Politique-cadre de gouvernance en matière de renseignements personnels (Loi 25) - règl. 23-600 — full text

This is the exact embedded text of the captured official document. Snapshot 5bc644ea3e18 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

Copie certifiée conforme DANIELLE SIMARD Greffière par intérim 20-09-2023 PROVINCE DE QUÉBEC DISTRICT DE JOLIETTE Extrait du procès-verbal d'une séance ordinaire du conseil de la Ville de Joliette, tenue à l'heure et au lieu réglementaires, le 18 septembre 2023, où étaient présents le conseiller Luc Beauséjour, les conseillères Claudia Bertinotti et Muriel Lafarge, les conseillers Richard Leduc, Cédric Champagne, Patrick Lasalle, Claude St-Cyr et Alexandre Martel formant quorum sous la présidence de M. Pierre-Luc Bellerose, maire. 23-600 - POLITIQUE-CADRE DE GOUVERNANCE EN MATIÈRE DE RENSEIGNEMENTS PERSONNELS - LOI 25 - ADOPTION CONSIDÉRANT l'entrée en vigueur de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25); CONSIDÉRANT l'importance pour la Ville de Joliette de se conformer à la Loi et d'assurer la protection des renseignements personnels qu'elle détient en toute transparence; EN CONSÉQUENCE, il est proposé par le conseiller Cédric Champagne, appuyé par le conseiller Claude St-Cyr et résolu : D'ADOPTER la Politique-cadre de gouvernance en matière de renseignements personnels jointe à la présente. Adoptée à l'unanimité des membres du conseil 1 Politique-cadre de gouvernance en matière de protection des renseignements personnels ARTICLE 1 PRÉAMBULE La Ville de Joliette collecte et utilise des renseignements personnels pour supporter sa mission et ses processus d'affaires et offrir une prestation de service aux citoyens. La Ville est responsable des renseignements personnels qu'elle collecte et détient, que leur conservation soit assurée par la Ville ou par un tiers. La présente Politique vise l'encadrement de la gouvernance à l'égard de la protection des renseignements personnels, le tout conformément à Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A -2.1(ci-après « Loi sur l'accès ») en présentant notamment les aspects suivants : - Définition des rôles et responsabilités des membres du personnel; - Présentation du processus de traitement des plaintes relatives à la protection des renseignements personnels; - Présentation des activités de formation et sensibilisation offertes au personnel; - Mise en place des mesures de protection prises par la Ville lors de la collecte et l'utilisation de renseignements personnels. ARTICLE 2. DÉFINITIONS Comité sur l'Accès à l'information et la protection des renseignements personnels Le Comité est chargé de soutenir le responsable de l'accès à l'information et de la protection des renseignements personnels dans l'exercice de ses responsabilités et dans l'exécution de ses obligations prévues en vertu de la Loi sur l'accès. Il relève du directeur général de la Ville. Incident de confidentialité Tout accès, utilisation ou communication non autorisés d'un renseignement personnel, la perte d'un renseignement personnel ou tout autre atteinte à la protection d'un tel renseignement. 2 Personne visée ou concernée Personne physique à qui se rapportent les renseignements personnels. Renseignement personnel Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l'identifier, tel que : le nom, l'adresse, le numéro de téléphone, l'adresse courriel, l'occupation, le numéro d'assurance sociale, la date de naissance, la photographie et les coordonnées bancaires. Un renseignement personnel est dit « sensible » lorsqu'il suscite un haut risque d'atteinte raisonnable en matière de vie privée du fait de sa nature médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication. Support d'information Constitue un support le média sur lequel l'information d'un document est consignée. Le support peut être physique ou virtuel. Consentement Le consentement est l'autorisation de la personne titulaire des renseignements personnels à recueillir et utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. ARTICLE 3 CHAMP D'APPLICATION ET CADRE LÉGISLATIF La présente Politique s'applique à toute personne qui, dans l'exercice de ses fonctions, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par la Ville ou ses sous-traitants concernant toute personne physique. En tant qu'organisme public, la Ville recueille des renseignements personnels, notamment ceux de ses citoyens et des membres du personnel et est donc assujetti aux dispositions législatives suivantes : - Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1); - Loi sur les Archives (RLRQ, c. A-21.1); - Code civil du Québec (RLRQ, c. C-47.1); - Charte des droits et libertés de la personne (RLRQ, c. C-12); 3 - Loi concernant le cadre juridique des technologies de l'information (chapitre C-1.1). Principes directeurs La Ville traite confidentiellement les renseignements personnels qu'elle détient sur les membres de son personnel, ses citoyens, ses partenaires ou toute autre personne. La Ville met en place les mesures requises pour en assurer la confidentialité lors de la collecte, de la détention, de l'utilisation, la communication et la disposition ainsi que pour garantir l'accès par la personne visée aux renseignements personnels la concernant. Une procédure de gestion des incidents de confidentialité est également mise en place. 1) La collecte La collecte des renseignements personnels se limite aux seuls renseignements nécessaires à la Ville dans l'exercice de ses fonctions. Cette collecte doit s'effectuer auprès de la personne concernée et dans le respect de la Loi sur l'accès. À cet effet, la Ville doit s'assurer que : - Lorsque requis par la loi, la collecte de renseignement personnel effectuée par un service de la Ville est accompagnée d'un consentement explicite de la personne concernée quant à l'usage et la communication qui en sera fait par ce service; - Tout projet de collecte de nouveaux renseignements personnels, d'ajout de renseignements personnels ou de création de bases de données de renseignements personnels, d'acquisition ou modification substantielle de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels doit faire l'objet d'une évaluation des facteurs relatifs à la vie privée. Cette exigence s'applique également avant de communiquer des renseignements personnels ou confier à un tiers à l'extérieur du Québec la tâche de recueillir, de communiquer ou de conserver pour le compte de la Ville de tels renseignements. 2) La conservation et la disposition La Ville veille à ce que les renseignements personnels qu'elle détient soient exacts et à jour. 4 Les renseignements personnels ne sont conservés que le temps nécessaire pour réaliser la fin pour laquelle ils ont été recueillis, sous réserve de délais prévus à son calendrier de conservation. Les mesures de sécurité strictes relatives au type de support sont appliquées et maintenues à jour selon les standards reconnus. Pour ce faire : - La durée de conservation des documents est déterminée par le calendrier de conservation de la Ville, sous réserve des exigences de la Loi sur l'accès relativement aux renseignements personnels; - Les renseignements dont la fin pour lesquelles ils ont été recueillis est achevée sont détruits ou anonymisés pour utilisation à des fins publiques; - La destruction se fait de manière sécuritaire de façon à en protéger la confidentialité. 3) L'utilisation Les accès aux documents contenant des renseignements personnels sont limités aux seuls membres du personnel autorisés, et ce, tout au cours de leur manipulation et de leur disposition. L'utilisation des renseignements personnels se restreint aux fins pour lesquels ils sont recueillis. La Ville met en place ces restrictions de la manière suivante : - Les accès aux bases de données sont accordés par le gestionnaire en fonction des besoins de son service et d'utilisation qui doit en être faite; - Les accès accordés par les gestionnaires sont approuvés par le responsable de l'accès à l'information et de la protection des renseignements personnels; - Le personnel autorisé à avoir accès à des renseignements personnels doit signer un engagement de confidentialité et en comprendre la portée de même que se conformer aux dispositions du Code d'éthique des employés; - La présente Politique est remise et expliquée à tous les employés actuels et futurs par le service du Capital humain; - La Ville tient un inventaire des systèmes de fichiers de renseignements personnels. Cet inventaire est disponible sur demande à toute personne qui en fait la demande, sous réserve des renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la loi. 5 4) La communication et le transfert La Ville ne transmet aucun renseignement personnel qu'elle détient sans le consentement de la personne visée ou seulement lorsque la Loi sur l'accès le permet en l'absence d'un tel consentement. Cette communication s'effectue par l'utilisation de moyens de transmission sécuritaires garantissant le caractère confidentiel des renseignements. Ces objectifs sont atteints lorsque : - La Ville requiert et obtient un consentement explicite de la personne visée avant de procéder à la transmission de renseignements personnels sensibles, sous réserve des exceptions prévues par la loi; - Toute communication de renseignements personnels, sans le consentement de la personne visée, est soumise au préalable au responsable de l'accès aux documents et de la protection des renseignements personnels, pour validation et pour faire l'objet d'une évaluation de sa conformité avec la Loi sur l'accès. Une telle communication doit faire l'objet d'une inscription au registre de communication de renseignements personnels de la Ville; - Tout usage par un service autre que celui qui a collecté les renseignements personnels est permis si cet usage est conforme au but visé par la collecte de tels renseignements personnels; Lorsque des renseignements personnels sont recueillis par ou transmis à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service, la Ville doit conclure une entente avec le fournisseur ou mandataire qui comprend les dispositions contractuelles relatives au respect des principes de la présente politique. ARTICLE 4. L'ACCÈS AUX RENSEIGNEMENTS PAR LES PERSONNES VISÉES La Ville s'assure que la personne qui en fait la demande soit informée de l'existence, dans l'une de ses bases de données ou de ses dossiers, d'un renseignement personnel la concernant, et qu'elle en reçoive communication. Sous réserve des dispositions prévues à la Loi sur l'accès, cette personne peut, le cas échéant, demander une rectification. À cette fin : - Le responsable de l'accès aux documents et de la protection des renseignements personnels a le mandat de gérer les demandes d'accès et de rectifications; - Toute demande d'accès aux renseignements et de rectification par la personne visée fait l'objet d'une vérification de l'identité de cette personne. 6 ARTICLE 5 REGISTRES Conformément à la loi, la Ville tient à jour les registres suivants : 1) Registre des communications de renseignements personnels sans le consentement d'une personne concernée dans les cas suivants : - lorsque la Ville communique l'identité d'une personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers; - lorsque la Ville communique des renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi; - lorsque la Ville communique des renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail; - lorsque la Ville communique des renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service; - lorsque la Ville communique des renseignements personnels à des fins d'étude, de recherche ou de statistique; - après avoir effectué une évaluation des facteurs relatifs à la vie privée (ÉFVP), lorsque la Ville communique des renseignements personnels dans les cas visés par l'article 68 de la loi. Dans les cas visés au paragraphe 1), le registre comprend : - la nature ou le type de renseignement communiqué; - la personne ou l'organisme qui reçoit cette communication; - la fin pour laquelle ce renseignement est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication de renseignements personnels à l'extérieur du Québec; - la raison justifiant cette communication. 2) Registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la Ville collabore pour la prestation de services ou la réalisation d'une mission commune. Un tel registre comprend : - le nom de l'organisme pour lequel les renseignements sont recueillis; - l'identification du programme ou de l'attribution pour lequel les renseignements sont nécessaires; 7 - la nature ou le type de la prestation de service ou de la mission; - la nature ou le type de renseignements recueillis; - la fin pour laquelle ces renseignements sont recueillis; - la catégorie de personnes, au sein de l'organisme qui recueille les renseignements et au sein de l'organisme receveur, qui a accès aux renseignements. 3) Registre des utilisations de renseignements personnels au sein de la Ville à d'autres fins et sans le consentement de la personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la personne concernée ou qu'elle est nécessaire à l'application d'une loi au Québec. Un tel registre comprend : - la mention du paragraphe du deuxième alinéa de l'article 65.1 de la loi permettant l'utilisation, c'est-à-dire la base juridique applicable; - dans le cas visé au paragraphe 3° du deuxième alinéa de l'article 65.1 de la loi, la disposition législative qui rend nécessaire l'utilisation du renseignement; - la catégorie de personnes qui a accès au renseignement aux fins de l'utilisation indiquée. 4) Registre des communications d'information concernant un Incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un Incident de confidentialité; 5) Registre des incidents de confidentialité. Un tel registre comprend : - une description des renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison justifiant l'impossibilité de fournir une telle description; - une brève description des circonstances de l'incident; - la date ou la période où l'incident a eu lieu ou, si cette dernière n'est pas connue, une approximation de cette période; - la date ou la période au cours de laquelle l'organisation a pris connaissance de l'incident; - le nombre de Personnes concernées par l'incident ou, s'il n'est pas connu, une approximation de ce nombre; 8 - une description des éléments qui amènent l'organisation à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux Personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables; - si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux Personnes concernées, en application du deuxième alinéa de l'article 63.8 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l'article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même qu'une mention indiquant si des avis publics ont été donnés par l'organisation et la raison pour laquelle ils l'ont été, le cas échéant; - une brève description des mesures prises par l'organisation, à la suite de la survenance de l'incident, afin de diminuer les risques qu'un préjudice soit causé. ARTICLE 6. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE (ÉFVP) La Ville réalise une ÉFVP, notamment dans le contexte des traitements suivants de renseignements personnels : - avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des Renseignements personnels; - avant de recueillir des Renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; - avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques; - lorsqu'elle entend communiquer des Renseignements personnels, sans consentement des Personnes concernées, conformément à l'article 68 de la Loi sur l'accès; - lorsqu'elle entend communiquer des Renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels renseignements pour son compte. 9 La réalisation d'une ÉFVP sert à démontrer que la Ville a respecté toutes les obligations en matière de protection des Renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. ARTICLE 7. INCIDENTS DE CONFIDENTIALITÉ La Ville prend les mesures nécessaires pour diminuer les risques d'incidents de confidentialité impliquant des renseignements personnels et éviter qu'un préjudice soit causé par un tel évènement. Tout incident de confidentialité est géré conformément à la Politique de gestion des incidents de confidentialité. ARTICLE 8. TRAITEMENT DES PLAINTES Toute plainte relative aux pratiques de protection des renseignements personnels de la Ville ou de sa conformité aux exigences de la Loi qui concernent les renseignements personnels doit être transmise au Responsable de la protection des renseignements personnels (RPRP), lequel doit y répondre dans un délai de 20 jours. ARTICLE 9. RÔLES ET RESPONSABILITÉS La protection des renseignements personnels que la Ville détient repose sur l'engagement de tous les employés. La mise en œuvre de la présente directive est partagée par les intervenants suivants : Le maire Le maire constitue la plus haute autorité au sein de la Ville. Celui-ci exerce donc les fonctions conférées par la Loi sur l'accès en sa qualité de personne responsable de l'accès aux documents et de la protection des renseignements personnels. Le directeur général Le directeur général préside le Comité sur l'accès aux documents et de la protection des renseignements personnels. Il est responsable de l'application de la présente directive et soutien les unités administratives en cette matière. Il reçoit le rapport annuel du responsable de l'accès à l'information et à la protection des renseignements personnels. 10 Le Comité sur l'accès aux documents et de la protection des renseignements personnels Le Comité est chargé de soutenir la Ville dans l'exercice de ses responsabilités et dans l'exécution de ses obligations en vertu de la Loi sur l'accès. Ce comité exerce aussi les fonctions qui lui sont confiées par ladite loi. Le comité relève du directeur général. Il se compose de la personne responsable de l'accès aux documents et de la protection des renseignements personnels. À titre de personnes ressources, le comité s'adjoint le directeur des Technologies de l'information et responsable de la sécurité de l'information, la personne responsable de la gestion documentaire, ou toute autre personne dont la contribution est jugée utile. Le personnel Toute personne qui, dans le cadre de ses fonctions, accède à un renseignement personnel, le consulte, ou le traite est responsable de l'utilisation qu'elle en fait et doit procéder de manière à protéger ces renseignements. À cette fin, la personne doit : - se conformer à la présente Politique et à toute autre règle en matière de protection des renseignements personnels; - Utiliser les droits d'accès qui lui sont attribués et autorisés, l'information et les systèmes d'information qui sont mis à sa disposition uniquement dans le cadre de ses fonctions et aux fins auxquelles ils sont destinés; - Signaler à son supérieur immédiat tout incident de confidentialité, toute contravention à la présente directive, ou toute menace à la protection des renseignements personnels; - Collaborer à la mise en œuvre de toute mesure visant à améliorer la protection des renseignements personnels ou à remédier à un incident de confidentialité. ARTICLE 10. ACTIVITÉS DE FORMATIONS ET SENSIBILISATION La Ville offre à son personnel des activités de formations et de sensibilisation en matière de protection des renseignements personnels par le biais de rencontres et de communications internes. Les membres du personnel qui traitent de façon régulière des renseignements personnels reçoivent une formation adaptée à leur fonction. ARTICLE 11. MISE-À-JOUR De manière à suivre l'évolution du cadre normatif applicable en matière de protection des renseignements personnels, la présente Politique pourra être mise à jour au besoin. Veuillez vous rendre à la version sur le site Web de la Ville pour consulter la version la plus récente. 11 ARTICLE 12. ENTRÉE EN VIGUEUR La présente Politique entre en vigueur dès son adoption par le conseil municipal.