Politique administrative concernant les règles de gouvernance en matière de protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 7ad3eb25c083 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

PROVINCE DE QUÉBEC MUNICIPALITÉ RÉGIONALE DE COMTÉ DU HAUT-RICHELIEU POLITIQUE ADMINISTRATIVE CONCERNANT LES RÈGLES DE GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS ENTRÉE EN VIGUEUR : 12 JUIN 2025 NO DE RÉSOLUTION : 17628-25 2 Table des matières PRÉAMBULE .................................................................................................................. 3 1. OBJECTIFS ......................................................................................................... 3 2. DÉFINITIONS ...................................................................................................... 3 3. CHAMP D'APPLICATION .................................................................................... 4 4. ACCESSIBILITÉ ET DIVERGENCE .................................................................... 5 5. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS .................................. 5 5.1 Collecte .................................................................................................... 5 5.2 Informations communiquées aux personnes concernées ................................. 5 6. CONSENTEMENT ............................................................................................... 6 7. ACCÈS ET UTILISATION DES RP ...................................................................... 6 8. DÉTENTION, CONSERVATION ET DESTRUCTION DES RP ............................ 6 9. COMMUNICATION DES RP ................................................................................ 7 9.1 Sans le consentement de la personne concernée ........................................... 7 9.2 Avec le consentement de la personne concernée ........................................... 7 10. DEMANDE D'ACCÈS OU DE RECTIFICATION DES RP .................................... 8 10.1 Demande d'accès ...................................................................................... 8 11. REGISTRES ........................................................................................................ 8 12. RÔLES ET RESPONSABILITÉS ....................................................................... 10 12.1 Préfet ..................................................................................................... 10 12.2 Direction générale .................................................................................... 10 12.3 Responsable de l'accès aux documents (RAD) et responsable de la protection des renseignements personnels (RPRP) ..................................................... 10 12.4 Soutien informatique ................................................................................ 11 12.5 Gestionnaires .......................................................................................... 11 12.6 Membres du personnel ............................................................................. 12 13. INCIDENT DE CONFIDENTIALITÉ .................................................................... 12 14. PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVEMENT À LA PROTECTION DES RP ..................................................................................... 12 14.1 Dépôt d'une plainte .................................................................................. 12 14.2 Traitement de la plainte ............................................................................. 12 15. DROITS DES PERSONNES CONCERNÉES .................................................... 13 16. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE .......................... 13 17. SONDAGE ......................................................................................................... 14 18. FORMATION ET SENSIBILISATION ................................................................. 14 19. MANQUEMENTS ET SANCTIONS.................................................................... 14 20. DIFFUSION ET MISE À JOUR DE LA POLITIQUE ............................................ 15 21. ENTRÉE EN VIGUEUR ..................................................................................... 15 ANNEXE A .................................................................................................................... 16 ANNEXE B .................................................................................................................... 17 ANNEXE C .................................................................................................................... 18 3 PRÉAMBULE Dans le cadre de ses activités et de sa mission, la Municipalité régionale de comté du Haut-Richelieu (MRCHR) traite des renseignements personnels, notamment ceux des visiteur (-euse)s de son site Internet, des citoyen(ne)s et de son personnel. À ce titre, elle reconnait l'importance de respecter la vie privée et de protéger les renseignements personnels qu'elle détient. La MRCHR étant un organisme public, est assujettie aux dispositions de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1), ci-après la « Loi sur l'accès ». À cet égard, la MRCHR doit gérer l'information qu'elle détient en respect des dispositions de la Loi sur l'accès et assurer une transparence envers la population et le personnel et assurer que les renseignements personnels sont protégés. La présente Politique sur la gouvernance de la protection des renseignements personnels de la MRCHR, ci-après la « Politique » fait preuve de la réelle intention de la MRCHR de prendre toutes les mesures nécessaires et essentielles afin de se conformer aux obligations légales qui lui incombent, notamment celles découlant de la Loi sur l'accès, et d'implanter un cadre normatif en matière de confidentialité et de protection des renseignements personnels. La MRCHR se dote ainsi de la présente Politique, laquelle énonce les cadres applicables à la protection des renseignements personnels qu'elle détient tout au long de leur cycle de vie et aux droits des personnes concernées. 1. OBJECTIFS La présente Politique vise les objectifs suivants :  Définir les rôles et responsabilités des membres du personnel à l'égard de la protection des renseignements personnels.  Encadrer le cycle de vie et la protection des renseignements personnels.  Renseigner la population des renseignements personnels pouvant être détenus par la MRCHR ainsi que de leurs droits vis-à-vis les renseignements personnels qui les concernent.  Prévoir le processus de traitement des plaintes relatives à la protection des renseignements personnels. 2. DÉFINITIONS CAI Désigne la Commission d'accès à l'information. Conseil Désigne le conseil de la MRC du Haut-Richelieu. Consentement Autorisation de la personne titulaire des renseignements personnels à recueillir et à utiliser ses renseignements personnels. Le consentement ne se présume pas, il doit être manifeste, libre et éclairé. Dans la présente Politique, lorsqu'il fait référence au consentement, celui-ci doit être écrit. 4 Cycle de vie Désigne l'ensemble des étapes visant le traitement d'un renseignement personnel, soit la collecte, l'utilisation, la modification, la communication, la conservation et la destruction de celui-ci. Évaluation des facteurs relatifs à la vie privée ou « EFVP » La démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives ou négatives sur le respect de la vie privée des personnes concernées. Incident de confidentialité L'accès, l'utilisation ou la communication non autorisée d'un renseignement personnel, la perte d'un renseignement personnel ou toute autre atteinte à la protection d'un renseignement personnel. MRCHR Municipalité régionale de comté du Haut-Richelieu. Personne concernée Toute personne à qui se rapportent les renseignements personnels. « PRP » Désigne la protection des renseignements personnels. Renseignements personnels ou « RP » Tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier. « RP » sensible Tout renseignement personnel qui, par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d'atteinte raisonnable en matière de vie privée. Responsable de l'accès aux documents ou « RAD » La personne qui, au sein de la MRCHR, exerce cette fonction et qui doit répondre aux demandes d'accès aux documents selon la Loi sur l'accès. Cette personne peut également être désignée comme RPRP. Responsable de la protection des renseignements personnels ou « RPRP » La personne qui, au sein de la MRCHR, exerce cette fonction et veille à y assurer le respect et la mise en œuvre de la Loi sur l'accès concernant la protection des renseignements personnels. Cette personne peut aussi être désignée comme RAD. Tiers Toute personne physique ou morale externe à la MRCHR qui ne fait pas partie des membres du personnel de l'organisme ni de son Conseil. 3. CHAMP D'APPLICATION La présente Politique s'applique à tous les RP, quel que soit leur support, de leur collecte à leur destruction. Elle s'applique à l'ensemble des membres du personnel de la MRCHR lorsqu'ils collectent, consultent, utilisent, communiquent, détiennent, conservent ou détruisent des RP détenus par la MRCHR concernant toute personne physique, ou lorsqu'ils ont autrement accès à des RP détenus par la MRCHR, incluant ceux qui sont conservés par un tiers. 5 De plus, la présente Politique s'applique à tout tiers avec qui la MRCHR partage des RP, lesquels devront s'engager par écrit, à s'y conformer, que ce soit dans le cadre de l'exécution d'un mandat ou d'un contrat, et sans s'y limiter, les élu(e)s municipaux(-ales). 4. ACCESSIBILITÉ ET DIVERGENCE Conformément à la Loi sur l'accès, la présente Politique est accessible via le site Internet de la MRCHR : https://www.mrchr.qc.ca/ En cas de divergence entre la présente Politique et la Loi, la Loi prévaut. 5. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS 5.1 Collecte La MRCHR détermine les fins pour lesquelles elle collecte des renseignements avant de les obtenir et ne recueille uniquement les RP nécessaires à la réalisation des fins déterminées ou à l'exercice de ses fonctions. Elle s'assure que ceux-ci sont pertinents, adéquats et non excessifs. Les membres du personnel de la MRCHR ainsi que les membres du Conseil de la MRCHR sont appelés à travailler avec plusieurs types de RP. Ces renseignements personnels peuvent se retrouver à divers emplacements, comme dans les échanges par courriel, en format papier ou en format électronique sur le réseau de la MRCHR. La MRCHR ne recueille que des renseignements personnels qui sont liés directement à ses activités professionnelles. Dans la mesure du possible, ces renseignements seront recueillis directement auprès de la personne concernée. La quantité et le type de renseignements recueillis se limiteront à ce qui est nécessaire aux fins déterminées. La MRCHR encourage fortement toute personne à ne pas fournir d'information au-delà de ce qui est demandé. La MRCHR peut également recueillir des renseignements personnels d'autres sources, au besoin, y compris des témoins, des employeurs, du gouvernement ou à partir de dossiers et registres organisationnels. La MRCHR peut signer une entente avec un organisme public tiers avec qui elle collabore en vue de la réalisation d'une mission commune afin de prévoir les modalités de la collecte de RP. Cette entente doit être acheminée à la Commission et entre en vigueur trente (30) jours après sa réception par la Commission. 5.2 Informations communiquées aux personnes concernées La MRCHR s'assure d'informer la personne concernée, au plus tard au moment de la collecte, lorsqu'elle recueille des RP, par exemple, au moyen d'une politique de confidentialité ou autre avis. Lorsque demandé, la MRCHR informe la personne concernée des RP recueillis à son niveau, des personnes qui y ont accès et de la durée de conservation de ces RP, selon le calendrier de conservation de la MRCHR ainsi que des coordonnées de la personne RAD et RPRP. 6 6. CONSENTEMENT Au plus tard au moment de la collecte, la MRCHR informe adéquatement toute personne concernée par la collecte de renseignements, de l'utilisation qui en sera faite et à qui ils seront communiqués à cette fin. La MRCHR obtient le consentement de toute personne avant d'utiliser ou de communiquer ses RP, à moins que la loi ne l'autorise autrement. Ce consentement est obtenu via le formulaire de consentement en Annexe C de la présente Politique. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement peut être retiré en tout temps, par écrit, en communiquant avec la personne RAD et RPRP ou la direction générale, en son absence. Dans ce cas, la MRCHR peut expliquer à la personne concernée l'impact du retrait de son consentement afin de l'éclairer dans sa prise de décision. 7. ACCÈS ET UTILISATION DES RP La MRCHR n'utilise les RP uniquement aux fins pour lesquelles elle a informé la personne concernée au moment de la collecte ou à celles auxquelles elle a consenti expressément, à moins que la Loi sur l'accès l'autorise à faire autrement. Cependant, la MRCHR peut modifier ces fins si la personne concernée y consent préalablement. Tout membre du personnel ayant accès à des RP dans l'exercice de ses fonctions doit signer un engagement relatif à la confidentialité, en Annexe A à la présente Politique. La MRCHR, établit et tient à jour un inventaire des fichiers de RP par service et/ou département qu'elle recueille, utilise et communique. Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la Loi sur l'accès. La MRCHR peut également utiliser les RP recueillis à des fins secondaires sans le consentement de la personne concernée dans l'un ou l'autre des cas suivants : - lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis; - lorsque l'utilisation est manifestement au bénéfice de la personne concernée; - lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi; - lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés. Si les RP sont utilisés par la MRCHR pour l'un des trois premiers cas ci-dessus énumérés, elle consigne cette utilisation au registre prévu à cet effet. Lorsque la Loi sur l'accès le prévoit expressément ou lorsqu'un traitement de RP est jugé plus à risque pour les personnes concernées, la MRCHR entreprend une EFVP afin de mitiger les risques identifiés. 8. DÉTENTION, CONSERVATION ET DESTRUCTION DES RP La MRCHR est responsable des RP qu'elle détient. Elle s'assure que les RP soient exacts et à jour. 7 La MRCHR conserve les RP pour la durée nécessaire afin d'accomplir les fins pour lesquelles ils ont été recueillis et selon les règles de conservation approuvées par Bibliothèque et Archives nationales du Québec se trouvant dans le calendrier de conservation de la MRCHR. Lorsque sont atteintes les finalités pour lesquelles les RP ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives (L.R.Q., c. A- 21.1), et suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de la MRCHR. 9. COMMUNICATION DES RP La MRCHR transmet des RP qu'elle détient qu'avec le consentement de la personne visée ou, en l'absence d'un tel consentement, lorsque la Loi sur l'accès le permet. Lorsque des RP sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service ou pour l'exécution d'un mandat, la MRCHR doit conclure une entente avec le fournisseur de services ou le mandataire qui comprend les dispositions contractuelles types de la MRCHR. Lors de toute transmission de RP, la MRCHR utilise des moyens de transmission sécuritaires, s'assurant que le caractère confidentiel des renseignements est protégé (code d'accès, cryptage, etc.). 9.1 Sans le consentement de la personne concernée La MRCHR peut divulguer certains RP qu'elle détient, sans le consentement de la personne concernée, lorsque la situation le requiert par l'application de la Loi sur l'accès. Lors de toute communication sans le consentement de la personne concernée, une demande à cet égard est présentée à la personne RAD et à la RPRP de la MRCHR, afin de valider la conformité avec la Loi sur l'accès et afin qu'une inscription soit effectuée au registre de communications des RP de la MRCHR. La MRCHR peut transmettre les RP qu'elle collecte à des fournisseurs de services et à d'autres tiers qui la soutiennent. Dans ce cas, un contrat liant la MRCHR à ces tiers ou une formule d'engagement signée par ces derniers doit les obliger à garder les RP confidentiels, de les utiliser uniquement aux fins pour lesquelles la MRCHR les divulgue et de traiter les RP selon les normes énoncées dans la présente Politique et en respect des lois. La MRCHR peut communiquer certains renseignements personnels à des fins d'étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur l'accès. Lorsque les RP sont communiqués à des tiers hors Québec, la MRCHR procède à une EFVP. Une communication à des tiers est consignée au registre prévu à cet effet. 9.2 Avec le consentement de la personne concernée Lorsque le consentement d'une personne visée est exigé, celui-ci doit être écrit. À cet effet, la MRCHR a produit un formulaire de consentement. 8 10. DEMANDE D'ACCÈS OU DE RECTIFICATION DES RP 10.1 Demande d'accès Lorsque la MRCHR reçoit une demande d'accès aux RP par une personne visant ses renseignements respectifs, elle s'assure que la personne est informée de l'existence de ceux-ci dans une base de données et/ou dossiers, qu'elle en reçoive la communication si souhaitée et qu'elle puisse demander une rectification, sous réserve des dispositions prévues à la Loi sur l'accès. L'identité du (de la) demandeur(-deresse) est vérifiée initialement avant tout traitement de la demande. Ces types de demandes sont gérés par la personne RAD et RPRP, de manière à respecter les droits de la personne visée par un ou des renseignements personnels et en respectant et appliquant les dispositions de la Loi sur l'accès. 10.2 Demande de rectification Toute personne qui reçoit confirmation de l'existence, dans un document ou un fichier, d'un RP la concernant peut, s'il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l'accès, exiger sa rectification. Une personne physique prouve son identité à titre de personne concernée ou à titre de personne représentante autorisée, notamment par procuration ou via un mandat de protection, peut formuler, par écrit, une demande de rectification auprès de la personne RAD et RPRP en fournissant suffisamment d'indications précises pour lui permettre de la traiter. Lorsqu'une demande de rectification est accordée, la MRCHR délivre sans frais à la personne qui l'a faite, une copie de tout RP modifié ou ajouté, ou, selon le cas, une attestation du retrait d'un RP. Le traitement d'une demande de rectification se fait en fonction de la procédure relative au traitement des demandes d'accès applicables à la MRCHR et en conformité à la Loi sur l'accès. 11. REGISTRES Conformément à la Loi sur l'accès, la MRCHR tient à jour les registres suivants : 11.1.1 Registre des incidents de confidentialité qui comprend : o une description des RP visés par l'incident ou, si cette information n'est pas connue, la raison justifiant l'impossibilité de fournir une telle description ; o une brève description des circonstances de l'incident ; o la date ou la période où l'incident a eu lieu ou, si cette dernière n'est pas connue, une approximation de cette période ; o la date ou la période au cours de laquelle l'organisation a pris connaissance de l'incident ; o le nombre de Personnes concernées par l'incident ou, s'il n'est pas connu, une approximation de ce nombre ; o une description des éléments qui amènent l'organisation à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux Personnes concernées, tels que la sensibilité des RP concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences 9 appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables ; o si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux Personnes concernées, de même qu'une mention indiquant si des avis publics ont été donnés par l'organisation et la raison pour laquelle ils l'ont été, le cas échéant ; o une brève description des mesures prises par l'organisation, à la suite de la survenance de l'incident, afin de diminuer les risques qu'un préjudice soit causé. 11.1.2 Registre des communications des RP sans le consentement d'une personne concernée, dans les cas suivants : - lorsque la MRCHR communique l'identité d'une Personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers ; - lorsque la MRCHR communique des RP nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi ; - lorsque la MRCHR communique des RP nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail ; - lorsque la MRCHR communique des RP à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service ; - lorsque la Municipalité communique des RP à des fins d'étude, de recherche ou de statistique ; - après avoir effectué une ÉFVP, lorsque la Municipalité communique des RP dans les cas visés par Loi sur l'accès. Dans ce cas-ci, le registre comprend : o la nature ou le type de renseignement communiqué ; o la personne ou l'organisme qui reçoit cette communication ; o la fin pour laquelle ce renseignement est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication de Renseignements personnels à l'extérieur du Québec ; o la raison justifiant cette communication. 11.1.3 Registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la MRCHR collabore à la prestation de services ou la réalisation d'une mission commune, qui comprend : o le nom de l'organisme pour lequel les renseignements sont recueillis ; o l'identification du programme ou de l'attribution pour lequel les renseignements sont nécessaires ; o la nature ou le type de la prestation de service ou de la mission ; o la nature ou le type de renseignements recueillis ; o la fin pour laquelle ces renseignements sont recueillis ; o la catégorie de personnes, au sein de l'organisme qui recueille les renseignements et au sein de l'organisme receveur, qui a accès aux renseignements. 11.1.4 Registre d'utilisation des RP à d'autres fins et sans le consentement de la personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la personne concernée ou qu'elle est nécessaire en vertu d'une loi au Québec, qui comprend: o la mention à l'effet que la MRCHR peut utiliser un RP seulement dans ces conditions: 10  son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueillie ;  son utilisation est manifestement au bénéfice de la personne concernée ;  son utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;  son utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et qu'il est dépersonnalisé. o la disposition législative qui rend nécessaire l'utilisation du renseignement ; o la catégorie de personnes qui a accès au renseignement aux fins de l'utilisation indiquée. 12. RÔLES ET RESPONSABILITÉS La mise en œuvre de la présente Politique requiert la collaboration de l'ensemble des membres du personnel de la MRCHR. Le partage des responsabilités est le suivant : 12.1 Préfet La personne ayant la plus haute autorité est le (la) préfet(-ète). De prime à bord, cette personne exerce donc toutes fonctions que la Loi sur l'accès lui confère en tant que responsable. Toutefois, il est possible de déléguer, à son entière discrétion, à une ou plusieurs personnes, toute ou partie des fonctions, pourvu que la délégation soit effectuée à un membre du personnel de la MRCHR. À la MRCHR, la personne occupant le poste de préfet a désigné la direction générale pour agir à titre de responsable de l'accès aux documents et à la protection des renseignements personnels. 12.2 Direction générale La direction générale : - facilite le développement de pratiques organisationnelles et de pratiques de gestion favorisant l'accessibilité des documents et la protection des renseignements personnels; - offre le soutien nécessaire au personnel dans l'application de la Politique; - s'assure de la disponibilité des ressources financières, humaines et matérielles nécessaires afin de positionner l'accès aux documents et la protection des renseignements personnels au cœur des pratiques organisationnelles; - agit également comme personne RAD et RPRP. 12.3 Responsable de l'accès aux documents (RAD) et responsable de la protection des renseignements personnels (RPRP) La personne RAD et RPRP, pouvant être une seule et même personne, effectue le traitement des demandes présentées en vertu de la Loi sur l'accès. Elle suit les étapes prévues à la procédure de traitement de ce type de demandes, qu'elle met à jour lorsque requis, laquelle s'appuie sur les dispositions de la Loi sur l'accès. Lors de la réception d'une demande, elle informe le (la) gestionnaire concerné(e) et sollicite sa collaboration. Lorsque requis, elle porte assistance au (à la) demandeur(-deresse). 11 Elle exerce les responsabilités suivantes :  s'assurer de la protection des RP tout au long de leur cycle de vie, de la collecte à la destruction;  superviser la tenue des registres;  effectuer de la sensibilisation à l'égard du personnel en matière d'accès à l'information ou aux documents et à la protection des RP via des communications internes et activités de formation;  exercer un rôle de conseiller(-ère) auprès des différents services de la MRCHR en examinant la conformité à la Loi sur l'accès de tout projet impliquant de la collecte de données ou de tout développement technologique qui pourrait avoir un impact sur les RP.  réviser et valider, en fonction de la Loi sur l'accès, toutes opérations de communication, de sondage ou de questionnaires qui impliquent des RP;  superviser le niveau de protection des RP à la MRCHR;  obtenir, au besoin, tout avis juridique externe relativement à la Loi et son application;  remplir les obligations prévues à la Loi sur l'accès vis-à-vis la Commission;  traiter les demandes qui portent sur l'utilisation ou la communication de RP à des fins d'étude, de recherche ou de protection de statistique conformément à la Loi sur l'accès;  recommander au Conseil la conclusion d'ententes qui portent sur l'utilisation ou la communication de RP à des fins d'étude, de recherche ou de protection de statistique conformément à la Loi sur l'accès;  procéder à l'analyse et l'évaluation de tout incident de confidentialité;  participer à l'EFVP;  effectuer des vérifications des obligations de confidentialité en lien avec la communication des RP dans le cadre de mandats ou contrats de service confiés à des tiers. 12.4 Soutien informatique Le soutien informatique assure la mise en place de mesures de protection pour l'accès au réseau et données de la MRCHR. La MRCHR peut faire appel à son soutien technique et informatique pour assurer le fonctionnement du processus de gestion des accès. 12.5 Gestionnaires Les gestionnaires de la MRCHR assurent un respect de la Loi sur l'accès, tant pour l'accès aux documents que pour la protection des renseignements personnels. Leurs rôles consistent à: - Veiller à l'application de la présente Politique par les membres du personnel sous leur gestion. - Assumer les responsabilités leur incombant en vertu de la présente Politique relativement à la collecte, la communication, l'utilisation et la destruction des RP. - Tenir un inventaire des fichiers de RP contenus dans leurs dossiers ainsi qu'une liste des membres de leur équipe à qui ils en ont permis l'accès dans l'exercice de leurs fonctions. Cette liste est mise à jour et partagée avec la personne RAD et RPRP. - Valider avec la personne RAD et RPRP tout document de son service contenant des RP qui est transmis à l'externe sans le consentement de la personne concernée. 12 - Informer la personne RAD et RPRP de tout manquement aux mesures de protection des RP ou d'incident de confidentialité. 12.6 Membres du personnel Tout membre du personnel de la MRCHR doit collaborer à la mise en œuvre de la présente Politique notamment en : - recueillant uniquement les RP nécessaires à la réalisation des divers mandats de la MRCHR ou à la réalisation d'un programme ou activité dont il a la gestion; - en informant la personne concernée, lors de toute collecte, des informations lors de celle-ci; - utilisant ou consultant uniquement les RP aux fins pour lesquelles ils ont été recueillis; - déclarant tout incident de confidentialité mettant en cause les RP à la personne RAD et RPRP; - collaborant à la recherche de documents dans le cadre d'une demande d'accès à l'information, dans les délais demandés; - participant aux activités de formation et de sensibilisation en matière de protection des RP qui lui sont destinés; - protégeant l'accès au RP en sa possession; - agissant avec précaution et intégrant les principes énoncés à la présente Politique. 13. INCIDENT DE CONFIDENTIALITÉ Tout incident de confidentialité est géré par la MRCHR en fonction de la Procédure d'intervention - Incident de confidentialité et en conformité à la Loi sur l'accès et au Règlement sur les incidents de confidentialité. En vertu de la Loi sur l'accès, tout incident de confidentialité visant des RP survenus au sein de la MRCHR doit être tenu dans un registre et documenté par la personne RAD et RPRP. De plus, le registre doit être conforme au Règlement sur les incidents de confidentialité (L.R.Q., c. A-2.1, r. 3.1). Les éléments contenus au registre doivent être conservés pour une période minimale de cinq ans après la date de la connaissance de l'incident par la MRCHR. 14. PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVEMENT À LA PROTECTION DES RP 14.1 Dépôt d'une plainte Toute personne qui a des motifs de croire qu'un incident de confidentialité s'est produit et que la MRCHR a fait défaut d'assurer la confidentialité des RP qu'elle détient peut adresser une plainte écrite auprès de la personne RAD et RPRP afin de demander de corriger la situation. La plainte doit être formulée par écrit à l'adresse [email protected] et comporter une description de l'incident, la date ou la période où l'incident s'est produit, la nature des RP visés par l'incident et le nombre de personnes concernées. 14.2 Traitement de la plainte Sur réception de la plainte, la personne RAD et RPRP, en accuse réception. Elle analyse et traite la plainte dans un délai de vingt (20) jours suivant sa réception. 13 Dans le cas où celle-ci s'avère fondée, la MRCHR prend les mesures requises pour corriger la situation dans les meilleurs délais et procède à l'inscription de l'incident au registre des incidents de confidentialité. La personne responsable de l'accès aux documents et de la protection des renseignements personnels, communique la réponse finale à la personne qui a formulé la plainte. La réponse finale indique notamment quelles sont les mesures de redressement qui seront appliquées. 15. DROITS DES PERSONNES CONCERNÉES Sous réserve de ce que prévoient les lois applicables, toute personne concernée dont les RP sont détenus par la MRCHR dispose notamment des droits suivants : - le droit d'accéder aux RP détenus par la MRCHR et d'en obtenir une copie, que ce soit en format électronique ou non électronique; o à moins que cela ne soulève des difficultés pratiques sérieuses, un RP informatisé recueilli auprès d'une personne concernée, et non pas créé ou inféré à partir d'un RP la concernant, lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. - le droit de faire rectifier tout RP incomplet ou inexact détenu par la MRCHR; - le droit d'être informée, le cas échéant, que des RP sont utilisés pour prendre une décision fondée sur un traitement automatisé. Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la Loi sur l'accès. Les documents contenant des RP peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la MRCHR informe la personne concernée de l'obligation de payer des frais avant de traiter sa demande. Les demandes d'accès aux RP par les Personnes concernées peuvent être faites verbalement ou par écrit. Les demandes verbales seront traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. Les demandes d'accès aux RP sensibles doivent être faites par écrit et recevront une réponse écrite. Les demandes d'accès aux RP doivent être suffisamment précises pour permettre au RPRP de localiser lesdits RP. Le droit d'accès ne s'applique qu'aux RP existants. 16. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE La MRCHR réalise à une EFVP, notamment dans le contexte des traitements suivants de RP : 14 - avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des RP; - avant de recueillir des RP nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; - avant de communiquer des RP sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques; - lorsqu'elle entend communiquer des RP, sans consentement des personnes concernées, conformément à Loi sur l'accès; - lorsqu'elle entend communiquer des RP à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels renseignements pour son compte. En effectuant une ÉFVP, la MRCHR tient compte de la sensibilité des RP à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les Renseignements personnels. De plus, lorsque les RP sont communiqués à l'extérieur du Québec, la MRCHR s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des RP généralement reconnus. La réalisation d'une ÉFVP sert à démontrer que la MRCHR a respecté toutes les obligations en matière de protection des RP et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. 17. SONDAGE La personne RAD et RPRP doit être consultée pour tout sondage recueillant ou utilisant des RP, puisque des mesures particulières doivent être respectées en cette matière. Sont évalués notamment la nécessité de recourir au sondage, les mesures de protection qui doivent être prises à l'égard des RP, l'aspect éthique du sondage, soit sa nature, les personnes visées, la sensibilité des RP recueillis et la finalité de l'utilisation de ceux-ci. 18. FORMATION ET SENSIBILISATION La personne RAD et RPRP, met en place des activités de formation et fait de la sensibilisation aux membres du personnel à l'égard de la protection des RP. Des outils de sensibilisation sont transmis aux membres du personnel par le biais de communications internes, par exemple, quant aux possibles RP pouvant être contenus dans un courriel, l'ouverture de pièces jointes douteuses dont l'expéditeur n'est pas connu et l'importance de communiquer avec la personne RAD et RPRP en cas d'incident. La présente Politique est remise à chacun des membres du personnel, devant tous et toutes signer un engagement dans lequel il (elle) déclare en avoir pris connaissance et s'engage à la respecter, en Annexe B à la présente Politique. 19. MANQUEMENTS ET SANCTIONS Toute personne qui enfreint les dispositions de la présente Politique s'expose à des mesures administratives ou disciplinaires, en fonction de la gravité et des conséquences 15 du geste. Ces mesures peuvent inclure la révocation des droits d'accès, une réprimande, une suspension ou un congédiement. 20. DIFFUSION ET MISE À JOUR DE LA POLITIQUE Conformément à la Loi sur l'accès, celle-ci est publiée sur le site Internet de la MRCHR au lien suivant : https://www.mrchr.qc.ca/. Afin de suivre l'évolution du cadre normatif en matière de protection des RP et pour améliorer le programme de protection des RP au sein de la MRCHR, la présente Politique peut être mise à jour au besoin. Afin de consulter la version la plus récente, toute personne doit se rendre sur le site Internet de la MRCHR. 21. ENTRÉE EN VIGUEUR La présente Politique entre en vigueur au moment de son adoption par le Conseil de la MRCHR. 16 ANNEXE A Engagement de confidentialité Je soussigné(e), _____________________________________, occupant l'emploi de _________________________________________ au sein de la MRC du Haut-Richelieu (MRCHR), confirme avoir accès à des renseignements personnels dans le cadre de l'exercice de mes fonctions, lesquels ont un caractère confidentiel. Je m'engage à en respecter la confidentialité et leur traitement conformément à la Politique administrative concernant les règles de gouvernance en matière de protection des renseignements personnels de la MRC, ci-après « Politique », que j'affirme avoir lu et compris. Je m'engage à préserver la confidentialité des renseignements communiqués, divulgués, mis à ma disposition ou autrement portés à ma connaissance, de quelque façon que ce soit. Je ne peux révéler, divulguer, communiquer, publier, transmettre, laisser utiliser ou faire connaître, de quelque façon que ce soit, les renseignements à un tiers, sans avoir obtenu préalablement les autorisations écrites requises en vertu de la Politique. Sans limiter la généralité de ce qui précède, la MRCHR m'accorde l'autorisation de révéler, divulguer, communiquer ou faire connaître les renseignements aux membres du personnel de la MRCHR qui sont également autorisés à y avoir accès par leurs fonctions et qui ont signé un tel engagement à cet effet. Sans limiter la généralité de ce qui précède, je m'engage à mettre en œuvre toutes les mesures nécessaires pour préserver le caractère confidentiel des renseignements et à utiliser les renseignements pour les seules fins pour lesquelles ils m'ont été communiqués. Je reconnais que mon défaut de respecter tout ou une partie du présent engagement de confidentialité, à compter de la date de signature de ce dernier, m'expose aux sanctions prévues à la Politique ainsi qu'à tout autre recours. Les obligations prévues au présent engagement s'appliquent et demeurent en vigueur tant et aussi longtemps que j'aurai en ma possession ou à ma connaissance des renseignements ainsi communiqués ou divulgués. Je déclare comprendre l'importance de cet engagement découlant des obligations légales de la MRCHR relatives à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1). À ___________________________, ___________________________________ ____________________________ Signature de l'employé(e) Date 17 ANNEXE B ENGAGEMENT DES MEMBRES DU PERSONNEL Je soussigné(e), _____________________________________, occupant l'emploi de _________________________________________ au sein de la MRC du Haut- Richelieu, confirme avoir reçu un exemplaire de la Politique administrative concernant les règles de gouvernance en matière de protection des renseignements personnels de la MRC et affirme avoir lu le contenu et le comprendre. Je comprends que je suis tenu(e) de respecter la présente Politique et m'y engage. Je comprends également qu'elle est appelée à évoluer et à être modifiée. Il est entendu que les changements apportés peuvent entraîner le remplacement, la modification ou l'élimination de l'une ou l'autre des composantes de cette Politique. Ces changements me seront communiqués soit par mon (ma) gestionnaire, par la personne responsable de l'accès aux documents et de la protection des renseignements personnels ou par la direction générale au moyen d'un avis officiel. J'accepte la responsabilité de me tenir au courant de ces changements. À ___________________________, ________________________________ _________________ Signature de l'employé(e) Date 18 ANNEXE C FORMULAIRE DE CONSENTEMENT Communication de renseignements personnels Par la présente, je, soussigné(e), ____________________, reconnait avoir divulgué le _______________, à la Municipalité régionale de comté du Haut-Richelieu (MRCHR) des renseignements personnels me concernant en date du _______________, dans le cadre du projet _______________, pour les fins suivantes_____________________________ ______________________________________________________________________ ______________________________________________________________________. Je comprends que, conformément à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1), la MRCHR requiert mon autorisation quant à la transmission de renseignements personnels me concernant et qui sont requis afin de __________________________________________ ______________________________________________________________________. Pour cette fin spécifique, j'autorise la MRCHR à communiquer les renseignements personnels suivants me concernant, soit les suivants : __________________________, à ____________________________, et ce, de manière écrite. Ce consentement est valide pour la durée déterminée suivante : __________________. Je comprends que ce consentement peut être modifié ou révoqué en tout temps. Pour ce faire, j'aurai à en informer la personne responsable de l'accès aux documents et de la protection des renseignements personnels de la MRCHR ou la direction générale. _______________________________ _____________________________ Nom en lettres moulées Lieu _______________________________ _____________________________ Signature Date (personne concernée)