Politique d'accès à l'information et de protection des renseignements personnels
La Matanie, Quebec
This is the exact embedded text of the captured official document.
Snapshot a761b2c27cde · verified 2026-06-13 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE SUR L'ACCÈS À L'INFORMATION
ET LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Ce document est inspiré et adapté d'un politique de la ville de Rimouski.
La MRC de La Matanie remercie la Ville pour sa permission.
PARTIE 1 : DISPOSITIONS GÉNÉRALE
ARTICLE 1 : INTRODUCTION ET VALEURS
La Loi sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels (RLRQ, c. A-2.1) (ci-après la « Loi sur l'accès ») confère aux
citoyens(nes) des droits relatifs au respect de la confidentialité des renseignements
personnels, à l'accès aux documents des organismes publics, tels que les municipalités, et
à leurs renseignements personnels et à la rectification de leurs renseignements personnels
s'ils se révèlent incomplets, inexacts ou équivoques ou encore si leur collecte, leur
communication ou leur conservation est illégale. Elle encadre comment un organisme
public doit gérer l'information qu'il détient.
La présente politique témoigne de la volonté de la MRC de La Matanie (ci-après la « MRC »)
à prendre les mesures nécessaires afin de s'assurer de la mise en place de saines
pratiques organisationnelles favorisant le respect de la Loi sur l'accès et de ses objets. Elle
repose sur quatre grandes valeurs de la MRC :
a) LE RESPECT : chaque membre de l'administration municipale agit avec
considération dans ses relations avec les citoyens(nes) en faisant preuve
d'écoute, de courtoisie et de discrétion;
b) L'INTÉGRITÉ : chaque membre de l'administration municipale se conduit d'une
manière juste et honnête;
c) LE PROFESSIONALISME : chaque membre de l'administration municipale
s'acquitte de ses tâches avec professionnalisme;
d) L'IMPARTIALITÉ : chaque membre de l'administration municipale fait preuve de
neutralité et d'objectivité, en accordant un traitement équitable à tous.
ARTICLE 2 : OBJECTIFS
La présente politique décrète les mesures applicables en matière d'accès aux documents
et de protection des renseignements personnels. Elle poursuit les objectifs spécifiques
suivants :
a) Définir les principes généraux et le partage des responsabilités en ce qui a trait à
l'application de la Loi sur l'accès;
b) Intégrer les principes de la Loi sur l'accès dans les processus de gestion de
l'information, dans un souci d'amélioration continue de la qualité des services
offerts par la MRC;
c) Responsabiliser l'ensemble des membres de l'administration municipale en
matière d'accès aux documents et de protection des renseignements personnels;
d) Définir le mandat et la composition du Comité sur l'accès à l'information et la
protection des renseignements personnels de la MRC (ci-après le « Comité sur
l'accès »).
ARTICLE 3 : CHAMP D'APPLICATION
Cette politique s'applique à l'ensemble des membres de l'administration municipale, soit les
personnes à l'emploi de la MRC.
2
Elle guide la MRC dans le cadre de son processus décisionnel et doit être prise en compte
dans les orientations stratégiques des différents services.
ARTICLE 4 : CADRE LÉGAL
La présente politique découle et est subordonnée aux lois et règlements applicables en
matière d'accès et de protection des renseignements personnels, soit, de manière non
limitative, les lois suivantes :
a) Loi sur l'accès;
b) Loi sur les archives (RLRQ, c. A-21. 1);
c) Loi concernant le cadre juridique des technologies de l'information
(chapitre C 1.1);
d) Code civil du Québec (RLRQ, c. 0-47.1);
e) Charte des droits et libertés de la personne (RLRQ, o. C-12).
Toute disposition de la Politique, qui est ou deviendrait inconciliable avec une loi ou un
règlement fédéral, provincial ou de la MRC, doit ou devra être considérée comme
inopérante jusqu'à son abrogation ou modification.
PARTIE 2 : ACCÈS AUX DOCUMENTS
ARTICLE 5 : CONSERVATION ET CLASSEMENT
La MRC classe ses documents à l'aide d'un système de classement uniforme qui permet
de répondre rapidement aux demandes d'accès. Malgré ce qui précède, en lien avec des
services rendus à la propriété, chaque service peut classer les documents qu'il détient par
matricule (dossier de propriété).
Les documents qui ne sont pas accessibles ou qui contiennent des renseignements
personnels sont identifiés dans le calendrier de conservation des documents approuvé par
Bibliothèque et Archives nationales du Québec et un inventaire de renseignements
personnels afin de faciliter le traitement des demandes d'accès.
ARTICLE 6 : PRINCIPES DIRECTEURS ET MODALITÉS
6.1 Droit d'accès
Toute personne qui en fait la demande a le droit d'accéder aux documents de la MRC, sous
réserve des processus et restrictions prévues à la Loi sur l'accès. Tous les documents
détenus par la MRC sont visés, qu'ils soient sous forme matérielle ou numérique.
6.2 Restrictions au droit d'accès
Le droit d'accès à un document ne s'étend pas aux notes personnelles inscrites sur un
document, à moins qu'elles ne contiennent des renseignements personnels, ni aux
esquisses, ébauches, brouillons, notes préparatoires ou autres documents de même
nature. Ne sont pas visés par cette restriction, les documents préliminaires qui sont
achevés, sans pour autant avoir atteint une forme définitive, conservés depuis un certain
temps ou transmis à leur destinataire.
Le droit d'accès doit également être fait dans le respect des renseignements personnels.
Les renseignements personnels détenus par la MRC sont considérés comme étant
confidentiels et ne peuvent pas être communiqués sans le consentement de la personne
concernée, sous réserve des exceptions prévues à la Loi sur l'accès. Lorsque la substance
du document le permet, la MRC privilégiera le caviardage des renseignements personnels
au refus d'accès au document.
Dans un document, sont personnels les renseignements qui concernent une
personne physique et permettent, directement ou indirectement, de l'identifier.
3
6.3 Procédures d'accès
Une demande d'accès à l'information peut être écrite ou verbale et doit être adressée au
responsable de l'accès aux documents et de la protection des renseignements personnels
(ci-après la « personne responsable de l'accès »).
Lorsqu'il s'agit d'une demande verbale, la personne responsable de l'accès doit informer la
personne requérante de la possibilité de faire une demande écrite et que seule une décision
sur une demande écrite est susceptible de révision en vertu de la Loi sur l'accès. La
personne responsable de l'accès doit également informer la personne requérante, par écrit,
de la date de réception de la demande et il doit lui préciser que la MRC dispose de vingt
(20) jours pour y répondre. Si le traitement de la demande dans ce délai nuit au déroulement
normal des activités de la MRC, la personne responsable de l'accès peut le prolonger d'une
période d'au plus dix (10) jours. Il doit alors en donner avis à la personne requérante, par
courrier, dans le délai initialement prévu.
Si la MRC considère que la demande relève davantage de la compétence d'un autre
organisme public, la personne responsable de l'accès doit également en informer la
personne requérante par écrit en lui précisant à quel organisme elle peut s'adresser. Cette
situation s'applique lorsque la MRC agit au nom d'une municipalité locale en vertu d'une
entente de fourniture de services ou d'une délégation de pouvoir.
Sur rendez-vous, la personne requérante peut venir à la MRC pour consulter les documents
sur place pendant les heures ouvrables de bureau. La MRC peut également lui faire
parvenir une copie des documents par la poste, par télécopieur ou par courrier électronique,
lorsque cela est possible.
Dans le cas où l'accès au document est refusé ou partiel, la personne responsable de
l'accès doit indiquer à la personne requérante la ou les raisons du refus et les articles de la
Loi sur l'accès qui appuient cette décision.
6.4 Registre des demandes de communication
La MRC crée un registre de communication de renseignements personnels. Toute
communication ayant fait l'objet d'une demande verbale ou écrite en vertu de la Loi sur
l'accès doit y être consignée.
6.5 Frais exigibles de transcription, reproduction et transmission
L'accès à un document est gratuit. Toutefois, des frais n'excédant pas le coût de sa
transcription, de sa reproduction ou de sa transmission peuvent être exigés du demandeur.
Ces frais sont prescrits au Règlement sur les frais exigibles pour la transcription, la
reproduction et la transmission de documents et de renseignements personnels (chapitre
A-2.1, r. 3).
La MRC informera la personne requérante du montant approximatif qui lui sera facturé par
document, avant de procéder à toute transcription, reproduction ou transmission. Pour
favoriser l'accès aux documents, une personne à qui le droit d'accès à un document ou à
un renseignement personnel est reconnu en vertu de la Loi sur l'accès est exemptée du
paiement des frais globaux, si lesdits frais sont de moins de 10 $. Une personne ne peut
toutefois pas scinder sa demande afin de profiter de cette gratuité.
PARTIE 3 : PROTECTION DES RENSEIGNEMENTS PERSONNELS
ARTICLE 7 : CONFIDENTIALITÉ
La MRC traite confidentiellement tous les renseignements personnels qu'elle détient. Elle
met en place les mesures pour protéger la confidentialité à chacune des étapes de la
gestion de l'information personnelle, à savoir : la collecte, la détention, la disposition,
l'utilisation et la communication de renseignements personnels, ainsi que l'accès et la
rectification par une personne aux renseignements la concernant. Elle doit également
mettre en place un cadre de gestion des incidents de confidentialité.
4
ARTICLE 8 : PRINCIPES DIRECTEURS
8.1 Collecte de renseignements personnels
La MRC limite la collecte des renseignements personnels à ceux qui sont nécessaires à
l'exercice de ses fonctions. Dans le cas d'une collecte de renseignements personnels, la
MRC procède dans le respect de la procédure d'information prévue dans la Loi sur l'accès.
À cette fin, la MRC peut instaurer toute directive nécessaire pour encadrer la collecte des
renseignements personnels.
À l'exception d'une enquête effectuée dans le cadre d'une fonction juridictionnelle ou d'un
processus d'échanges d'informations entre organismes publics prévus à la Loi, la collecte
de tout renseignement personnel effectuée par la MRC est accompagnée d'un
consentement écrit et daté de la part de la personne concernée. Le cas échéant, avant de
consentir, la personne doit être informée de l'usage et de la communication qui sera fait de
ses renseignements personnels.
La MRC s'engage à assujettir tout projet de collecte, qui ajoutent de nouveaux
renseignements personnels à une base de données existante ou nécessitent la création
d'une nouvelle base, à un examen de conformité avec la Loi sur l'accès. Tout projet doit
également être soumis pour validation au Comité sur l'accès. Malgré ce qui précède, la
modification d'une base de données existante, qui contient déjà des renseignements
personnels, n'est pas visée par la procédure d'examen si de nouveaux renseignements
similaires sont collectés en vertu d'une obligation légale.
8.2 Disposition et communication des renseignements personnels
La MRC doit mettre en place des processus afin de tenir à jour les renseignements
personnels et s'assurer de leur exactitude. Les renseignements personnels détenus par la
MRC sont conservés que pour le temps nécessaire à la réalisation des fins pour lesquels
ils ont été recueillis et selon les règles et le calendrier de conservation en vigueur à la MRC.
À l'exception des renseignements personnels ayant été versés ou devant faire partie de
son fonds d'archives, la MRC détruit ou anonymise les renseignements personnels
périmés, c'est-à-dire, ceux qui ne servent plus aux fins pour lesquelles ils ont été recueillis.
La destruction de renseignements personnels doit se faire de manière sécuritaire de façon
à en protéger la confidentialité. La MRC entrepose les documents contenant des
renseignements personnels dans des contenants ou espaces verrouillés avant de les faire
déchiqueter à l'interne ou à l'externe. Sous réserve des règles de gestion contractuelle
usuelles à la MRC, le choix d'une entreprise externe relève de la personne responsable de
l'accès.
8.3 Utilisation des renseignements personnels
La MRC limite l'utilisation des renseignements personnels aux fins pour lesquelles ils ont
été recueillis. Pour cette raison, l'appariement de fichiers de renseignements personnels
est interdit.
La MRC restreint l'accès à ces renseignements aux seules personnes qui en ont besoin
dans l'exercice de leurs fonctions. Pour chaque base de données ou catégorie de dossiers
contenant des renseignements personnels, la direction de chaque service doit déterminer
les catégories de personnes devant avoir des accès, avec ou sans restriction (ex. collecte,
lecture seule, ajout ou retrait d'informations, transaction, accès par la personne concernée
et destruction ou archivage). À cette fin, chaque direction de service dresse et maintient à
jour une liste qui est soumise pour approbation à la personne responsable de l'accès.
8.4 Communication des renseignements personnels
La MRC ne transmet les renseignements personnels détenus qu'avec le consentement écrit
de la personne visée ou, en l'absence d'un tel consentement, lorsque la Loi sur l'accès le
permet. Toute communication de renseignements personnels, sans le consentement de la
5
personne visée, doit être autorisée par la personne responsable de l'accès et être inscrite
au registre prévu à l'article 6.4.
Toute communication doit se faire par l'utilisation de moyens sécuritaires, en évitant le
recours à des services hébergés à l'extérieur du Canada. Tout projet visant à développer
ou à implanter une technologie susceptible d'affecter la protection des renseignements
personnels doit faire l'objet d'un examen par le Comité sur l'accès. Ce dernier valide si les
dispositions de la Loi sur l'accès et de la présente politique sont respectées.
8.5 Accès des personnes à leurs renseignements personnels
Sous réserve des dispositions de la Loi sur l'accès, la MRC s'assure que la personne qui
en fait la demande soit informée de l'existence d'un renseignement personnel la
concernant. De la même manière, elle s'assure que cette personne soit informée de son
droit d'en recevoir la communication si désirée et de faire une demande de rectification.
Toutes les demandes de rectification et d'accès sont traitées par la personne responsable
de l'accès. La personne responsable de l'accès a la responsabilité de faire un contrôle
préalable de l'identité de toute personnes avant d'autoriser l'accès ou la rectification de ses
renseignement personnels.
8.6 Registre et déclaration d'incidents de confidentialité
Un incident de confidentialité survient lorsqu'il y a accès, utilisation, communication non
autorisée, perte ou toute autre atteinte à la protection des renseignements personnels. La
MRC prend les mesures nécessaires pour diminuer les risques qu'un préjudice soit causé
lors d'un tel incident.
La MRC tient un registre des incidents de confidentialité. Les renseignements contenus au
registre doivent être tenus à jour et conservés pendant une période minimale de cinq (5)
ans après la date ou la période au cours de laquelle la MRC a pris connaissance de
l'incident.
La MRC s'assure de communiquer avec la Commission d'accès à l'information (ci-après
désignée la « CAl ») et avec les personnes concernées de tout incident de confidentialité
impliquant un renseignement personnel si l'incident présente un risque de préjudice
sérieux.
ARTICLE 9 : SÉCURITÉ D'ACCÈS
La MRC doit mettre en place et maintenir des mesures pour contrôler en tout temps l'accès
à ses locaux et permettre d'identifier les personnes autorisées à y entrer. L'accès au réseau
local et aux systèmes d'information de la MRC doit être accordé au moyen d'un logiciel de
contrôle d'accès. Ce dernier doit permettre l'accès uniquement aux personnes dûment
autorisées, au moyen d'un code d'identification personnel unique et authentifié par un mot
de passe. L'attribution des accès à des systèmes d'information comportant des
renseignements personnels se fait après avoir déterminé quels sont les membres du
personnel dont les tâches nécessitent un tel accès.
Les équipements informatiques de la MRC doivent être protégés adéquatement contre tout
accès non autorisé et contre toute perte ou tout dommage qui pourrait être causé de façon
accidentelle ou délibérée.
PARTIE 4 : RÔLES ET RESPONSABILITÉS
ARTICLE 10 : PARTAGE DES RÔLES ET RESPONSABILITÉS
10.1 Préfecture
La personne ayant la plus haute autorité au sein de la MRC est le(la) préfet(te). Celle-ci
exerce donc les fonctions que la Loi sur l'accès confère à la personne responsable de
l'accès. À son entière discrétion, elle peut déléguer, tout ou partie de ses fonctions, en
faveur d'un ou plusieurs membres du Conseil ou du personnel de direction de la MRC.
6
À la MRC, la pratique usuelle consiste, par le(la) préfet(te), à désigner le(la) greffier(ère)-
trésorier(ère) comme personne responsable de l'accès. Ses adjoints(es) sont également
désignés(es) comme substituts.
10.2 Direction générale
La personne en charge de la direction générale est responsable du Comité sur l'accès et
approuve son plan d'action annuel.
Elle facilite le développement de pratiques organisationnelles et de gestion favorisant
l'accessibilité des documents et la protection des renseignements personnels. Elle supporte
les directions de chaque service dans l'application de la Politique et voit à la disponibilité
des ressources requises. Elle est responsable de communiquer la présente politique au
personnel et aux personnes nouvellement embauchées par la MRC.
10.3 Personne responsable de l'accès
La personne responsable de l'accès traite les demandes faites en vertu de la Loi sur l'accès,
exerçant les responsabilités qui suivent :
a) Au besoin, elle porte assistance aux personnes requérantes;
b) Elle tient des activités régulières de sensibilisation du personnel en matière
d'accès à l'information et de protection des renseignements personnels;
c) Elle élabore le plan d'action en matière d'accès à l'information et de protection des
renseignements personnels;
d) Elle exerce un rôle-conseil auprès des services, notamment en examinant tout
projet de collecte ou d'utilisation de renseignements personnels;
e) Elle valide la conformité, au regard de la Loi sur l'accès, des opérations de
communication de renseignements personnels et de sondage ou de toute
administration de questionnaires impliquant des renseignements personnels;
f) Elle supervise l'évaluation du niveau de protection des renseignements personnels
et en fait rapport au Comité sur l'accès;
g) Elle requiert tout avis juridique concernant la Loi sur l'accès;
h) Elle assure les suivis requis auprès de la Commission d'accès à l'information;
i) Elle voit au respect de l'ensemble des obligations prévues dans la Loi sur l'accès;
j) Elle fait des recommandations au Conseil de la MRC sur toute matière relative à la
protection des renseignements personnels;
k) Elle prépare des projets d'entente portant sur l'utilisation ou la communication de
renseignements personnels à des fins d'études, de recherche ou de productions
statistiques sur la base du modèle proposé par le gouvernement du Québec;
l) Elle tient à jour les registres de communication de renseignements personnels et
d'incidents de confidentialité;
m) Elle tient à jour l'inventaire des renseignements personnels détenus par la MRC.
10.4 Comité sur l'accès
Afin de mettre en œuvre la présente politique, la MRC institue le Comité sur l'accès. Celui-
ci est composé des personnes suivantes :
a) Directeur(trice) général(e) et greffier(ère)-trésorier(ère);
b) Directeur(trice) général(e) adjoint(e) et greffier(ère)-trésorier(ère) adjoint(e);
c) Responsable informatique;
d) Technicienne en administration et documentation;
e) Conseiller(ère) en communication et affaires publiques;
f) Personne responsable de l'accès, si cette responsabilité n'est pas déléguée à
l'une personne précédemment listée.
7
Le Comité sur l'accès peut être assisté de toute autre personne dont l'expertise est requise.
La personne responsable de l'accès assume la présidence des rencontres. Le rapport des
rencontres du Comité sur l'accès est signé par l'ensemble des membres présents. Le
Comité sur l'accès se réunit au moins deux (2) fois par année.
Le Comité sur l'accès relève de la direction générale et est chargé de soutenir la personne
responsable de l'accès dans l'exercice de ses responsabilités et dans l'exécution de ses
obligations en vertu de la présente Politique. Plus précisément, il peut accomplir les
responsabilités suivantes :
a) Évaluer le niveau de protection des renseignements personnels détenus par la
MRC;
b) Exercer une veille en matière de protection des renseignements personnels et de
sécurité de l'information, notamment en approuvant les nouveaux projets de
collecte de renseignements personnels, en révisant les aspects éthiques des
projets de sondage et en validant les projets d'implantation de nouvelles
technologies susceptibles de faciliter cette protection;
c) Recommander au Conseil de la MRC les orientations en matière de protection des
renseignements personnels;
d) Participer à la rédaction, la mise en œuvre et au suivi des plans d'action découlant
de la présente politique;
e) Contribuer à la planification et à la réalisation d'activités de formation en matière
d'accès à des documents et en protection des renseignements personnels;
f) Adopter et publier en ligne ses règles de gouvernance en protection des
renseignements personnels;
g) Formuler des avis et suggérer des mesures de protection des renseignements
personnels concernant les initiatives d'acquisition, de déploiement et de refonte de
tous les systèmes d'information ou de prestation électronique de services qui
recueillent, utilisent, conservent, communiquent ou détruisent des renseignements
personnels, et ce, lors de leur création ou de leur modification;
h) Adopter des cadres de gestion et processus de traitement de demandes
particulières (ex. communication de certains renseignements de personnes
décédées, droit de portabilité);
i) Réaliser les évaluations des facteurs relatifs à la vie privée (ÉFVP), lorsque requis
par la Loi sur l'accès;
j) Assurer une révision des processus opérationnels reliés au cycle de gestion des
renseignements personnels;
k) Assurer le suivi des actions requises pour se conformer aux orientations,
directives et décisions formulées par la CAI, aux dispositions de la Loi sur l'accès
et de la présente politique.
10.5 Directions de service
Les directeurs(trices) de chaque service participent à la mise en œuvre de la présente
politique et doivent s'assurer du respect de la Loi sur l'accès. Plus précisément, ces
personnes assument les responsabilités suivantes :
a) Assument les responsabilités qui leur incombent en vertu de la présente politique
en matière de collecte, d'utilisation, de destruction et de communication de
renseignements personnels, notamment en lien avec l'élaboration et la tenue à
jour de la liste décrite à l'article 8.3;
b) Collaborent à la tenue d'un inventaire permanent des fichiers de renseignements
personnels et de leurs accès;
c) Identifient et informent la personne responsable de l'accès des fichiers ou dossiers
de renseignements personnels détenus sur support autre qu'informatique;
8
d) Identifient et informent la personne responsable de l'accès des communications ou
transactions d'informations personnelles hors de la MRC et sans le consentement
des personnes concernées ou avec leur consentement implicite;
e) Agissent à titre de personnes répondantes en collaborant avec la personne
responsable de l'accès dans le cadre de demandes touchant leur service;
f) Participent à la sensibilisation et à la formation du personnel sous leur
responsabilité.
10.6 Membre du personnel
Le personnel de la MRC contribue et collabore à l'application de la Politique. Pour ce faire,
il doit :
a) Faire preuve de courtoisie à l'égard des personnes souhaitant déposer ou ayant
déposé une demande et les référer pour de l'assistance à la personne
responsable de l'accès;
b) Collaborer à la recherche de documents dans le cadre d'une demande d'accès à
l'information;
c) Recueillir, consulter ou utiliser uniquement les renseignements personnels requis
à l'exercice de ses fonctions. Cette utilisation doit se faire dans le respect des fins
pour lesquelles les renseignements personnels ont été collectés;
d) En cas de question sur la Loi sur l'accès, la Politique ou toute directive, s'informer
auprès de la direction de son service;
e) Pour les personnes collaborant avec le service du greffe, veiller à la destruction
sécuritaire des renseignements personnels périmés dans le respect du calendrier
de conservation des documents de la MRC;
f) Déclarer tout incident de confidentialité mettant en cause les renseignements
personnels à la personne responsable de l'accès.
ARTICLE 11 : DÉCLARATION D'ENGAGEMENT
Une copie de la présente politique est remise à l'ensemble du personnel de la MRC par la
direction générale. Toute nouvelle personne salariée se fera également remettre copie de
la Politique. Toutes les personnes salariées doivent signer l'engagement relatif à la
confidentialité faisant partie de la Politique, à l'annexe 1.
PARTIE 5 : DISPOSITIONS ADMINISTRATIVES ET FINALES
ARTICLE 12 : SANCTIONS DISCIPLINAIRES
Toute personne qui enfreint les dispositions de la présente politique s'expose à des
mesures administratives ou disciplinaires, en fonction de la gravité et des conséquences
du geste. Ces mesures seront appliquées en conformité avec la convention collective en
vigueur à la MRC.
ARTICLE 13 : MÉCANISME DE SUIVI
Une évaluation de l'application de la présente politique et les ajustements pouvant en
résulter pourront être effectués par la personne responsable de l'accès, en collaboration
avec le Comité d'accès. Un bilan annuel de la gestion de l'accès à l'information et de la
protection des renseignements personnels est rédigé par le responsable. Ce bilan est
soumis au plus tard lors du Conseil de juin de chaque année.
ARTICLE 14 : ENTRÉE EN VIGUEUR
Cette politique a été adoptée par le Conseil de la MRC à sa séance du 20 septembre 2023.
Elle est entrée en vigueur au moment de son adoption.
Adoption :
20 septembre 2023
Résolution :
477-09-23
Entrée en vigueur :
20 septembre 2023
9
ANNEXE 1 : DÉCLARATION DU PERSONNEL
Je, (nom en lettres moulées), ________________________________________________,
déclare solennellement et signe un engagement à respecter la confidentialité des
renseignements personnels et stratégiques que mes fonctions au sein de la MRC de
La Matanie porteront à mon attention, dans le cadre du mandat qui m'est confié.
_______________________________________ ___________________________
Signature
Date
10
ANNEXE 2 : PROCÉDURE À SUIVRE POUR RESPECTER LES EXIGENCES
LÉGALES PRÉVUES À LA LOI SUR L'ACCÈS (ARTICLES 63.8 À 63.11)
Les étapes qui suivent peuvent être réalisées simultanément.
1. Évaluer la situation
Si la MRC a des raisons de croire qu'un incident de confidentialité impliquant un
renseignement personnel s'est produit, elle doit notamment :
-
Établir les circonstances de l'incident;
-
Identifier les renseignements personnels impliqués;
-
Identifier les personnes concernées;
-
Trouver le problème, que ce soit une erreur, une vulnérabilité, etc. Cette
évaluation doit se poursuivre tant que tous les éléments n'ont pas été identifiés.
2. Diminuer les risques
La MRC doit prendre rapidement les mesures raisonnables qui s'imposent afin de diminuer
les risques qu'un préjudice, qu'il soit sérieux ou non, ne soit causé et pour éviter que de
nouveaux incidents de même nature ne surviennent, par exemples :
-
Cesser toute pratique non autorisée;
-
Récupérer ou exiger la destruction des renseignements personnels impliqués;
-
Corriger les lacunes informatiques.
3. Identifier la nature du préjudice
L'objectif consiste à déterminer s'il faut aviser la CAI et les personnes concernées ainsi
qu'établir les mesures à mettre en place pour diminuer les risques notamment :
-
Inscrire une note dans les dossiers visés par un risque de vol d'identité;
-
Exiger des vérifications supplémentaires.
4. Évaluer le préjudice
Lors d'un incident de confidentialité, la MRC doit évaluer s'il en découle un risque qu'un
préjudice soit causé à une personne dont un renseignement personnel est concerné. Elle
doit alors considérer plusieurs facteurs, dont :
-
La sensibilité des renseignements personnels tels un renseignement financier ou
un renseignement d'identité;
-
Les conséquences appréhendées de l'utilisation de ces renseignements;
-
La probabilité que ces renseignements puissent être utilisés à des fins
préjudiciables.
Un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte
à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non
négligeable. De manière non limitative, il peut conduire à l'humiliation, à une atteinte à la
réputation, à une perte financière, à un vol d'identité, à des conséquences négatives sur un
dossier de crédit, à une perte d'emploi.
5. Inscrire l'incident au registre
Tout risque de préjudice, qu'il soit qualifié ou non de sérieux, doit être immédiatement inscrit
au registre.
6. Prendre en charge les risques de préjudice sérieux
La MRC doit :
-
Dès que possible, aviser la CAI, même si elle n'a pas colligé l'ensemble des
informations relatives à l'incident, et remplir la déclaration par la suite. Elle peut
11
ainsi aviser la CAI de l'incident et, plus tard, confirmer le nombre de personnes
concernées;
-
Aviser toute personne dont un renseignement personnel est concerné par
l'incident, à moins que cet avis ne soit susceptible d'entraver une enquête. Un
délai peut s'appliquer entre le moment où l'organisme prend connaissance de
l'incident et celui où elle en avise les personnes concernées. Ce délai peut être
nécessaire afin, par exemple, d'identifier les renseignements personnels
impliqués, les personnes concernées, la faille de sécurité et pour colmater celle-ci
ou pour éviter d'entraver une enquête en cours. Ces avis sont obligatoires.
La MRC peut également aviser toute personne ou tout organisme susceptible de diminuer
ce risque. À cette fin, elle ne peut lui communiquer que les renseignements personnels qui
sont nécessaires à la poursuite de cet objectif. L'obtention du consentement de la personne
concernée par les renseignements transmis n'est pas requise. Toutefois, la personne
responsable de l'accès doit enregistrer la communication pour garder des traces
documentaires de celle-ci. Le cas échéant, elle consigne :
-
À qui ces renseignements sont communiqués;
-
Dans quelles circonstances;
-
Quels renseignements ont été transmis;
-
Quels sont les objectifs de cette démarche.
SOMMAIRE
12
ANNEXE 3 : REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
13
ANNEXE 4 : REGISTRE DES COMMUNICATIONS
Registre de communications de renseignements personnels (en vertu de l'article
67.3 Loi sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels)
Renseignements
personnels
communiqués
Personne ou
organisme receveur
Fin pour laquelle les
renseignements
sont communiqués
(indiquer si
communication
hors Québec)
Raisons justifiant la
communication de
renseignements et
disposition de la Loi
sur l'accès
14
ANNEXE 5 : MODÈLE D'ENTENTE À DES FINS D'ÉTUDES, DE RECHERCHE OU DE
PRODUCTION DE STATISTIQUES
Entente relative à la communication de renseignements à des fins d'étude, de
recherche ou de production de statistiques
ENTRE
LA MUNICIPALITÉ RÉGIONALE DE COMTÉ DE LA MATANIE, personne morale de droit
public ayant son bureau au 158, rue Soucy, Matane (Québec) G4W 2E3, représentée par
son préfet, monsieur Andrew Turcotte, et par sa directrice générale et greffière-trésorière,
madame Line Ross, dûment autorisés aux fins des présentes par la résolution de son
conseil numéro __________ adoptée le ___________________,
ci-après la « MRC »,
ET
_____À PRÉCISER____,
ci-après la « partie bénéficiaire ».
PRÉAMBULE
ATTENDU QUE ________________________________________.
ATTENDU QU'en vertu de l'article 67.2.1 de la Loi sur l'accès, un organisme public peut
communiquer des renseignements personnels sans le consentement des personnes
concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à
des fins d'étude, de recherche ou de production de statistiques.
ATTENDU QUE la communication peut s'effectuer si une évaluation des facteurs relatifs à
la vie privée conclut que :
1°
l'objectif de l'étude, de la recherche ou de la production de statistiques ne peut être
atteint que si les renseignements sont communiqués sous une forme permettant
d'identifier les personnes concernées;
2°
il est déraisonnable d'exiger que la personne ou l'organisme obtienne le
consentement des personnes concernées;
3°
l'objectif de l'étude, de la recherche ou de la production de statistiques l'emporte, eu
égard à l'intérêt public, sur l'impact de la communication et de l'utilisation des
renseignements sur la vie privée des personnes concernées;
4°
les renseignements personnels sont utilisés de manière à en assurer la
confidentialité;
5°
seuls les renseignements nécessaires sont communiqués.
ATTENDU QUE l'évaluation des facteurs relatifs effectuée par la MRC conclut que
l'ensemble des critères sont respectés, la communication peut s'effectuer sous réserve de
signature d'une entente.
LES PARTIES CONVIENNENT DE CE QUI SUIT :
1. INTERPRÉTATION
1.1 À moins d'indication contraire dans le texte, les mots et expressions qui apparaissent
dans la présente section signifient :
« Information municipale » : L'ensemble des renseignements détenus par la MRC
sur une personne ou quelque chose, incluant les renseignements personnels ou tout
autre renseignement confidentiel, portés à l'attention de la partie bénéficiaire ou
obtenus par celle-ci, que sa conservation soit assurée par elle-même ou par un tiers.
15
Il est entendu que toute information portée à l'attention de l'une ou l'autre des parties
ou d'un tiers et toute information recueillie, utilisée, communiquée, conservée ou
détruite par ceux-ci dans l'exécution de la présente entente constitue de l'information
municipale.
« Propriété intellectuelle » : désigne toute propriété intellectuelle reconnue par la loi,
notamment tout droit relatif à la propriété intellectuelle ou industrielle, qu'elle soit
protégeable ou non au moyen d'un brevet, d'une marque de commerce, d'un droit
d'auteur, d'un dessin industriel ou de leurs équivalents étrangers, ainsi que les secrets
et le savoir-faire commerciaux, et autres droits reconnus par la loi statutaire ou le droit
commun, incluant toute demande de protection.
« Renseignement personnel » : tout renseignement qui concerne une personne
physique et qui permet de l'identifier.
« Renseignement confidentiel » : tout renseignement dont l'accès est assorti d'une
ou de plusieurs restrictions prévues par la Loi sur l'accès, notamment un
renseignement ayant des incidences sur les relations intermunicipales, sur les
négociations entre organismes publics, sur l'économie, sur l'administration de la
justice et la sécurité publique, sur les décisions administratives ou politiques ou sur la
vérification.
2. OBJET
2.1 La présente entente (ci-après désignée « Entente ») a pour objet de déterminer les
termes, conditions et modalités de la communication de renseignements, dont des
renseignements personnels et confidentiels, entre la MRC et la partie bénéficiaire aux
fins ________________________________________.
2.2 Les parties conviennent que la communication de renseignements se fait
exclusivement aux fins de ________________________________________.
3. RENSEIGNEMENTS COMMUNIQUÉS
3.1 Les renseignements communiqués par la MRC à la partie bénéficiaire sont les
suivants : ________________________________________.
3.2 La fréquence de la communication des renseignements par la MRC à la partie
bénéficiaire s'effectue comme suit : ______________________________________.
3.3 La communication s'effectue de façon électronique et sécurisée par cryptage des
données inscrites dans un format compatible avec tout système d'exploitation utilisé
par les parties et comprenant les renseignements mentionnés à la clause 3.1 de
l'Entente. Les parties conviendront entre elles des mécanismes qui répondent à ces
exigences en matière de sécurité ou s'effectueront en respectant les mesures de
confidentialité et de sécurité prévues à l'Entente.
4. OBLIGATIONS GÉNÉRALES
4.1 Les parties s'engagent à :
a) veiller à ce que leurs processus respectifs leur permettent de communiquer de
façon sécuritaire les renseignements visés par l'Entente;
b) s'informer rapidement de tout changement opérationnel, budgétaire ou autre, qui
pourrait affecter la communication des renseignements;
c) se prévenir, dans un délai raisonnable, de toute modification à leurs systèmes
qui serait susceptible d'avoir une répercussion sur le traitement des
renseignements ou sur leur qualité;
d) traiter et répondre aux demandes d'accès aux documents soumises en vertu de
la Loi sur l'accès qui concernent leurs renseignements respectifs.
16
4.2 Chaque partie assume la responsabilité et les coûts pouvant découler de l'exercice
de ses pouvoirs ou de ses obligations dans le cadre de la présente entente.
4.3 Aucune des parties ne peut être tenue de payer des dommages-intérêts ou autres
compensations à l'autre partie.
5. OBLIGATIONS DE LA MRC
5.1 La MRC s'engage à communiquer à la partie bénéficiaire les renseignements
identifiés à la clause 3 selon les modalités et les fréquences prévues.
5.2 La MRC s'assure que les renseignements qu'elle communique à la partie bénéficiaire
en vertu de l'Entente sont conformes à ceux qu'elle détient. Toutefois, elle ne fournit
aucune garantie de leur exactitude.
6. OBLIGATION DE LA PARTIE BÉNÉFICIAIRE
6.1 La partie bénéficiaire s'engage à ne faire usage des renseignements communiqués
par la MRC qu'aux fins de la réalisation de l'Entente.
7. SÉCURITÉ DE L'INFORMATION MUNICIPALE
7.1 La partie bénéficiaire s'engage à :
a) prendre les mesures nécessaires pour sensibiliser les membres de son personnel
assumant des fonctions liées à l'exécution de la présente entente sur la sécurité
de l'information municipale, incluant la protection des renseignements personnels
et de tout autre renseignement confidentiel, leur permettant de connaître et de
comprendre leurs obligations ainsi que leurs responsabilités à cet égard;
b) conformément aux standards reconnus en matière de sécurité de l'information,
s'assurer de la disponibilité, l'intégrité et la confidentialité de l'information
municipale et de la protection des actifs informationnels qui la conserve, l'héberge
ou l'exploite, en tout ou en partie, quels que soient la forme, le support et le lieu
où l'information municipale est conservée, hébergée ou exploitée en tout ou en
partie;
c) s'assurer de prévoir les mesures pour faire face à des défaillances techniques ou
humaines, aux actes malveillants ainsi qu'à des sinistres qui pourraient porter
atteinte à la disponibilité l'intégrité ou la confidentialité de l'information municipale,
quels qu'en soient la forme, le support et le lieu où celle-ci est conservée,
hébergée ou exploitée en tout ou en partie;
d) informer sans délai la partie concernée de tout manquement aux obligations
prévues aux présentes;
e) informer, dans les plus brefs délais, le représentant de la MRC désigné à l'Entente
ou son substitut des incidents portant atteinte à la disponibilité, l'intégrité ou la
confidentialité de l'information municipale, quels qu'en soient la forme, le support
et le lieu où celle-ci est conservée, hébergée ou exploitée en tout ou en partie;
f) fournir sur demande toute l'information pertinente au sujet de la sécurité de
l'information et de la protection des renseignements et collaborer à toute enquête
ou vérification concernant le respect de la confidentialité des renseignements
communiqués, incluant la vérification des lieux et des systèmes d'information aux
fins d'audit pour la vérification des obligations en vertu de l'Entente;
g) détruire les documents contenant de l'information municipale conformément aux
dispositions de la Loi sur l'accès et en confirmer la destruction à la MRC.
7.2 Dans le cadre de l'exécution de la présente entente, la partie bénéficiaire s'engage à
respecter la Loi sur l'accès.
7.3 En outre, considérant que les renseignements personnels sont confidentiels et afin
d'assurer cette confidentialité dès lors que des renseignements personnels et
confidentiels qui lui sont communiqués ou qu'elle recueille pour la réalisation de
17
l'Entente et, le cas échéant, lorsque des renseignements personnels sont générés à
l'occasion de sa réalisation, la partie bénéficiaire s'engage notamment à :
a) utiliser les renseignements personnels uniquement pour la réalisation de
l'Entente;
b) fournir un accès aux renseignements personnels seulement aux personnes
autorisées à connaitre ces derniers si cela est nécessaire à l'exercice de leurs
fonctions et si elles ont signé un engagement de confidentialité;
c) n'intégrer, s'il y a lieu, les renseignements personnels communiqués ou colligés
que dans les seuls dossiers des personnes concernées;
d) fournir à la demande de la MRC toute l'information pertinente au sujet de la
protection des renseignements personnels et l'autoriser à visiter les lieux où la
partie bénéficiaire détient elle-même les renseignements personnels afin de
s'assurer du respect de la présente disposition;
e) interdire tout appariement avec un autre fichier de renseignements personnels,
sauf ceux qui sont prévus à la présentation détaillée des activités de recherche;
f) ne pas communiquer les renseignements confidentiels sans le consentement de
la MRC ou de la personne concernée, à qui que ce soit, sauf dans le cadre d'un
contrat de sous-traitance et selon les modalités convenues préalablement avec la
MRC. Le cas échéant, la partie bénéficiaire devra intégrer toute disposition exigée
par la MRC au contrat qu'elle entend conclure avec ce sous-traitant et s'assurer
que les engagements relatifs à la sécurité de l'information municipale soient
conformes à celles prévues à la présente entente;
g) communiquer les renseignements personnels ou confidentiels aux personnes
autorisées à les recevoir en prenant les mesures de sécurité nécessaires pour
préserver la confidentialité de ces renseignements. La communication de
renseignements personnels et confidentiels s'effectuant de façon électronique doit
être sécurisée par cryptage de données.
8. DEMANDES D'ACCÈS
8.1 La partie bénéficiaire s'engage à transmettre immédiatement à la personne
responsable de la MRC de l'application de la Loi sur l'accès, ou à toute autre personne
désignée par la MRC, toute demande d'accès aux documents, aux renseignements
personnels ou de rectification qui pourrait lui être acheminée relativement aux
renseignements qu'elle détient dans le cadre de l'exécution de la présente entente
afin que celle-ci puisse y donner suite conformément à cette loi.
8.2 Aucune disposition de l'Entente n'empêche l'une ou l'autre des parties de faire la
divulgation demandée, autorisée ou ordonnée par loi ou règlement, par procédure
administrative ou par ordonnance de la cour.
9. PROPRIÉTÉ MATÉRIELLE ET DROITS D'AUTEUR
9.1 Tous les renseignements confidentiels divulgués par une partie à l'autre partie ou à
son mandataire demeurent la propriété unique et exclusive de la partie qui divulgue
les renseignements.
10. DÉFAUT
10.1 La partie bénéficiaire est en défaut si :
a) elle devient insolvable, fait faillite, est sous ordonnance de séquestre ou invoque
une loi relative aux débiteurs insolvables ou faillis;
b) directement ou par l'entremise de ses représentants, elle a fait des
représentations ou a fourni des garanties, des renseignements ou des documents
qui sont faux, inexacts ou trompeurs;
c) elle ne respecte pas l'un ou l'autre des termes, conditions ou obligations de la
présente entente;
d) elle contrevient à la confidentialité des renseignements;
18
e) elle cesse substantiellement ou totalement ses activités;
f) la MRC estime que la réalisation de l'Entente est compromise ou que les finalités
visées ne sont plus rencontrées.
11. ENTRÉE EN VIGUEUR ET DURÉE
11.1 L'Entente entrera en vigueur à la date de sa signature complète par les deux parties.
11.2 Sous réserve d'une résiliation, l'Entente demeure en vigueur pendant une (1) année
à compter de la date déterminée selon le paragraphe 11.1.
11.3 À son échéance, la présente entente est automatiquement renouvelée pour une autre
période d'un an à moins d'un avis écrit, lequel doit toutefois être transmis à la partie
concernée dans un délai supérieur à quatre-vingt-dix (90) jours de la date de fin
prévue de l'Entente.
12. MODIFICATION
12.1 Toute modification à la présente entente doit faire l'objet d'une entente écrite entre
les parties. Cette entente ne peut changer la nature de l'entente et elle en fait partie
intégrante.
13. RÉSILIATION
13.1 Chaque partie peut en tout temps résilier la présente entente au moyen d'un avis,
indiquant les motifs et fixant la date de prise d'effet de la résiliation, laquelle toutefois
ne pourra être inférieure à quatre-vingt-dix (90) jours de la date de l'avis. Les parties
s'entendront alors sur l'achèvement, avant la prise d'effet de la résiliation, des activités
entreprises, mais non encore terminées.
13.2 La partie qui résilie ainsi la présente entente ne peut en aucun cas être tenue de payer
des dommages-intérêts ou autres compensations à l'autre partie.
13.3 La MRC se réserve le droit de résilier, en tout temps, la présente entente en cas de
défaut ou si la confidentialité des renseignements communiqués est compromise. La
résiliation prend effet à compter de la date de réception par la partie bénéficiaire de
l'avis écrit de la MRC ou à toute autre date indiquée dans l'avis sans compensation
ni indemnité pour quelque cause ou raison que ce soit.
14. COMMUNICATIONS
14.1 Toute communication, demande de versement, avis ou document exigé en vertu de
la présente entente, pour être valide et lier les parties, doivent être transmis par écrit,
par courriel, service de messagerie ou poste recommandée ou certifiée, aux
coordonnées de la partie concernée indiquées ci-après :
a) La partie bénéficiaire désigne comme représentant aux fins de l'exécution de
l'Entente : ________________________________________;
b) La MRC désigne comme représentant aux fins de l'exécution de l'Entente :
________________________________________.
14.2 Toute modification à ces désignations ou à ces adresses doit se faire par avis écrit à
l'autre partie.
15. SURVIE DES DISPOSITIONS RELATIVES À LA CONFIDENTIALITÉ
15.1 Les dispositions relatives aux engagements sur la protection des renseignements
personnels et confidentiels survivent à l'expiration de l'Entente ou à sa résiliation,
jusqu'à ce qu'elles soient satisfaites ou qu'elles cessent d'avoir effet de par leur
nature. La période de survie débute à la date de la fin de l'Entente ou à la date de sa
résiliation.
19
16. INCESSIBILITÉ
16.1 La partie bénéficiaire ne peut de quelque façon céder ou transférer en tout ou en
partie ses droits et obligations prévus à l'Entente.
17. SOCIÉTÉ
17.1 Rien dans la présente entente ne doit être interprété comme créant une société entre
les parties.
18. DOCUMENTS CONTRACTUELS
18.1 La présente entente et les documents auxquels elle réfère ainsi que toute modification
dûment agréée de ces documents constituent l'entente complète entre les parties et
lient celles-ci.
18.2 La présente entente est la seule valide entre les deux parties pour les sujets qui y
sont traités et elle remplace les communications, les conventions et tous les autres
arrangements étant liés de quelque manière et ayant été passés antérieurement, à
l'exception de celles qui sont incorporées par renvoi.
19. SIGNATURE
EN FOI DE QUOI, l'Entente est signée par les représentants autorisés des parties aux
dates inscrites ci-dessous et entre en vigueur lorsque toutes les formalités requises sont
accomplies.
POUR LA MRC DE LA MATANIE
Signé à ___________________________ le ___________________________.
____________________________
____________________________
Nom, fonction
Nom, fonction
POUR ________________________________________
Signé à ___________________________ le ___________________________.
____________________________
____________________________
Nom, fonction
Nom, fonction