisme public assujetti à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1; CONSIDÉRANT QUE la Municipalité s'engage à protéger les renseignements personnels qu'elle collecte et traite dans le cadre de ses activités, dans le respect des lois et règlements applicables; CONSIDÉRANT QU'en 2023, la Municipalité employait, en moyenne, cinquante (50) salariés ou moins, et qu'en conséquence, elle est exemptée de constituer un comité sur l'accès à l'information et la protection des renseignements personnels, conformément à ce qui est prévu au Règlement excluant certains organismes publics de l'obligation de former un comité sur l'accès à l'information et la protection des renseignements personnels, RLRQ, c. A-2.1, r. 3.2; CONSIDÉRANT QUE pour s'acquitter de ses nouvelles obligations prévues à la loi, le Conseil souhaite adopter la présente Politique relative aux règles de gouvernance en matière de protection des renseignements personnels; EN CONSÉQUENT Il est proposé par madame Lise Noël, appuyé par monsieur Robin Doré et résolu à l'unanimité des conseillers QUE soit et est adoptée la Politique relative aux règles de gouvernance en matière de protection des renseignements personnels de la Municipalité de Chambord, et qu'il soit et est ordonné et statué par la présente Politique ainsi qu'il suit, à savoir : 1. PRÉAMBULE Le préambule ci-dessus fait partie intégrante de la présente Politique. Dans le cadre de ses activités et de l'offre des services publics auxquels elle s'emploie, la Municipalité traite des renseignements personnels, notamment ceux des visiteurs de son site web, de ses citoyens et de ses employés. À ce titre, la Municipalité reconnait et réitère l'importance et l'enjeu actuel de non seulement respecter, mais de protéger la vie privée et les renseignements personnels qu'elle détient. À la lumière des nouvelles obligations imposées par la Loi et afin de s'acquitter de celles-ci, la Municipalité a adopté la présente Politique, dont l'objectif est d'édicter les principes directeurs 2 applicables à la protection des renseignements personnels que la Municipalité détient, et ce, tout au long du cycle de vie de ceux-ci, de même qu'à la protection des droits des personnes concernées. La protection des renseignements personnels détenus par la Municipalité est l'affaire de toute personne, y incluant ses employés, qui traite ces renseignements. Chaque personne qui traite des renseignements dans le cadre de l'exercice de ses fonctions ou qui découle de sa relation avec la Municipalité doit être en mesure d'appliquer la présente procédure, de même que toute autre règle, Politique ou directive adoptée en vertu de celle-ci. 2. OBJET DE LA POLITIQUE La présente Politique vise les objectifs suivants : a) Énoncer les orientations et les principes directeurs encadrant la gouvernance de la Municipalité à l'égard des Renseignements personnels et de leur protection à chaque étape du Cycle de vie, de même que de l'exercice des droits des Personnes concernées; b) Prévoir le processus de traitement des plaintes relativement à la protection des Renseignements personnels par la Municipalité; c) Définir les rôles et responsabilités en matière de protection des Renseignements personnels par la Municipalité; d) Définir les mesures de protection à prendre à l'égard des Renseignements personnels recueillis ou utilisés dans le cadre d'un sondage; e) Décrire les activités de formation et de sensibilisation offertes par la Municipalité à son personnel et ses élus. f) Assurer la confiance du public en la Municipalité, faire preuve de transparence concernant le traitement des Renseignements personnels et les mesures visant à assurer leur protection de même que de leur donner accès lorsque requis et possible; 3. CADRE NORMATIF ET APPLICATION La présente Politique est adoptée conformément à ce qui est prévu notamment à l'article 63.3 de Loi, et est accessible par le biais du site internet de la Municipalité en tout temps. Elle s'applique aux Renseignements personnels détenus par la Municipalité et à toute personne qui traite lesdits Renseignements personnels, y incluant, sans s'y limiter, tout fournisseur ou prestataire de service de la Municipalité dans le cadre d'un contrat de services conclu avec elle. 4. INTERPRÉTATION À moins de stipulation expresse à l'effet contraire, les expressions, termes et mots suivants ont, dans la présente Politique, le sens et l'application que lui attribue le présent article : CAI : désigne la Commission d'accès à l'information; 3 Cycle de vie : désigne l'ensemble des différentes phases de traitement des renseignements personnels, à savoir leur collecte, leur utilisation, leur communication à des tiers, leur conservation et leur destruction et/ou anonymisation. Évaluation des facteurs relatifs à la vie privée (EFVP) : désigne la démarche préventive visant à protéger les renseignements personnels détenus et à respecter la vie privée des personnes physiques. Elle consiste à considérer, avant de commencer un projet ou d'utiliser ou de communiquer un renseignement, à considérer tous les facteurs qui pourraient entrainer des conséquences positives ou négatives sur le respect de la vie privée des Personnes concernées; Incident de confidentialité : désigne tout incident défini par l'article 63.9 de la Loi, à savoir tout accès, utilisation ou communication non autorisé par la Loi d'un Renseignement personnel, ou toute perte ou autre atteinte à la protection de ce Renseignement personnel; Loi : désigne la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1; Municipalité : désigne la Municipalité de Chambord; Personne concernée : désigne une personne physique à qui se rapportent un ou des Renseignements personnels. Politique : désigne la présente Politique. Profilage : désigne le fait de procéder à la collecte et à l'utilisation de Renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. Renseignement personnel : désigne tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement de l'identifier, comme prévu à l'article 54 de la Loi. Sans limiter la portée générale de ce qui précède, constitue un Renseignement personnel en vertu de la présente Politique et de la Loi : a) Renseignements d'identification : Adresse, numéro de téléphone, sexe, âge, numéro d'assurance sociale, numéro d'assurance maladie, identifiant numérique, etc.; b) Renseignements de santé : Dossier médical, diagnostic, consultation d'un professionnel de la santé, médicament, ordonnance, renseignement sur la cause d'un décès, etc.; c) Renseignements financiers : Revenu d'une personne, renseignements relatifs à l'impôt, numéro de compte bancaire, biens possédés, numéros de cartes de crédit, etc. d) Renseignements relatifs au travail : Dossier disciplinaire, motifs d'absence, dates de vacances, salaire, évaluation de rendement, etc. e) Renseignements relatifs à la situation sociale ou familiale : État civil, le fait qu'une personne ait ou non des enfants, admissibilité à l'assurance-emploi, etc. Ne constitue pas un Renseignement personnel protégé visé par la présente Politique : 4 a) Le nom d'une Personne concernée, sauf lorsqu'il est mentionné avec un autre Renseignement personnel concernant la Personne concernée, ou lorsque sa seule mention révèlerait un Renseignement personnel sur cette personne; b) Tout Renseignement personnel qui a un caractère public au sens des dispositions des articles 55 et 57 de la Loi; c) Tout Renseignement personnel qui concerne l'exercice, par la Personne concernée, d'une fonction au sein d'une entreprise, tel que son nom, son titre et sa fonction, de même que l'adresse, l'adresse de courrier électronique et le numéro de téléphone de son lieu de travail; Renseignement personnel sensible : désigne tout Renseignement personnel, aux termes du troisième (3e) alinéa de l'article 59 de la Loi, qui, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de vie privée; Responsable de l'accès aux documents (RAD) : Désigne la personne qui, conformément à la Loi sur l'accès, exerce cette fonction et répond aux demandes d'accès aux documents de la Municipalité ; Responsable de la protection des renseignements personnels (RPRP) : Personne désignée afin de veiller à l'application et à la conformité des règles en matière de protection des renseignements personnels au sein de la Municipalité. 5. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS La protection des Renseignements personnels est assurée tout au long du Cycle de vie de ceux-ci, dans le respect des principes suivants, sauf exception prévue par la Loi. 5.1. Collecte des Renseignements personnels 5.1.1. À moins que la collecte d'un Renseignement personnel ne soit nécessaire à l'exercice des attributions ou de la mise en œuvre d'un programme d'un autre organisme public avec qui elle collabore pour la prestation de services ou pour la réalisation d'une mission commune, et sous réserve de ce qui est prévu à l'article 8.1 de la Présente Politique, la Municipalité ne recueille que les Renseignements personnels nécessaires à la réalisation de ses activités et à l'exercice des attributions ou des pouvoirs qui lui sont délégués. Avant de recueillir des Renseignements personnels, la Municipalité détermine les fins de leur collecte et de leur traitement, de la façon prévue à la Politique de confidentialité et de sécurité de l'information adoptée par la Municipalité. La Municipalité ne recueille que les Renseignements personnels strictement nécessaires aux fins indiquées. 5.1.2. La collecte des Renseignements personnels se fait auprès de la Personne concernée et, sous réserve des exceptions prévues à la Loi, en s'assurant d'obtenir au préalable son consentement, en termes simples et clairs. 5.1.3. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la Personne concernée. 5.1.4. Le consentement donné par la Personne concernée doit être manifeste, libre et éclairé et être donné à des fins spécifiques et pour une durée nécessaire à celles-ci. Le consentement 5 ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquels il a été demandé, et ne peut être conservé, sous réserve de ce qui est par ailleurs prévu. 5.1.5. Au moment de la collecte, et par la suite sur demande, la Municipalité doit informer les Personnes concernées, notamment : a) Des fins auxquelles ces Renseignements personnels sont recueillis; b) Des moyens par lesquels les Renseignements personnels sont recueillis; c) Du caractère obligatoire ou facultatif de la demande; d) Des conséquences pour la Personne concernée ou, selon le cas, pour le tiers, d'un refus de répondre à la demande ou, le cas échéant, d'un retrait de son consentement à la communication ou à l'utilisation des renseignements recueillis suivant une demande facultative; e) Des droits d'accès et de rectification prévus par la Loi. La Municipalité pourra le faire verbalement en référant les Personnes concernées à la Politique de confidentialité adoptée en vertu de la Loi, ou par un avis écrit. 5.1.6. En plus de ce qui précède, si la Municipalité recueille des Renseignements personnels auprès de la Personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un Profilage de celle-ci, elle doit au préalable l'informer du recours à une telle technologie, ainsi que des moyens offerts pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un Profilage. 5.1.7. Si la Municipalité recueille des Renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité, elle doit s'assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la Personne concernée, sauf exception prévue par la Loi. 5.2. Conservation et utilisation des Renseignements personnels 5.2.1. Toute personne qui fournit ses Renseignements personnels dans le respect par la Municipalité des dispositions de la présente Politique consent à leur conservation, leur utilisation et leur communication par la Municipalité aux fins visées et de la façon prévue par la présente Politique et par la Loi. 5.2.2. La Municipalité restreint l'utilisation de tout Renseignement personnel aux fins pour lesquelles il a été recueilli et pour lequel elle a obtenu le consentement de la Personne concernée, le tout sous réserve des exceptions prévues à la Loi. Cependant, la Municipalité peut modifier ces fins si la Personne concernée y consent. 5.2.3. La Municipalité limite l'accès à tout Renseignement personnel détenu aux seules personnes pour lesquelles ledit accès est nécessaire à l'exercice de leurs fonctions au sein de la Municipalité et à la prestation de services municipaux; 6 5.2.4. La Municipalité peut toutefois utiliser les Renseignements personnels à des fins secondaires, sans le consentement de la Personne concernée, en conformité avec les dispositions de la Loi, dans l'un ou l'autre des cas suivants : a) Lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les Renseignements personnels ont été recueillis; b) Lorsque l'utilisation est manifestement au bénéfice de la Personne concernée; c) Lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la Loi ou qu'une loi autorise la Municipalité à utiliser des données dans le cadre de ses attributions; d) Lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les Renseignements personnels sont dépersonnalisés, sous réserve de l'entente écrite à intervenir avec la CAI, de même que de la réalisation d'un EFVP, conformément à ce qui est prévu aux articles 7 et 8 de la présente Politique. 5.2.5. Lorsqu'elle utilise les Renseignements personnels à des fins secondaires, dans l'une ou l'autre des situations énumérées aux paragraphes a) à c) de l'article 5.2.4 ci-dessus, la Municipalité doit consigner cette utilisation au registre prévu à cet effet et décrit à l'article 6.3. 5.2.6. Lorsque la Loi le prévoit expressément ou lorsqu'une utilisation ou un traitement des Renseignements personnels est jugé plus à risque pour les Personnes concernées, la Municipalité doit entreprendre une ÉFVP, conformément à ce qui est prévu à l'article 7 des présentes, afin de mitiger et contrôler les risques identifiés. 5.2.7. La Municipalité établit et tient à jour un inventaire des fichiers de Renseignements personnels qu'elle recueille, utilise ou communique. Cet inventaire contient minimalement : a) La désignation de chaque fichier, les catégories de Renseignements personnels qu'il contient, les fins pour lesquelles ils sont conservés et le mode de gestion de chaque fichier ; b) La provenance des Renseignements personnels versés à chaque fichier; c) Les catégories de Personnes concernées par les Renseignements personnels versés à chaque fichier; d) Les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions; e) Les mesures de sécurité prises pour assurer la protection des Renseignements personnels; 5.2.8. Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des Renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la Loi. 7 5.3. Communication des Renseignements personnels 5.3.1. Sauf exception prévues par la Loi, la Municipalité ne peut communiquer des Renseignements personnels sans le consentement de la Personne concernée. Le consentement doit être donné expressément lorsque des Renseignements personnels sensibles sont en cause. 5.3.2. Lorsque des Renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service ou pour l'exécution du mandat, la Municipalité doit convenir d'une entente avec le fournisseur de services ou le mandataire, qui comprend, en plus de ce qui est prévu à l'article 67.2 de la Loi, les dispositions contractuelles types de la Municipalité, et l'inscrire dans le registre prévu à l'article 6.1 d). 5.3.3. Lorsque les Renseignements personnels sont communiqués à des tiers hors Québec, la Municipalité procède à une ÉFVP conformément à l'article 7 des présentes. Une communication à des tiers est consignée au registre prévu à cet effet; 5.3.4. Dans tous les cas, la Municipalité pourra, sans le consentement de la Personne concernée, communiquer un Renseignement personnel à toute personne ou organisme si cette communication est nécessaire à l'application d'une loi au Québec, que cette communication soit ou non prévue expressément par la loi. 5.4. Conservation des Renseignements personnels 5.4.1. La Municipalité doit prendre toutes les mesures raisonnables afin que les Renseignements personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés. 5.4.2. La Municipalité conserve les Renseignements personnels pour la durée nécessaire à l'utilisation pour laquelle ils ont été obtenus, sous réserve de son calendrier de conservation ou de toute disposition d'une loi ou d'un règlement qui oblige la conservation de certains Renseignements personnels pour une durée établie, conformément aux dispositions de la Loi sur les archives, RLRQ, c. A-21.1; 5.5. Destruction et anonymisation des Renseignements personnels 5.5.1. Lorsque sont atteintes les finalités pour lesquelles les Renseignements personnels ont été collectés, ceux-ci sont détruits ou anonymisés, sous réserve des dispositions de la Loi sur les archives, RLRQ, c. A-21.1, et suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de la Municipalité. 5.5.2. La procédure de destruction, le cas échéant, devra être approuvée par le greffier-trésorier et le RPRP afin de s'assurer, notamment, du respect des dispositions de l'article 199 du Code municipal du Québec, RLRQ, c. C-27.1 5.5.3. La procédure d'anonymisation, le cas échéant, devra être utilisée seulement à des fins d'intérêt public et devra être réalisée selon les meilleures pratiques généralement reconnues, dont notamment prévoir le caractère irréversible de l'anonymisation des Renseignements personnels. Cette procédure devra être approuvée par le greffier-trésorier, sur recommandation du RPRP. 8 6. REGISTRE Conformément à ce qui est prévu dans la Loi, la Municipalité doit tenir à jour un registre dans lequel doivent figurer chacune des éléments suivants : 6.1. Les communications de Renseignements personnels sans le consentement d'une Personne concernée, dans les cas suivants : a) Lorsque la Municipalité communique l'identité d'une Personne concernée à une personne ou un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers; b) Lorsque la Municipalité communique des Renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi; c) Lorsque la Municipalité communique des Renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail; d) Lorsque la Municipalité communique des Renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service; e) Lorsque la Municipalité communique des Renseignements personnels à des fins d'étude, de recherche ou de statistiques; f) Après avoir effectué une ÉFVP, lorsque la Municipalité communique des Renseignements personnels dans les cas visés à l'article 68 de la Loi. Dans les cas visés aux paragraphes a) à f), le registre doit comprendre : a) La nature ou le type de renseignement communiqué; b) La personne ou l'organisme qui reçoit cette communication; c) La fin pour laquelle ce Renseignement personnel est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication à l'extérieur du Québec; d) La raison qui justifie cette communication; 6.2. Toute entente écrite de collecte de Renseignements personnels intervenue avec un autre organisme public et transmis à la CAI conformément à l'article 64 de la Loi, étant entendu que le registre doit comprendre sous cette rubrique : a) Le nom de l'organisme pour lequel les Renseignements personnels sont recueillis; b) L'identification du programme ou de l'attribution pour lequel les Renseignements personnels sont nécessaires; c) La nature et le type de la prestation de services ou de la mission ; 9 d) La nature ou le type de Renseignements personnels recueillis; e) La fin pour laquelle ces renseignements sont recueillis; f) La catégorie de personnes, au sein de la Municipalité et au sein de l'organisme public qui reçoit ou collecte les Renseignements personnels, qui y ont accès; 6.3. En cas d'utilisation de Renseignements personnels au sein de la Municipalité à d'autres fins et sans le consentement de la Personne concernée, dans les cas prévus à l'article 65.1 de la Loi, étant entendu que le registre doit comprendre sous cette rubrique : a) La mention du paragraphe du deuxième alinéa dudit article 65.1 de la Loi permettant l'utilisation, c'est-à-dire la base juridique applicable; b) Dans le cas visé au troisième (3e) paragraphe du deuxième (2e) alinéa de l'article 65.1 de la Loi, soit lorsque l'utilisation et nécessaire à l'application d'une loi au Québec, la disposition de la loi qui rend nécessaire l'utilisation du Renseignement personnel; c) La catégorie de personne qui a accès au Renseignement personnel aux fins de l'utilisation indiquée. 6.4. Les communications d'informations concernant un Incident de confidentialité à une personne ou un organisme susceptible de diminuer le risque de préjudice grave associé à un Incident de confidentialité. 6.5. Le registre des Incidents de confidentialité, dont la teneur est prévue dans la Politique de gestion des incidents de confidentialité impliquant des renseignements personnels adoptée par la Municipalité. 7. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE 7.1. La Municipalité doit réaliser une ÉFVP à chaque fois que l'une ou l'autre des situations qui suivent survient dans le Cycle de vie du traitement des Renseignements personnels : a) Avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des Renseignements personnels, tel que décrit à l'article 14 des présentes; b) Avant de recueillir des Renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de service ou pour la réalisation d'une mission commune; c) Avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à une personne ou un organisme qui souhaite utiliser ces Renseignements personnels à des fins d'étude, de recherche ou de production de statistiques; d) Lorsqu'elle entend communiquer des Renseignements personnels, sans le consentement des Personnes concernées, conformément à ce qui est prévu à l'article 68 de la Loi; 10 e) Lorsqu'elle entend communiquer des Renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec, le soin de recueillir, d'utiliser ou de conserver de tels renseignements pour son compte; 7.2. Lorsqu'elle effectue une ÉFVP, la Municipalité doit tenir compte de la sensibilité des Renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les Renseignements personnels; 7.3. La réalisation d'une ÉFVP doit servir à démontrer que la Municipalité a respecté toutes les obligations en matière de protection des Renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces Renseignements; 8. ENTENTE ÉCRITE 8.1. Conformément à ce qui est prévu à la Loi, la Municipalité devra également s'assurer de convenir d'une entente écrite, dont le contenu est prévu à l'article suivant et laquelle devra être transmise à la CAI, dans chacune des situations suivantes : a) Lorsque la Municipalité recueille un Renseignement personnel nécessaire à l'exercice des attributions ou de la mise en œuvre d'un programme d'un autre organisme public avec qui elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; b) Lorsque la Municipalité entend communiquer des Renseignements personnels sans le consentement des Personnes concernées, conformément et dans les cas prévus à l'article 68 de la Loi; c) Lorsqu'elle entend communiquer des Renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec, le soin de recueillir, d'utiliser ou de conserver de tels renseignements pour son compte; 8.2. Toute entente écrite effectuée en vertu du présent article devra indiquer, le cas échéant : a) L'identification de l'organisme public qui recueille ou communique le Renseignement personnel et celle de l'organisme public ou de la personne qui le reçoit ou pour qui la collecte est effectuée; b) Les fins pour lesquelles le Renseignement personnel est recueilli ou communiqué c) La nature ou le type du Renseignement personnel recueilli ou communiqué; d) Les moyens par lesquels le Renseignement personnel est recueilli ou le mode de communication de celui-ci; e) Les mesures de sécurité propre à assurer la protection du Renseignement personnel ; f) La périodicité de la collecte ou de la communication du Renseignement personnel; 11 g) La durée de l'entente. 8.3. Toute entente prise en vertu du présent article entre en vigueur trente (30) jours à partir de la réception de celle-ci par la CAI. 9. SONDAGES Avant d'effectuer ou de permettre à une tierce partie d'effectuer un sondage auprès des Personnes concernées pour lesquelles la Municipalité détient des Renseignements personnels, le RPRP doit préalablement évaluer la nécessité de recourir à un tel sondage, ainsi que l'aspect éthique de celui- ci, compte tenu, notamment, de la sensibilité des Renseignements personnels recueillis et de la finalité de leur utilisation. Suivant cette évaluation, le RPRP devra faire ses recommandations au Conseil municipal de la Municipalité et à la direction générale, le cas échéant. 10. DROITS DES PERSONNES CONCERNÉES 10.1. Sous réserve de ce que prévoit la Loi, toute Personne concernée dont les Renseignements personnels sont détenus par la Municipalité dispose notamment des droits suivants : a) Le droit d'être informée de l'existence d'un Renseignement personnel la concernant détenue par la Municipalité et d'y accéder en obtenant une copie, autant en format électronique que non électronique; À moins que cela ne soulève des difficultés pratiques sérieuses, un Renseignement personnel informatisé recueilli auprès d'une Personne concernée, et non pas créé ou inféré à partir d'un Renseignement personnel la concernant, lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce Renseignement personnel est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel Renseignement; b) Le droit de faire rectifier tout Renseignement personnel incomplet ou inexact détenu par la Municipalité; c) Le droit d'être informé, le cas échéant, que des Renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé. 10.2. Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces Renseignements personnels est assujetti à certaines exceptions identifiées dans la Loi. 10.3. Les documents contenant des Renseignements personnels peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais, selon le cas, notamment en cas de nécessité de transcription ou de reproduction. Le cas échéant, la Municipalité informe la Personne concernée de l'obligation de payer des frais avant de traiter sa demande. 12 10.4. Les demandes d'accès aux Renseignements personnels par les Personnes concernées peuvent être faites verbalement ou par écrit. Les demandes verbales sont traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. 10.5. Les demandes d'accès aux Renseignements personnels sensibles doivent être faites par écrit et recevront une réponse écrite. 10.6. Les demandes d'accès aux Renseignements personnels doivent être suffisamment précises pour permettre au RPRP de localiser lesdits Renseignements personnels. Le droit d'accès ne s'applique qu'aux Renseignements personnels existants qui ne nécessitent aucun calcul ou comparaison de renseignements. 11. TRAITEMENT DES PLAINTES Toute personne physique qui estime que la Municipalité n'assure pas la protection des Renseignements personnels en fonction des exigences de la Loi peut porter plainte de la manière suivante : 11.1. La plainte doit être faite par écrit par une personne physique qui s'identifie et être adressée au RPRP de la Municipalité; toute plainte ne respectant pas cette règle pourra être jugée irrecevable; 11.2. Le RPRP avise par écrit le plaignant de la date de la réception de sa plainte et indique les délais dont il dispose pour y donner suite; 11.3. Le RPRP donne suite à toute plainte recevable avec diligence, et au plus tard dans les vingt (20) jours suivant la date de sa réception; 11.4. Si le traitement de la plainte dans le délai de vingt (20) jours susmentionné paraît impossible à respecter sans nuire au déroulement normal des activités de la Municipalité, le RPRP peut, avant l'expiration de ce délai, le prolonger d'une période raisonnable et en donne avis au requérant, par tout moyen de communication permettant de joindre ce dernier; 11.5. Dans le cadre du traitement de la plainte, le RPRP peut communiquer avec le plaignant et faire une enquête interne; 11.6. À l'issue du traitement de la plainte, le RPRP transmet au plaignant une réponse finale contenant sa décision, laquelle doit être écrite et motivée; 11.7. Si le plaignant n'est pas satisfait de la décision du RPRP ou du traitement de sa plainte, il peut s'adresser par écrit à la CAI. 12. MESURES DE SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS La Municipalité met en place des mesures de sécurité raisonnables afin d'assurer la sécurité, la confidentialité, l'intégrité et la disponibilité des Renseignements personnels durant tout le Cycle de vie de ceux-ci. Ces mesures tiennent notamment compte du degré de sensibilité des Renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support, le tout, de la façon prévue à la Politique de confidentialité et de sécurité de l'information adopté par la Municipalité. 13 13. INCIDENTS DE CONFIDENTIALITÉ Tout Incident de confidentialité est traité et pris en charge conformément à ce qui est prévu à la Procédure en cas d'incident de confidentialité adoptée par la Municipalité. Conformément à cette Politique, la Municipalité prend alors toutes les mesures raisonnables et nécessaires pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se reproduisent. 14. ACQUISITION, DÉVELOPPEMENT OU REFONTE D'UN SYSTÈME D'INFORMATION OU DE PRESTATION ÉLECTRONIQUE 14.1. Avant de procéder à l'acquisition, au développement ou à la refonte des systèmes de gestion des Renseignements personnels, la Municipalité doit procéder à une ÉFVP, conformément à ce qui est prévu à l'article 7 de la présente Politique; Aux fins de cette évaluation, la Municipalité doit consulter, dès le début du projet, son RPRP. 14.2. Dans le cadre de la mise en œuvre de tout projet visé à l'article 14.1, le RPRP peut, à toute étape, suggérer des mesures de protection des Renseignements personnels, dont notamment : a) La nomination d'une personne chargée de la mise en œuvre des mesures de protection des Renseignements personnels; b) Des mesures de protection des Renseignements personnels dans tout document relatif au projet, tel qu'un cahier des charges ou un contrat; c) Une description des responsabilités des participants au projet en matière de protection des Renseignements personnels; d) La tenue d'activités de formation sur la protection des Renseignements personnels pour les participants au projet. 15. RÔLES ET RESPONSABILITÉS La protection des Renseignements personnels que la Municipalité doit être une priorité pour toutes les parties prenantes au sein de la Municipalité qui traitent ces Renseignements personnels, à savoir : 15.1. Le Conseil municipal Le Conseil municipal approuve la présente Politique et veille à sa mise en œuvre, notamment en s'assurant : 15.1.1. De prendre les décisions nécessaires relevant de sa compétence pour voir à la mise en œuvre et au respect de la présente Politique; 14 15.1.2. Que la direction générale fasse la promotion d'une culture organisationnelle fondée sur la protection des Renseignements personnels et des comportements et méthodes de travail nécessaires afin d'éviter tout Incident de confidentialité; 15.1.3. Que le RPRP et le RAD puissent exercer de manière autonome et indépendante leurs pouvoirs et responsabilités; 15.2. Direction générale La direction générale est responsable de la qualité de la gestion et de l'application des mesures de protection des Renseignements personnels, de même que de l'utilisation de toute infrastructure technologique de la Municipalité. À cet égard, elle doit mettre en œuvre la présente Politique en : 15.2.1. Veillant à ce que le RPRP et le RAD puissent exercer de manière autonome et indépendante leurs pouvoirs et responsabilités; 15.2.2. S'assurant que les valeurs et orientations en matière de protection des Renseignements personnels soient partagées et véhiculées par tous les employés de la Municipalité; 15.2.3. Apportant les appuis financiers et logistiques nécessaires à la mise en œuvre et au respect de la présente Politique; 15.2.4. Exerçant son pouvoir d'enquête et appliquant les sanctions approprier aux circonstances pour le non-respect de la présente Politique. 15.3. Responsable de la protection des Renseignements personnels (RPRP) Le RPRP, en collaboration avec le RAD, le cas échéant, contribue à assurer une saine gestion des mesures de protection des Renseignements personnels. Il soutient le conseil, la direction générale et l'ensemble du personnel de la Municipalité dans la mise en œuvre de la présente Politique. Conformément au Règlement excluant certains organismes publics de l'obligation de former un comité sur l'accès à l'information et la protection de renseignements personnels, RLRQ, c. A-2.1, r.3.2, le RPRP assume les tâches qui sont dévolues au Comité sur l'accès à l'information et la protection des renseignements personnels prévus à l'article 8.1 de la Loi ainsi que des obligations qui en découlent. Notamment, le RPRP s'assure de : 15.3.1. Définir et approuver les orientations en matière de protection des Renseignements personnels au sein de la Municipalité; 15.3.2. Déterminer la nature des Renseignements personnels devant être collectés par la Municipalité, de même que des modalités et mesures à prendre pour chacune des étapes du Cycle de vie; 15.3.3. Suggérer les adaptations nécessaires en cas de modifications à la Loi, à ses règlements afférents ou l'interprétation des tribunaux, le cas échéant ; 15.3.4. Planifier et assurer, en collaboration avec la direction générale, la réalisation des activités de formation des employés de la Municipalité en matière de protection des Renseignements personnels ; 15 15.3.5. Formuler à la direction générale, des avis sur les initiatives d'acquisition, de déploiement et de refonte de systèmes d'information ou de toute nouvelle prestation électronique de services de la Municipalité nécessitant la collecte, l'utilisation, la conservation, la communication à des tiers ou la destruction des Renseignements personnels, et ce, tant au moment de la mise en place de ces initiatives que lors de toute modification à celles-ci- ; 15.3.6. Formuler des avis sur les mesures particulières à respecter quant aux sondages qui collectent ou utilisent des Renseignements personnels, ou encore en matière de vidéosurveillance ; 15.3.7. Veiller à ce que les intervenants au sein de la Municipalité connaisse les orientations, les directives et les décisions formulées par la CAI en matière de protection des Renseignements personnels; 15.3.8. Évaluer, en collaboration avec la direction générale, le niveau de protection des Renseignements personnels au sein de la Municipalité et procéder à l'évaluation du risque de préjudice sérieux lié à une Incident de confidentialité, notamment eu égard à la sensibilité des Renseignements personnels visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces Renseignements soient utilisés à des fins malveillantes ; 15.3.9. Recommander au greffier-trésorier de procéder à l'anonymisation de Renseignements personnels en lieu et place de la destruction de Renseignements personnels qui n'est plus utile à la Municipalité, en fonction de la procédure établie en vertu de l'article 5.5.3 de la présente Politique ; 15.3.10. Se conformer aux exigences liées aux demandes d'accès ou de rectification prévue à la présente Politique et à la Loi, y compris : a) Prêter assistance au requérant pour identifier le document susceptible de contenir les Renseignements recherchés lorsque sa demande est imprécise; b) À la demande du requérant, lui prêter assistance pour l'aider à comprendre toute décision prise à l'égard d'une demande d'accès conformément à ce qui est prévu à la présente Politique et à la Loi; c) Lorsqu'il rend sa décision par écrit, en transmettre une copie au requérant, accompagnée du texte de la disposition sur laquelle le refus s'appuie, le cas échéant, et d'un avis l'informant du recours en révision qui indique le délai dans lequel il peut être exercé; 15.3.11. Supervise la tenue du registre prévue à l'article 6 de la présente Politique; 15.3.12. Traiter tout Incident de confidentialité conformément à ce qui est prévu à la Procédure en cas d'incident de confidentialité adoptée par la Municipalité 15.3.13. Faire rapport au conseil et à la direction générale, sur une base annuelle, quant à l'application de la présente Politique. 16 15.4. Responsable de l'accès aux documents (RAD) Dans le cadre de ses fonctions, le RAD doit : 15.4.1. Recevoir toutes les demandes qui sont de la nature d'une demande d'accès aux documents au sens de la Loi, y compris les demandes d'informations; 15.4.2. Répondre aux requérants de l'accès des documents en fonction des prescriptions de la Loi; 15.5. Employés Chaque employé de la Municipalité doit : 15.5.1. Prendre toutes les mesures nécessaires afin de protéger les Renseignements personnels ; 15.5.2. Mettre tout en œuvre pour respecter le cadre légal applicable et les mesures prévues aux différentes Politiques et directives de la Municipalité en lien avec la protection des Renseignements personnels; 15.5.3. N'accéder qu'aux Renseignements personnels nécessaires dans l'exercice de ses fonctions ; 15.5.4. Signaler au RPRP tout Incident de confidentialité ou traitement irrégulier des Renseignements personnels ; 15.5.5. Participer activement à toute activité de sensibilisation ou formation donnée en matière de protection des Renseignements personnels; 15.5.6. Collaborer avec le RPRP. 16. FORMATION DU PERSONNEL DE LA MUNICIPALITÉ Le RPRP établit le contenu et le choix des formations offertes à tous les employés de la Municipalité et détermine la fréquence à laquelle les employés doivent suivre toute formation établie. Sans limiter la généralité de ce qui précède, les activités de formation, incluent notamment : 16.1.1. Formation à l'embauche sur l'importance de la protection de Renseignements personnels et les actions à prendre dans le cadre du travail; 16.1.2. Formation à tous les employés sur la mise en œuvre de la présente Politique; 16.1.3. Formation aux employés utilisant un nouvel outil informatique impliquant des Renseignements personnels ; 16.1.4. Toutes autres formations que le RPRP juge nécessaires et pertinentes. 17. MISE À JOUR ET MODIFICATION DE LA POLITIQUE 17 De manière à suivre l'évolution du cadre normatif applicable en matière de protection des Renseignements personnels et à améliorer le programme de protection des Renseignements personnels de la Municipalité, la présente Politique pourra être mise à jour et modifiée au besoin. La version la plus récente de la présente Politique se retrouve sur le site internet de la Municipalité. 18. SANCTIONS Tout employé de la Municipalité qui contrevient à la présente Politique ou à la Loi et ses règlements en vigueur s'expose, en plus des pénalités prévues dans la Loi, à une mesure disciplinaire pouvant aller jusqu'au congédiement. La direction générale est chargée de décider de l'opportunité d'appliquer la sanction appropriée, le cas échéant, et selon les circonstances. La Municipalité peut également transmettre à toute autorité judiciaire les informations colligées sur tout employé qui portent à croire qu'une infraction à l'une ou l'autre des dispositions de la Loi a été commise. 19. ENTRÉE EN VIGUEUR La présente Politique entre en vigueur et prend effet à compter de son adoption.