Politique cadre de gouvernance concernant la protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot f08b1224c4f0 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

POLITIQUE CADRE DE GOUVERNANCE CONCERNANT LA PROTECTION DES RENSEIGNEMENTS PERSONNELS GUIDE D'APPLICATION CONCERNANT LES RÈGLES ENCADRANT LA GOUVERNANCE À L'ÉGARD DES RENSEIGNEMENTS PERSONNELS publié par le Gouvernement du Québec, Direction de l'accès à l'information et de la protection des renseignements personnels en collaboration avec la Direction des communications énonce à cet effet : Politique en matière de protection des renseignements personnels La politique en matière de protection des renseignements personnels est un document important pour un organisme public. Elle permet de décrire les engagements de l'organisme public en cette matière. De cette politique découleront normalement d'autres documents (ex. : directives, guides, etc.) qui permettront de mieux définir les règles et les processus à respecter par les membres du personnel de l'organisme public. Cette politique devrait notamment préciser : - les objectifs et les orientations stratégiques de l'organisme public en lien avec sa mission et la protection des renseignements personnels ; - les principes directeurs en lien avec le cycle de vie des renseignements personnels sur lesquels devront s'appuyer tous les documents qui découleront de la politique ; - les principaux rôles et responsabilités (qui pourront être détaillés davantage dans les documents qui découleront de la politique). Table des matières 1. OBJET ET PORTÉE DE LA POLITIQUE .......................................................................................................... 5 2. DOCUMENTS DE RÉFÉRENCE .................................................................................................................... 5 2.1. LÉGISLATION PERTINENTE ............................................................................................................................. 5 2.2. AUTRES DOCUMENTS ................................................................................................................................... 6 3. DÉFINITIONS ............................................................................................................................................. 6 4. PRINCIPES GÉNÉRAUX .............................................................................................................................. 9 4.1. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS .............................................................................................. 9 4.2. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE ....................................................................................... 12 4.3. INCIDENT DE CONFIDENTIALITÉ .................................................................................................................... 14 4.4. RÉALISATION DE SONDAGES ........................................................................................................................ 14 4.5. TRANSPARENCE ........................................................................................................................................ 14 4.6. PLAINTE .................................................................................................................................................. 14 4.7. FORMATION ............................................................................................................................................ 15 5. DROITS DES PERSONNES CONCERNÉES .................................................................................................. 15 6. RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ............................................... 16 7. ORGANISATION DE LA GOUVERNANCE ET DES RESPONSABILITÉS .......................................................... 16 8. SANCTIONS ............................................................................................................................................ 20 9. MISE À JOUR .......................................................................................................................................... 20 10. ENTRÉE EN VIGUEUR .............................................................................................................................. 20 ANNEXE A : INFOGRAPHIE SUR LE CONSENTEMENT ....................................................................................... 21 Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 4 of 21 Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 5 of 21 1. Objet et portée de la Politique La Municipalité de Ferme-Neuve (l'« Organisme municipal ») accorde une grande importance à l'intégrité et à la protection des Renseignements personnels qu'elle traite des Renseignements personnels dans le cadre de ses activités et de ses missions. Dans le but de mener à bien ces dernières, l'Organisme municipal s'est engagé à respecter la vie privée des Personnes concernées conformément aux lois, règlements et normes applicables au Québec en matière de respect de la vie privée et de protection des Renseignements personnels au cours de leur cycle de vie. C'est pourquoi l'Organisme municipal a mis en place un programme de gouvernance qui prévoit notamment l'adoption d'une série de politiques et de procédures visant à assurer la confidentialité des Renseignements personnels et le respect de la vie privée des Personnes concernées. Le présent cadre de gouvernance concernant la protection des renseignements personnels (la « Politique ») a pour objectif : - D'énoncer les principes généraux auxquels l'Organisme municipal adhère ainsi que les pratiques qu'elle met en œuvre pour assurer la protection des Renseignements personnels et des droits des Personnes concernées durant le cycle de vie desdits Renseignements personnels; - D'établir les rôles et les responsabilités de l'Organisme municipal en matière de protection des Renseignements personnels; - De mettre en place un processus de traitement des plaintes relatives à la protection des Renseignements personnels; - De mettre en place des mesures de protection à prendre à l'égard des Renseignements personnels recueillis ou utilisés dans le cadre d'un sondage; - De décrire les activités de formation et de sensibilisation que l'Organisme municipal offre à son personnel en matière de protection des Renseignements personnels. La présente Politique s'applique à tous ses employés, comités, fournisseurs de services, partenaires et autres cocontractants qui traitent des Renseignements personnels dans l'exercice de leur fonction pour le compte de l'Organisme municipal ou et dans le cadre de leur relation avec l'Organisme municipal. 2. Documents de référence 2.1. Législation pertinente - Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, c. A-2.1 telle qu'amendée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, SQ 2021, c 25 (la « Loi 25 ») (soit la « Loi sur le secteur public »); Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 6 of 21 - Loi concernant le cadre juridique des technologies de l'information, C 1.1; - Règlement sur les incidents de confidentialité, C A-2.1, r. 3.1; - Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par des moyens technologiques; - Règlement sur la diffusion de l'information et sur la protection des renseignements personnels, A-2.1, r. 2; - Charte des droits et libertés de la personne, RLRQ c C-12; - Code civil du Québec, RLRQ c CCQ-1991. (Collectivement, les « Lois applicables sur la protection de la vie privée ») 2.2. Autres documents - Politique de protection des renseignements personnels des employés; - Politique de confidentialité (et les cookies); - Politique de gestion et de notification en cas d'incident de confidentialité; - Politique sur la sécurité de l'information; - Procédure d'anonymisation et de dépersonnalisation; - Procédure de transfert transfrontalier des renseignements personnels; - Procédure concernant l'évaluation des facteurs relatifs à la vie privée; - Procédure de demande d'accès, de rectification et de traitement des plaintes; - Procédure d'utilisation et de communication de renseignements personnels dans le cadre d'études de recherches et de production statistiques; - Procédure concernant les sondages; - Lignes directrices pour répertorier les activités de traitement des données; - Formulaire de consentement de la personne concernée; - Formulaire de retrait du consentement de la personne concernée; - Formulaire de consentement parental; - Formulaire de retrait du consentement parental; - Lignes directrices dans le cadre des évaluations des facteurs relatifs à la vie privée; - Gabarit d'évaluation des facteurs relatifs à la vie privée; - Questionnaire de conformité des fournisseurs avec les Lois québécoises sur la protection de la vie privée; - Entente sur la sécurité de l'information concernant le traitement des renseignements personnels par un fournisseur de services. 3. Définitions Les mots et expressions qui suivent sont tirés des Lois applicables sur la protection de la vie privée et ont été uniformisés pour leur application dans la juridiction de la province de Québec. Lorsqu'ils apparaissent Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 7 of 21 avec une première lettre en majuscule dans la Politique, ont le sens qui leur est attribué ci-après, à moins d'une dérogation implicite ou explicite dans le texte : Activité de traitement ou Traitement : désigne toute opération ou ensemble d'opérations effectuées sur des renseignements personnels ou des ensembles de renseignements personnels, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction. Anonymiser : signifie tout moyen permettant de faire en sorte qu'un renseignement concernant un individu ne permette plus, de façon irréversible, d'identifier directement ou indirectement cette personne, le tout selon les meilleures pratiques généralement reconnues. Évaluation des facteurs relatifs à la vie privée ou ÉFVP : désigne le processus conçu pour décrire les activités de traitement, évaluer la nécessité et la proportionnalité d'un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement de Renseignements personnels. Incident de confidentialité : désigne tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d'atteinte à sa protection ou à son caractère confidentiel. Personne autorisée : membre du personnel de l'Organisme municipal autorisé à accéder en tout ou en partie aux renseignements personnels nécessaires à l'exercice de ses fonctions. Personne concernée : personne physique qu'un renseignement personnel permet d'identifier. Fichier témoin (« cookie ») : fichier créé dans l'ordinateur de l'internaute par le navigateur et rassemblant les témoins persistants issus de la visite de sites Web. Nom de domaine : Partie d'un nom Internet qui identifie spécifiquement le site Internet d'une organisation donnée. Profilage : s'entend de la collecte et de l'utilisation des renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. Renseignements personnels : désigne toutes informations relatives à une personne physique (« personne concernée ») et permettent de l'identifier, c'est-à-dire qui révèlent de manière directe ou indirecte ou par référence, quelque chose sur l'identité, les caractéristiques, les activités, l'emplacement ou d'autres Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 8 of 21 informations identifiables (ex. : habiletés, préférences, tendances psychologiques, prédispositions, capacités mentales, caractère et comportement, situation économique culturelle ou sociale) de cette personne, et ce quelle que soit la nature du support et quelle que soit la forme sous laquelle ces renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre) et inclus dans tous les cas, un Renseignement personnel sensible. À titre d'exemples, sont considérés comme des Renseignements personnels : - Le nom, prénom et pseudonyme d'une personne ; - L'âge ; - L'origine ethnique ; - L'adresse civique ; - Le numéro de téléphone ; - L'adresse courriel et les messages ; - L'adresse IP et les données de géolocalisation ; - Le niveau d'éducation ; - Les informations sur la vie personnelle ; - L'état matrimonial ; - Les renseignements relatifs à un travail et aux antécédents professionnels, incluant les renseignements traduisant l'appréciation du travail par des supérieurs ou collègues de travail ; - Le contenu des recherches effectuées en ligne et les préférences d'utilisateur ; - Les données biométriques ; - Les informations bancaires et financières, incluant les relevés fiscaux, les numéros de carte de crédit et de débit ; - Le dossier médical, le numéro d'assurance maladie et les informations sur l'état de santé (ex. : notes, évaluations cliniques et diagnostics) ; - Les relevés de compte de téléphone cellulaire utilisé ou non pour le travail ; - Le numéro d'assurance sociale (NAS), le numéro de permis de conduire, le numéro de passeport ou d'autres identifiants similaires. Renseignement personnel anonymisé : un Renseignement personnel est considéré comme anonymisé lorsque les données d'identifications sont retirées et détruites de sorte qu'il n'est donc pas possible d'établir un lien entre l'individu et les renseignements personnels le concernant. Renseignement personnel dépersonnalisé : un Renseignement personnel est considéré comme dépersonnalisé lorsque ce renseignement ne permet plus d'identifier directement la personne concernée. Renseignement personnel sensible : un Renseignement personnel est considéré comme sensible lorsque, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de respect de la vie privée. Il peut s'agir, par exemple, de renseignements médicaux, biométriques, génétiques ou Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 9 of 21 financiers, ou encore de renseignements sur la vie ou l'orientation sexuelle, les convictions religieuses ou philosophiques, l'appartenance syndicale ou bien l'origine ethnique. Responsable de la protection des renseignements personnels : désigne la personne physique qui veille à assurer le respect et la mise en œuvre des Lois applicables sur la protection de la vie privée au sein de l'Organisme municipal. 4. Principes généraux Les Lois applicables sur la protection de la vie privée ainsi que certains contrats par lesquels elle est liée obligent l'Organisme municipal à se conformer aux principes généraux suivants : 4.1. Traitement des renseignements personnels L'Organisme municipal assure la protection des Renseignements personnels qu'elle détient directement ou qui sont traités pour son compte par tous fournisseurs de services, tous partenaires et autres contractants tout au long de leur cycle de vie dans le respect des principes suivants, sous réserve des exceptions légales. L'Organisme municipal veille à ce que les Renseignements personnels soient traités par des moyens équitables et légaux tout au long de leur cycle de vie. 4.1.1. Consentement L'Organisme municipal obtient de la Personne concernée un consentement valable, c'est-à-dire manifeste, libre, et éclairé qui est donné à des fins spécifiques avant de recueillir, d'utiliser ou de communiquer des Renseignements personnels, sous réserve des exceptions prévues par la loi. Il doit être demandé pour chacune de ces fins en termes simples et clairs, distinctement de toute autre information communiquée à la Personne concernée. Ce consentement doit être manifesté de façon expresse dès qu'il s'agit d'un Renseignement personnel sensible. L'Organisme municipal obtient de la Personne concernée un consentement supplémentaire pour utiliser les Renseignements personnels collectés à une fin secondaire ou autre, sauf exception. Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Le consentement du mineur de moins de 14 ans est donné par le titulaire de l'autorité parentale ou par le tuteur. Le consentement du mineur de 14 ans et plus est donné par le mineur, par le titulaire de l'autorité parentale ou par le tuteur. Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l'autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur. En matière de consentement, l'Organisme municipal devra encadrer l'utilisation et la communication des renseignements personnels avec le consentement de la personne concernée, tel qu'il appert des lignes Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 10 of 21 directrices émises par la Commission d'accès à l'information. L'infographie en Annexe A offre un aperçu de certains concepts relatifs au consentement. 4.1.2. Collecte L'Organisme municipal ne collecte que les Renseignements personnels qui sont nécessaires à la réalisation de ses missions et de ses activités. La collecte doit se faire auprès de la Personne concernée, sous réserve des exceptions prévues par les Lois applicables sur la protection de la vie privée. Les Renseignements personnels doivent être recueillis et utilisés à des fins spécifiques, explicites et légitimes, c'est-à-dire directement liées et manifestement nécessaires à la réalisation des finalités pour lesquelles ils ont été recueillis. Ces fins doivent être établies avant la collecte et l'utilisation des Renseignements personnels. L'Organisme municipal fait preuve d'honnêteté et de transparence en informant les Personnes concernées, avant de collecter leurs Renseignements personnels (i) des raisons pour lesquelles l'Organisme municipal ou les fournisseurs de services, les partenaires et autres contractants agissant pour son compte les recueillent et (ii) de leurs droits quant à leurs Renseignements personnels. Si des Renseignements personnels sont recueillis auprès de tiers, l'Organisme municipal s'assure que la collecte est autorisée par la loi et qu'elle respecte ses politiques et ses pratiques à ce sujet. 4.1.3. Utilisation L'Organisme municipal utilise les Renseignements personnels qu'elle détient uniquement pour les finalités légitimes et légales pour lesquelles ils ont été collectés. En cas d'utilisation ultérieure de ces Renseignements personnels pour des finalités légitimes différentes que celles pour lesquelles ils ont été collectés, l'Organisme municipal s'assure d'obtenir le consentement de la Personne concernée avant de procéder à l'utilisation de ces Renseignements personnels. L'Organisme municipal réalise une évaluation des facteurs relatifs à la vie privée chaque fois qu'elle effectue des Activités de traitement qui présentent des risques pour les droits et les libertés des Personnes concernées ou dans les cas prévus par la loi. L'Organisme municipal établit et maintient à jour un inventaire de ses fichiers de Renseignements personnels et un registre des Activités de traitement qu'elle effectue. L'Organisme municipal contrôle les droits d'accès de ses salariés et de ses prestataires afin que l'accès aux Renseignements personnels qu'elle détient ne soit accordé qu'aux salariés et aux prestataires ayant besoin d'y accéder dans le cadre de leurs fonctions en lien avec les missions de l'Organisme municipal. Les salariés et les prestataires qui effectuent des Activités de traitement des Renseignements personnels détenus par Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 11 of 21 l'Organisme municipal sont tous soumis à une obligation de confidentialité et respect de ses politiques et de ses procédures en matière de protection des Renseignements personnels et de respect de la vie privée. 4.1.4. Communication Les Renseignements personnels collectés par l'Organisme municipal sont confidentiels et ne sont pas communiqués à un tiers sans le consentement préalable de la personne concernée, sauf exception légale, notamment les dispositions de l'article 19 de la Loi sur les archives. Avant de transférer des Renseignements personnels sans le consentement des Personnes concernées dans les cas prévus par la loi, l'Organisme municipal procède à une évaluation des facteurs relatifs à la vie privée afin de prévenir et de mitiger les risques pour les droits et libertés des personnes physiques résultant de la communication des Renseignements personnels. Toute communication des Renseignements personnels de l'Organisme municipal vers des tiers est consignée au registre des Activités de traitement ou de communication des Renseignements personnels. Lorsqu'elle transfert les Renseignements personnels hors du Québec, l'Organisme municipal s'assure que le fournisseur de services ou le prestataire de services et le pays de destination où ils sont transférés offrent les garanties adéquates en matière des principes de protection des Renseignements personnels généralement reconnus. Lorsqu'elle partage des Renseignements personnels à des tiers, l'Organisme municipal conclut des accords écrits qui imposent aux tiers de respecter les obligations légales en matière de confidentialité, de sécurité et de protection des Renseignements personnels et de respect de la vie privée. Lorsque l'Organisme municipal se voit communiquer des renseignements personnels par un organisme désigné comme source officielle de données numériques gouvernementales ou par un autre organisme public visé par un décret pris en application de l'article 12.14 de la Loi sur la gouvernance, dans le cadre d'un mandat ou d'un contrat qui est lié à l'accomplissement de l'une des fins administratives ou de services publics précisée dans un tel décret et qui est confié conformément à l'article 67.2 de la Loi sur l'accès (chapitre A-2.1), elle doit se soumettre à un audit externe visant le respect des plus hautes normes et des meilleures pratiques en matière de sécurité de l'information et de protection des renseignements personnels. 4.1.5. Conservation L'Organisme municipal ne conserve les Renseignements personnels qu'elle collecte que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis, sous réserve de délais prévus à son Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 12 of 21 calendrier de conservation et en conformité avec les lois et règlements applicables en matière de protection des Renseignements personnels et de respect de la vie privée et de la Loi sur les archives. 4.1.6. Exactitude et rectification L'Organisme municipal veille à ce que les Renseignements personnels qu'elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée conformément aux finalités pour lesquelles ils sont collectés et utilisés. Cette obligation vise à sauvegarder l'intégrité de l'information, tant dans son fond que sa forme, et à s'assurer que la personne concernée ne subit pas un préjudice basé sur un renseignement qui est inexact ou désuet à son égard. Des mesures raisonnables doivent être prises pour que les Renseignements personnels soient effacés ou rectifiés en temps opportun. Le droit de rectification des documents inactifs concernant une personne décédée ne s'exerce qu'en conformité avec les dispositions de la Loi sur les archives. 4.1.7. Anonymisation et dépersonnalisation Lorsque ces fins pour lesquelles les Renseignements personnels ont été collectés ont été accomplies, l'Organisme municipal les détruit, anonymise ou les dépersonnalise, selon les meilleures pratiques généralement reconnues, sous réserve des modalités et critères déterminés par voie réglementaire et des lois applicables. 4.1.8. Sécurité et confidentialité L'Organisme municipal met en place des mesures de sécurité raisonnables conformément aux standards généralement reconnus pour assurer la protection des Renseignements personnels qu'elle détient, utilise, communique, conserve ou détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif. Ces mesures de sécurité tiennent compte notamment du degré de sensibilité des Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur méthode de conservation, de leur support et de leur format ainsi que des risques liés au respect de la vie privée. 4.2. Évaluation des facteurs relatifs à la vie privée L'Organisme municipal procède à une évaluation des facteurs relatifs à la vie privée chaque fois qu'une Activité de traitement présente des risques de porter atteinte à la vie privée des Personnes concernées afin de les mitiger et de protéger leurs droits et libertés. Elle doit obligatoirement procéder à une évaluation des facteurs relatifs à la vie privée dans les cas suivants : (i) Avant tout projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 13 of 21 conservation ou la destruction de Renseignements personnels suite à une consultation réalisée conformément à l'article 63.5 de la Loi sur le secteur public; (ii) Avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à des fins d'étude, de recherche ou de production de statistiques; (iii) Avant de communiquer des Renseignement personnels hors du Québec; (iv) Avant de communiquer à un organisme public ou à un organisme d'un autre gouvernement des Renseignements personnels sans le consentement des Personnes concernées dans les cas prévus à l'article 68 de la Loi sur le secteur public lorsque : a. Cette communication est nécessaire à l'exercice des attributions de l'organisme receveur ou à la mise en œuvre d'un programme dont cet organisme a la gestion ; b. Cette communication est manifestement au bénéfice de la personne concernée; c. Des circonstances exceptionnelles le justifient; d. Si cette communication est nécessaire dans le cadre de la prestation d'un service à rendre à la personne concernée par un organisme public, notamment aux fins de l'identification de cette personne; (v) Avant de collecter des Renseignements personnels nécessaires à l'exercice des attributions ou la mise en œuvre d'un programme d'un autre organisme public avec lequel il collabore pour une prestation de services ou la réalisation d'une mission commune; et (vi) L'organisme public désigné comme source officielle de données numériques gouvernementales doit, avant de recueillir, d'utiliser ou de communiquer des renseignements personnels dans l'exercice de sa fonction: 1° procéder à une évaluation des facteurs relatifs à la vie privée et la transmettre à la Commission d'accès à l'information; 2° établir des règles encadrant sa gouvernance à l'égard de renseignements personnels et les faire approuver par la Commission. Ces règles doivent prévoir l'encadrement applicable à la conservation et à la destruction des Renseignements personnels concernés, les rôles et les responsabilités des membres du personnel de l'organisme public à l'égard de ces renseignements tout au long de leur cycle de vie et un processus de traitement des plaintes relatives à leur protection. Elles doivent être à nouveau soumises pour approbation à la Commission d'Accès à l'Information tous les deux (2) ans. Les évaluations des facteurs relatifs à la vie privée sont réalisées suivant la Procédure concernant l'évaluation des facteurs relatifs à la vie privée et les ententes préalables de l'Organisme découlant de standards et pratiques généralement reconnus. Leur réalisation sert à démontrer que l'Organisme a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 14 of 21 L'Organisme municipal peut aussi procéder à une évaluation des facteurs relatifs à la vie privée chaque fois qu'une Activité de traitement présente des risques de porter atteinte à la vie privée des Personnes concernées afin de les mitiger et de protéger leurs droits et libertés. 4.3. Incident de confidentialité L'Organisme municipal gère tout incident de confidentialité conformément à la Procédure de gestion des incidents de confidentialité impliquant des renseignements personnels de l'Organisme municipal, afin de prendre des mesures raisonnables pour diminuer les risques qu'un préjudice soit causé aux Personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent. Tout incident de confidentialité est signalé au Responsable de la protection des renseignements personnels et au Responsable de la sécurité de l'information et est consigné au Registre des incidents de confidentialité de l'Organisme municipal. Si l'incident présente un risque de préjudice sérieux pour les Personnes concernées, l'Organisme municipal avise celles-ci et la Commission d'accès à l'information. 4.4. Réalisation de sondages L'Organisme municipal prend les mesures nécessaires de protection des Renseignements personnels collectés avant de recourir à la réalisation d'un sondage. Elle évalue la nécessité de recourir au sondage et procède à une évaluation des facteurs relatifs à la vie privée avant tout lancement de celui-ci. 4.5. Transparence L'Organisme municipal informe ses clients et ses employés des politiques et des pratiques de gestion des Renseignements personnels qu'elle met en œuvre dans le cadre de ses activités et opérations. Ces politiques et pratiques sont rédigées en termes simples et clairs et faciles d'accès. Notamment, afin de rejoindre les exigences de l'article 63.4 de la Loi sur l'accès, les organismes publics, incluant l'Organisme municipal à cet effet, qui recueillent par un moyen technologique des renseignements personnels doivent publier sur leur site Internet et diffuser par tout moyen propre à atteindre les Personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Il fait de même pour l'avis dont toute modification à cette politique doit faire l'objet. 4.6. Plainte L'Organisme municipal traite diligence toute plainte en lien avec les demandes d'accès et de rectification ainsi que la protection des Renseignements personnels et la violation du respect de la vie privée qu'elle reçoit de toute personne concernée conformément à sa « Procédure de demande d'accès, et de rectification et de traitement des plaintes concernant les Renseignements personnels ». L'Organisme municipal veille à donner une réponse aux demandes reçues et, en cas de refus, à motiver ladite réponse en indiquant la disposition de la Loi sur le secteur public et informer le requérant de ses Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 15 of 21 droits de recours en révision et des délais pour l'exercer. Elle prête assistance au requérant qui le demande pour l'aider à comprendre la décision de refus de l'Organisme municipal. 4.7. Formation L'Organisme municipal met en place un programme de formation et de sensibilisation de son personnel en matière de protection des Renseignements personnels au cours de leur cycle de vie. Ces formations prennent différentes formes, telles que des formations obligatoires à l'embauche sur la protection des renseignements personnels et la procédure d'incidents de confidentialité, ainsi que des présentations, politiques, procédures et directives écrites. 5. Droits des personnes concernées Toute personne dont l'Organisme municipal collecte, détient et utilise des Renseignements personnels dispose des droits suivants : - Demander que les Renseignements personnels recueillis à son sujet soient communiqués ou transférés à une autre organisation qu'elle désigne dans un format technologique et couramment utilisé; - Être informée des Renseignements personnels que l'Organisme municipal détient à son sujet, de leur utilisation, communication, conservation et de leur destruction, sous réserve des exceptions prévues par la loi applicable; - Pouvoir accéder aux Renseignements personnels que l'Organisme municipal détient à son sujet et obtenir une copie de ceux-ci sous des formats accessibles, sous réserve des exceptions prévues par la loi applicable; - Pouvoir rectifier et mettre à jour les Renseignements personnels que l'Organisme municipal détient à son sujet lorsqu'ils sont incomplets, inexacts ou périmés; - Demander que les Renseignements personnels recueillis par l'Organisme municipal à son sujet soient communiqués ou transférés à une autre organisation qu'elle désigne dans un format technologique et couramment utilisé; - Pouvoir retirer ou modifier son consentement à ce que l'Organisme municipal recueille, utilise, communique ou conserve ses Renseignements personnels en tout temps, sous réserve des restrictions légales et contractuelles applicables; - Être informée d'un incident de confidentialité concernant ses Renseignements personnels pouvant lui causer un préjudice sérieux ; - Demander de cesser de diffuser ses Renseignements personnels et de désindexer tout lien rattaché à son nom qui donne accès à ces renseignements en cas de diffusion qui contrevient à la loi ou à une ordonnance judiciaire; - Porter plainte relativement au Traitement de ses Renseignements personnels par l'Organisme municipal; Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 16 of 21 - Demander que l'Organisme municipal cesse de diffuser les Renseignements personnels qu'il a recueillis à son sujet et qu'elle désindexe tout hyperlien rattaché à son nom qui donne accès à ces Renseignements personnels si cette diffusion contrevient à la loi ou à une ordonnance judiciaire. 6. Responsable de la protection des renseignements personnels Conformément à l'article 8 de la Loi sur l'accès, la direction principale, à titre de la plus haute autorité au sein de l'Organisme municipal, a conservé de toutes ses fonctions de Responsable de la protection des renseignements personnels dont les coordonnées sont disponibles dans la Politique de confidentialité de l'Organisme municipal publiée sur son site web. 7. Organisation de la gouvernance et des responsabilités La protection des Renseignements personnels que l'Organisme municipal détient repose sur l'engagement de tous ceux qui traitent ces renseignements et plus particulièrement : Le Conseil municipal - adopte toutes politiques énonçant les règles de gouvernance à l'égard des renseignements personnels; - reçoit une reddition de compte annuelle concernant l'accès à l'information et la protection des Renseignements personnels. - Désigner le Responsable de la protection des renseignements personnels, soit la personne chargée d'assurer le respect et la mise en œuvre des Lois applicables sur la protection de la vie privée au sein de l'Organisme municipal et aviser la Commission d'accès à l'information; La Direction Générale de l'Organisme municipal La Direction Générale de l'Organisme municipal est responsable de la protection des Renseignements personnels qu'il détient, utilise, traite, communique, conserve ou détruit. Il doit entrer autres : - Déterminer le rôle et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels; - Établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance des Renseignements personnels; - Mettre en place ou revoir les mesures et procédures nécessaires pour la mise en conformité des modèles de consentement; - Veiller à faciliter l'exercice de la fonction de Responsable de la protection des renseignements personnels; - Aviser la Commission d'accès à l'information du titre, des coordonnées et de la date d'entrée en fonction de la personne qui exerce la fonction de Responsable de la protection des renseignements personnels; Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 17 of 21 - Aviser la Commission d'accès à l'information en cas de survenance d'un incident de confidentialité impliquant un renseignement personnel que l'Organisme municipal détient, si l'incident présente le risque qu'un préjudice sérieux soit causé à une personne concernée; - Publier sur son site Web, son Programme de gouvernance de l'information relatant les politiques et pratiques en vigueur. Le Responsable de l'Accès à l'Information et de la Protection des Renseignements Personnels Le Responsable AIPRP exerce les fonctions et assume les responsabilités suivantes : - Approuver les règles de gouvernance de l'Organisme municipal à l'égard des Renseignements personnels; - Recommande pour adoption au Conseil municipal toute politique encadrant la gouvernance des Renseignements personnels; - Définir et approuver les orientations de l'Organisme municipal en matière de protection des Renseignements personnels; - Soutenir l'Organisme municipal dans l'exercice de ses responsabilités et dans l'exécution de ses obligations; - Réalise les évaluations des facteurs relatifs à la vie privée dans les cas requis par la loi et les règlements et chaque fois que cela est nécessaire pour la protection des renseignements personnels et la vie privée, conformément à la Procédure d'évaluation des facteurs relatifs à la vie privée; - Est consulté préalablement, peut rendre un avis et suggérer des mesures de protection sur tout projet d'acquisition, de développement et de refonte de système d'information, ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de Renseignements personnels, incluant la vidéosurveillance et l'instauration d'une nouvelle technologie; - Mets en place ou revoit les mesures prises pour la conformité des modèles de consentement; - Planifier et assurer la réalisation des activités de formation et de sensibilisation; - Promouvoir les orientations, les directives et les décisions formulées par la Commission d'accès à l'information; - Évaluer annuellement le niveau de protection des Renseignements personnels; - Se tenir à la disposition de la Commission d'accès à l'information et, le cas échéant, toute personne concernée en cas d'Incident de confidentialité le risque qu'un préjudice sérieux soit causé; - Approuver toute déclaration publique touchant à la protection des Renseignements personnels jointe à des communications telles que des courriels, des lettres et des avis publics; - Répondre à toute demande de renseignements sur la protection des Renseignements personnels provenant de journalistes ou d'organes de presse; - Si nécessaire, travailler avec le Responsable de la protection des renseignements personnels pour s'assurer que les initiatives de publicité ou de communications respectent les principes de protection des Renseignements personnels; Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 18 of 21 - Répondre aux demandes d'accès et de rectification ou de plainte qui lui sont transmises; - Pose tout acte requis conformément à la Procédure de gestion des incidents de confidentialité, en cas d'incident de confidentialité; et - Reçoit toute entente préalable conclue conformément à la Procédure concernant l'évaluation des facteurs relatifs à la vie privée et les ententes préalables et à la Procédure relative à l'utilisation ou à la communication sans consentement de renseignements personnels à des fins d'étude, de recherche ou de production de statistiques. Le Responsable de la protection des renseignements personnels - Responsable de l'application et de la mise en œuvre des lois applicables et du cadre normatif établissant les règles encadrant la gouvernance de l'Organisme municipal en matière de protection des Renseignements personnels; - Élabore et promeut les politiques et les procédures de l'Organisme municipal en matière de protection des Renseignements personnels; - Assure une veille des lois applicables en matière de protection des Renseignements personnels; - Assure le traitement des demandes d'accès à l'information, de communication ou de rectification de renseignements personnels, de même que le traitement des plaintes relatifs aux Renseignements personnels; - Pose tout acte requis conformément à la Procédure de gestion des incidents de confidentialité, en cas d'incident de confidentialité ; - Assure la formation et la sensibilisation du personnel de l'Organisme en matière de protection des renseignements personnels et de protection de la vie privée; - Tient les registres en matière de protection des Renseignements personnels; - Produit la reddition de compte annuelle en matière d'accès à l'information et de protection des Renseignements personnels. - Contribuer à la mise en œuvre du cadre de gouvernance qui régit la sécurité de l'information au sein de son organisation; - S'assurer de la prise en charge des exigences de sécurité de l'information lors de la réalisation de projets de développement, d'acquisition, d'évolution ou de remplacement d'un actif informationnel ou d'un service en ressources informationnelles; - Mettre en œuvre les actions requises pour la prise en charge d'un événement de sécurité; - Tenir un registre des événements de sécurité; - Assurer le développement des compétences du personnel de son organisation en matière de sécurité de l'information. Le personnel de l'Organisme municipal Tout employé, dirigeant, administrateur, sous-traitant, agent ou tiers collaborateur, incluant toute personne qui, au sein de l'Organisme municipal, a accès et traite des renseignements personnels doit veiller à respecter les principes suivants : - Assurer la confidentialité, l'intégrité et disponibilité des renseignements personnels; - Assure la confidentialité des Renseignements personnels détenus par l'Organisme municipal; Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 19 of 21 - Accède et traite les Renseignements personnels détenus par l'Organisme municipal conformément à la mission et aux finalités de l'Organisme municipal, dans le respect des codes, politiques et procédures en vigueur; - Signale tout incident de confidentialité ou toute situation présentant un risque pour la protection des Renseignements personnels auprès du Responsable de la protection des renseignements personnels, conformément à la Procédure de gestion des incidents de confidentialité impliquant des renseignements personnels; - Collabore, lorsqu'applicable, à toute ÉFVP devant être réalisée par le Comité, de même qu'à la mise en place de toute mesure d'atténuation, le cas échéant, selon les rôles et responsabilités déterminées par l'ÉFVP; - Participe aux activités de formation et de sensibilisation en matière de protection des renseignements personnels. Municipalité de Ferme-Neuve Politique cadre de gouvernance concernant la protection des renseignements personnels Version 1.0 (24-07-2024) Page 20 of 21 8. Sanctions Toute personne qui enfreint cette Politique fera l'objet d'une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables. 9. Mise à jour La présente Politique est révisée, au besoin, suivant l'évolution du cadre normatif applicable en matière de protection des Renseignements personnel. 10. Entrée en vigueur Ce document entre en vigueur à la date de son adoption par le Conseil municipal. Annexe A : Infographie sur le consentement