Politique de gouvernance sur la protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 6af29e72e0c8 · verified 2026-06-13 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

POLITIQUE DE GOUVERNANCE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS Suivi des modifications Date Commentaires 20 septembre 2023 Approbation par le Comité sur l'accès à l'information et sur la protection des renseignements personnels Politique de gouvernance sur la protection des renseignements personnels 2 TABLE DES MATIÈRES 1. INTRODUCTION ................................................................................................................................................. 4 2. CADRE NORMATIF ............................................................................................................................................ 4 3. OBJET ................................................................................................................................................................ 4 4. DÉFINITIONS ...................................................................................................................................................... 5 5. RÔLES ET RESPONSABILITÉS ....................................................................................................................... 6 5.1 Responsables de la protection des renseignements personnels ..................................................................... 6 5.1.2 Rôles des Responsables ........................................................................................................................... 6 5.2 Rôle du Comité ................................................................................................................................................. 7 5.3 Direction des Technologies de l'information ..................................................................................................... 8 5.4 Toute personne qui traite des renseignements personnels que la Ville détient ............................................... 8 6. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS ................................................................................ 8 6.1 Collecte ............................................................................................................................................................. 8 6.1.2 Prise de décision fondée exclusivement sur le traitement automatisé des renseignements personnels 9 6.2 Utilisation ......................................................................................................................................................... 9 6.3 Communication .............................................................................................................................................. 10 6.3.1 Divulgation de renseignements personnels à l'extérieur du Québec ..................................................... 10 6.4 Conservation et mise à jour ............................................................................................................................ 10 6.5 Destruction et anonymisation ......................................................................................................................... 10 7. REGISTRES ...................................................................................................................................................... 10 7.1 Registre des communications de renseignements personnels sans le consentement d'une personne concernée ............................................................................................................................................................ 10 7.2 Registre des ententes de collecte ................................................................................................................. 11 7.3 Registre des utilisations de renseignements personnels au sein de la Ville à d'autres fins ......................... 11 7.4 Registre des incidents de confidentialité ....................................................................................................... 12 8. FORMATION ET SENSIBILISATION ............................................................................................................... 12 9. INCIDENTS DE CONFIDENTIALITÉ ................................................................................................................ 13 10. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE (ÉFVP) ........................................................ 13 10.1 Objectifs de l'ÉFVP ...................................................................................................................................... 14 Politique de gouvernance sur la protection des renseignements personnels 3 11. ACTIVITÉS DE RECHERCHES ....................................................................................................................... 14 12. SONDAGES ...................................................................................................................................................... 14 13. DROITS DES PERSONNES CONCERNÉES .................................................................................................. 15 14. TRAITEMENT DES PLAINTES ........................................................................................................................ 16 15. SANCTIONS ..................................................................................................................................................... 16 16. MISE À JOUR ................................................................................................................................................... 16 17. ENTRÉE EN VIGUEUR .................................................................................................................................... 16 Politique de gouvernance sur la protection des renseignements personnels 4 1. Introduction Dans le cadre de ses activités et de sa mission, la Ville de Longueuil (ci-après la « Ville ») traite des renseignements personnels, notamment ceux des visiteurs de son site web, de citoyens et de ses employés. En tant qu'organisation responsable, la Ville accorde la plus grande attention au respect de la vie privée et à la protection des renseignements personnels détenus, en mettant en œuvre des procédures et des solutions techniques conformes aux normes de cybersécurité et à la règlementation applicable, dont la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1 et les lois et règlements applicables en matière de protection de la vie privée au Canada. Afin de s'acquitter de ses obligations en la matière, la Ville s'est dotée de la présente politique. Celle-ci énonce les principes cadres applicables à la protection des renseignements personnels que la Ville détient tout au long du cycle de vie de ceux-ci et aux droits des personnes concernées. La protection des renseignements personnels détenus par la Ville incombe à toute personne qui traite ces renseignements. Celle-ci doit comprendre et respecter les principes de protection des renseignements personnels inhérents à l'exercice de ses fonctions ou qui découlent de sa relation avec la Ville. 2. Cadre normatif La présente politique s'inscrit dans un contexte régi notamment par la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2-1.). Conformément à cette Loi, la présente politique est accessible via le site Internet de la Ville. 3. Objet La présente politique s'applique aux renseignements personnels détenus par la Ville et à toute personne qui traite des renseignements personnels que la Ville détient. Elle a pour objet : - d'énoncer les principes encadrant la gouvernance de la Ville à l'égard des renseignements personnels tout au long de leur cycle de vie et de l'exercice des droits des personnes concernées; - de prévoir le processus de traitement des plaintes relatives à la protection des renseignements personnels ; - de définir les rôles et responsabilités en matière de protection des renseignements personnels à la Ville; - de décrire les activités de formation et de sensibilisation que la Ville offre à son personnel. Politique de gouvernance sur la protection des renseignements personnels 5 4. Définitions Aux fins de la présente politique, les termes suivants désignent : - Commission d'accès à l'information du Québec (CAI) : Tribunal administratif et organisme de surveillance qui veille à l'application de la Loi sur l'accès et de la Loi sur le privé. Voit aussi à la promotion et au respect des droits des citoyens à l'accès aux documents des organismes publics et à la protection de leurs renseignements personnels. - Comité sur l'accès à l'information et la protection des renseignements personnels de la Ville : Comité visant à assurer une saine gestion de l'accès à l'information et de la protection des renseignements personnels au sein de la Ville. Il soutient le directeur général et les responsables d'accès et de la protection des renseignements personnels dans la mise en œuvre de la Loi et des obligations qui en découlent. - Cycle de vie : Ensemble des étapes visant le traitement d'un renseignement personnel soit la collecte, l'utilisation, la communication, la conservation et la destruction. - Évaluation des facteurs relatifs à la vie privée ou « ÉFVP » : Démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées. - Incident de confidentialité : Accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d'atteinte à sa protection. - Loi : Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1. - Personne concernée : Personne physique à qui se rapportent les renseignements personnels. - Renseignement personnel : Toute information qui concerne une personne physique et qui permet de l'identifier directement -- soit par le recours à cette seule information -- ou indirectement -- soit par combinaison avec d'autres informations. - Renseignement personnel sensible : Renseignement personnel qui suscite un haut degré d'attente raisonnable en matière de vie privée, du fait de sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication. - Responsable de l'accès aux documents et de la protection des renseignements personnels : Personne désignée par la mairesse pour exercer les fonctions prévues à la Loi. Cette personne est responsable notamment du traitement des demandes d'accès aux Politique de gouvernance sur la protection des renseignements personnels 6 documents et d'assurer la protection des renseignements personnels détenus par l'organisme. 5. Rôles et responsabilités La protection des renseignements personnels que la Ville détient repose sur l'engagement de tous ceux qui traitent ces renseignements et plus particulièrement des suivants : 5.1 Responsables de la protection des renseignements personnels (RPRP) Le RPRP est responsable de la protection des renseignements personnels gérés par la Ville de Longueuil. Le RPRP est, par défaut, la personne ayant la plus haute autorité au sein de la Ville de Longueuil, soit le maire ou la mairesse. Dans le cas de la Ville de Longueuil, cette mission est assignée par délégation à : - Nom : Me Camille Benoit - Fonction : Chef de division, Loi sur l'accès aux documents - Nom : Me Sophie Deslauriers - Fonction : Directrice du greffe et greffière Dans le cas du Service de police de l'agglomération de Longueuil (SPAL), cette mission est assignée par délégation à : - Nom : Mélanie Coutu - Fonction : Chef d'unité Information policière Ces personnes sont également désignées à titre de Responsables de l'accès aux documents. 5.1.2 Rôles des Responsables Les Responsables : - prennent tous les moyens pour assurer la protection des renseignements personnels tout au long de leur cycle de vie, de la collecte à la destruction ; - siègent au Comité ; - se conforment aux exigences liées aux demandes d'accès ou de rectification, y compris: o donner au requérant un avis de la date de réception de sa demande ; o aviser le requérant des délais et de son droit à la révision ; o répondre à la demande dans un délai de 20 jours, ou si le traitement de la demande ne paraît pas possible sans nuire au déroulement normal des activités de la Ville, dans un délai de 10 jours supplémentaires, après avoir avisé le requérant par écrit; o prêter assistance au requérant pour identifier le document susceptible de contenir les renseignements recherchés lorsque sa demande est imprécise ; Politique de gouvernance sur la protection des renseignements personnels 7 o motiver tout refus d'acquiescer à une demande d'accès ; o à la demande du requérant, lui prêter assistance pour l'aider à comprendre la décision le concernant ; o rendre sa décision par écrit et en transmettre une copie au requérant, accompagnée du texte de la disposition sur laquelle le refus s'appuie, le cas échéant, et d'un avis l'informant du recours en révision et indiquant notamment le délai dans lequel il peut être exercé. - veillent à ce que le renseignement faisant l'objet de la demande soit conservé le temps requis pour permettre au requérant d'épuiser les recours prévus à la Loi; - supervisent la tenue des registres énumérés à l'article 7 de la présente politique; - participent à l'évaluation du risque de préjudice sérieux lié à un incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes ; - le cas échéant, effectuent des vérifications des obligations de confidentialité en lien avec la communication de renseignements personnels dans le cadre de mandats ou de contrats de services confiés à des tiers conformément à l'article 6.3 de la présente politique. 5.2 Rôle du Comité sur l'accès à l'information et la protection des renseignements personnels Le Comité : - planifie et assure la réalisation d'activités de formation et de sensibilisation adressées aux employés en matière d'accès à l'information et de protection des renseignements personnels; - définit et approuve les orientations en matière de protection des renseignements personnels, notamment approuve la présente politique ; - émet des directives sur l'utilisation d'outils informatiques marketing impliquant la communication de données ou le profilage ; - identifie les principaux risques en matière de protection de renseignements personnels et en avise la direction afin que des mesures correctives soient proposées; - émet des directives pour la protection des renseignements personnels, notamment pour la conservation de ceux-ci par des tiers et à l'extérieur du Québec ; - est consulté, dès le début d'un projet et aux fins de l'ÉFVP, pour tous les projets d'acquisition, de développement et de refonte des systèmes d'information ou de prestation électronique de services impliquant des renseignements personnels : o veille à ce que la réalisation de l'ÉFVP soit proportionnée à la sensibilité des renseignements concernés, aux fins auxquelles ils sont utilisés, à la quantité et à la distribution des renseignements et au support sur lequel ils seront hébergés ; o le cas échéant, s'assure que le projet permet de communiquer à la personne concernée les renseignements personnels informatisés recueillis auprès d'elle dans un format technologique structuré et couramment utilisé ; - doit être avisé de tout incident de confidentialité impliquant les renseignements personnels et conseille la Ville quant aux suites à y donner ; - revoit le processus de gestion des incidents de confidentialité dans l'éventualité d'un incident de confidentialité ; Politique de gouvernance sur la protection des renseignements personnels 8 - revoit les règles pour la collecte et la conservation des renseignements personnels provenant de sondages; - revoit les mesures relatives à la vidéosurveillance et s'assure du respect de la vie privée dans le cadre de son utilisation; - revoit toute question d'intérêt touchant la protection des renseignements personnels. 5.3 Direction des Technologies de l'Information La Direction des Technologies de l'Information est responsable du déploiement et de la gestion des contrôles de sécurité des TI de la Ville et agit à titre de principal point de contact pour les questions de sécurité des TI. 5.4 Toute personne qui traite des renseignements personnels que la Ville détient : - agit avec précaution et intègre les principes énoncés à la présente politique à ses activités; - n'accède qu'aux renseignements nécessaires à l'exercice de ses fonctions ; - n'intègre et ne conserve des renseignements que dans les dossiers destinés à l'accomplissement de ses fonctions ; - conserve ces dossiers de manière à ce que seules les personnes autorisées y aient accès ; - protège l'accès aux renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe ; - s'abstient de communiquer les renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire ; - s'abstient de conserver, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité ; - détruit tout renseignement personnel conformément au calendrier de conservation de la Ville; - participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées ; - signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la confidentialité de renseignements personnels conformément à la procédure établie par la Ville. 6. Traitement des renseignements personnels 6.1 Collecte La Ville ne recueille que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des renseignements personnels, la Ville détermine les fins de leur traitement. La Ville ne recueille que les renseignements personnels strictement nécessaires aux fins indiquées. La collecte de renseignements personnels se fait auprès de la personne concernée. Politique de gouvernance sur la protection des renseignements personnels 9 Au moment de la collecte, et par la suite sur demande, la Ville informe les personnes concernées, notamment, des fins et des modalités de traitement de leurs renseignements personnels et de leurs droits quant à ces renseignements, par exemple, au moyen d'une politique de confidentialité ou d'un avis « juste-à-temps ». Lorsque la Loi exige l'obtention d'un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Le consentement des mineurs de moins de 14 ans est donné par le titulaire de l'autorité parentale ou par le tuteur. Le consentement des mineurs âgés de 14 ans et plus est donné par le mineur, le titulaire de l'autorité parentale ou le tuteur. 6.1.2 Prise de décision fondée exclusivement sur le traitement automatisé des renseignements personnels Lorsque les décisions sont prises sur la base d'un système automatisé, les personnes visées sont informées à l'avance de leurs droits, y compris la possibilité de corriger les informations utilisées pour la prise de décision et le droit de faire des observations. 6.2 Utilisation La Ville n'utilise les renseignements personnels qu'aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, la Ville peut modifier ces fins si la personne concernée y consent préalablement. Elle peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans l'un ou l'autre des cas suivants : - lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis ; - lorsque l'utilisation est manifestement au bénéfice de la personne concernée ; - lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi ; - lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés. Lorsqu'elle utilise les renseignements personnels à des fins secondaires dans l'un des trois premiers cas de figure énumérés ci-dessus, elle doit consigner une telle utilisation au registre prévu à cet effet, tel que décrit à l'article 7.3. Lorsque la Loi le prévoit expressément ou lorsqu'un traitement de renseignements personnels est jugé plus à risque pour les personnes concernées, la Ville entreprend une ÉFVP en vertu de l'article 10 des présentes afin de mitiger les risques identifiés. La Ville établit et tient à jour un inventaire des fichiers de renseignements personnels qu'elle recueille, utilise et communique. Cet inventaire contient minimalement : Politique de gouvernance sur la protection des renseignements personnels 10 - les catégories de renseignements qu'il contient, les fins pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier ; - la provenance des renseignements versés à chaque fichier ; - les catégories de personnes concernées par les renseignements versés à chaque fichier; - les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions; - les mesures de sécurité prises pour assurer la protection des renseignements personnels. Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la Loi. 6.3 Communication Sous réserve des exceptions prévues par la Loi, la Ville ne peut communiquer des renseignements personnels sans le consentement de la personne concernée. Le consentement doit être donné expressément lorsque des renseignements personnels sensibles sont en cause. Lorsque des renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services ou pour l'exécution d'un mandat, la Ville doit conclure une entente avec fournisseur de services ou le mandataire qui comprend les dispositions contractuelles types de la Ville. 6.3.1. Divulgation de renseignements personnels à l'extérieur du Québec Lorsque les renseignements personnels sont communiqués à des tiers hors Québec, la Ville procède à une ÉFVP pour vérifier que les renseignements personnels bénéficieront du niveau approprié de protection et de confidentialité, conformément à l'article 10 des présentes. Une communication à des tiers est consignée au registre à prévu cet effet. 6.4 Conservation et mise à jour La Ville prend toutes les mesures raisonnables afin que les renseignements personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés. La Ville conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, sous réserve de délais prévus à son calendrier de conservation. 6.5 Destruction et anonymisation Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives, RLRQ, c. A- 21.1, et suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de la Ville. 7. Registres Conformément à la Loi, la Ville tient à jour les registres suivants : 7.1 Registre des communications de renseignements personnels sans le consentement de la personne concernée Politique de gouvernance sur la protection des renseignements personnels 11 Ce registre doit être complété dans les cas suivants : - lorsque la Ville communique l'identité d'une personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers ; - lorsque la Ville communique des renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi; - lorsque la Ville communique des renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail ; - lorsque la Ville communique des renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services ; - lorsque la Ville communique des renseignements personnels à des fins d'étude, de recherche ou de statistique ; - après avoir effectué une ÉFVP, lorsque la Ville communique des renseignements personnels dans les cas visés par l'article 68 de la Loi. De tels registres comprennent : - la nature ou le type de renseignement communiqué ; - la personne ou l'organisme qui reçoit cette communication ; - la fin pour laquelle ce renseignement est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication de renseignements personnels à l'extérieur du Québec ; - la raison justifiant cette communication. 7.2 Registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la Ville collabore pour la prestation de services ou la réalisation d'une mission commune Un tel registre comprend : - le nom de l'organisme pour lequel renseignements sont recueillis ; - l'identification du programme ou de l'attribution pour lequel les renseignements sont nécessaires; - la nature ou le type de la prestation de service ou de la mission ; - la nature ou le type de renseignements recueillis ; - la fin pour laquelle ces renseignements sont recueillis ; - la catégorie de personnes, au sein de l'organisme qui recueille les renseignements et au sein de l'organisme receveur, qui a accès aux renseignements. 7.3 Registre des utilisations de renseignements personnels au sein de la Ville à d'autres fins et sans le consentement de la personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la personne concernée ou qu'elle est nécessaire à l'application d'une loi au Québec Un tel registre comprend : Politique de gouvernance sur la protection des renseignements personnels 12 - la mention du paragraphe du deuxième alinéa de l'article 65.1 de la Loi permettant l'utilisation, c'est-à-dire la base juridique applicable ; - dans le cas visé au paragraphe 3° du deuxième alinéa de l'article 65.1 de la Loi, la disposition législative qui rend nécessaire l'utilisation du renseignement ; - la catégorie de personnes qui a accès au renseignement aux fins de l'utilisation indiquée. 7.4 Registre des incidents de confidentialité Un tel registre comprend : - une description des renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison justifiant l'impossibilité de fournir une telle description ; - une brève description des circonstances de l'incident ; - la date ou la période où l'incident a eu lieu ou, si cette dernière n'est pas connue, une approximation de cette période ; - la date ou la période au cours de laquelle la Ville a pris connaissance de l'incident; - le nombre de personnes concernées par l'incident ou, s'il n'est pas connu, une approximation de ce nombre ; - une description des éléments qui amènent la Ville à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables ; - si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux personnes concernées, en application du deuxième alinéa de l'article 63.8 de la Loi sur l'accès ou du deuxième alinéa de l'article 3.5 de la Loi sur le privé, de même qu'une mention indiquant si des avis publics ont été donnés par la Ville et la raison pour laquelle ils l'ont été, le cas échéant ; - une brève description des mesures prises par la Ville à la suite de la survenance de l'incident, afin de diminuer les risques qu'un préjudice soit causé. Toute communication d'information concernant un incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un incident de confidentialité doit également être consignée dans un registre. 8. Formation et sensibilisation La formation et la sensibilisation du personnel de la Ville sont des éléments clés de la protection de la vie privée. Tous les employés impliqués dans la gestion de renseignements personnels sont assujettis à la sensibilisation obligatoire aux risques associés aux systèmes d'information et à la protection des renseignements personnels. Politique de gouvernance sur la protection des renseignements personnels 13 Au besoin, les employés reçoivent également une formation spécialisée liée aux défis de leurs fonctions: gestionnaires, gestionnaires de la sécurité des systèmes informatiques, techniciens en informatique, etc. La Ville transmet à tout nouvel employé le Guide sur l'accès aux documents et sur la protection des renseignements personnels et rend accessible aux employés les politiques, procédures et autres informations relatives à la protection des renseignements personnels, pour référence. 9. Incidents de confidentialité Tout incident de confidentialité est pris en charge conformément au processus de gestion des incidents de confidentialité de la Ville. La Ville prend alors les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Tout incident de confidentialité est signalé au responsable de la protection des renseignements personnels. Si l'incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, la Ville avise celles-ci avec diligence ainsi que la CAI. Les incidents de confidentialité doivent être systématiquement consignés au registre, tel que prévu à l'article 7.4 des présentes. 10. Évaluation des facteurs relatifs à la vie privée Dans certains cas, une évaluation des facteurs relatifs à la vie privée (ÉFVP) doit être effectuée dans le contexte des traitements suivants de renseignements personnels : - avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des renseignements personnels ; - avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune ; - avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques ; - lorsqu'elle entend communiquer des renseignements personnels, sans consentement des personnes concernées, conformément à l'article 68 de la Loi ; - lorsqu'elle entend communiquer des renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels renseignements pour son compte. Politique de gouvernance sur la protection des renseignements personnels 14 10.1 Objectif de l'ÉFVP L'ÉFVP est une procédure conçue pour protéger les renseignements personnels et la vie privée de ses propriétaires. En mettant en perspective la collecte de renseignements personnels avec certains facteurs susceptibles d'avoir un impact sur la vie privée des personnes concernées, la Ville sera en mesure de prendre, au besoin, les mesures nécessaires pour limiter ces impacts et toute violation de la règlementation sur la protection des renseignements personnels. L'ÉFVP sera donc axée sur les domaines suivants :  La conformité du projet à la législation sur les renseignements personnels ;  L'identification des risques d'atteinte à la vie privée générés par le projet et de leurs répercussions;  La mise en œuvre de stratégies pour éviter ces risques ou les réduire efficacement. En effectuant une ÉFVP, la Ville tient compte de la sensibilité des renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. De plus, lorsque les renseignements personnels sont communiqués à l'extérieur du Québec, la Ville s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. La réalisation d'une ÉFVP sert à démontrer que la Ville a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. 11. Activités de recherche Une personne ou un organisme peut déposer une demande à la Ville pour recevoir communication de renseignements personnels à des fins d'étude, de recherche ou de production de statistiques, pour laquelle il serait déraisonnable d'obtenir le consentement des personnes concernées. Sur réception de la demande, une ÉFVP devra être effectuée, en collaboration avec le responsable de la protection des renseignements personnels. L'EFVP devra conclure que :  l'objectif de l'étude, de la recherche ou de la production de statistiques ne peut être atteint que par la communication de renseignements sous une forme permettant d'identifier les personnes concernées;  l'intérêt public à ce que la recherche, l'étude ou la production de statistiques soit effectuée l'emporte sur les conséquences sur la vie privée des personnes concernées qui pourraient découler de la communication ou de l'utilisation;  les renseignements personnels seront utilisés de manière à en assurer la confidentialité;  seuls les renseignements nécessaires à l'atteinte de l'objectif du projet envisagé sont communiqués. Politique de gouvernance sur la protection des renseignements personnels 15 Si la Ville choisit d'autoriser la communication des renseignements, une entente doit être conclue avec la personne ou l'organisme ayant formulé la demande et devra ensuite être transmise à la Commission d'accès à l'information. L'entente entrera en vigueur 30 jours après la réception par la CAI. Lorsque des renseignements personnels sont communiqués dans le cadre d'une telle entente, la communication doit être consignée au registre, tel que prévu à l'article 7.1 des présentes. 12. Sondages Toute personne, organisme ou autre organisation qui souhaite effectuer un sondage auprès de personnes concernées au moyen de renseignements personnels que détient la Ville doit consulter le Comité sur l'accès à l'information et la protection des renseignements personnels. Le comité doit procéder à l'évaluation de la nécessité du sondage et de son aspect éthique en tenant compte de la sensibilité, de la nature des renseignements personnels recueillis et de la finalité de leur utilisation. Il émet également des recommandations quant à la gestion des renseignements recueillis. 13. Droit des personnes concernées Sous réserve de ce que prévoient les lois applicables, toute personne concernée dont les renseignements personnels sont détenus par la Ville dispose notamment des droits suivants : - le droit d'accéder aux renseignements personnels détenus par la Ville et d'en obtenir une copie, que ce soit en format électronique ou non électronique ; o à compter du 22 septembre 2024, moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès d'une personne concernée, et non pas créé ou inféré à partir d'un renseignement personnel la concernant, lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. - le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par la Ville ; - le droit d'être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé. Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la Loi. Les documents contenant des renseignements personnels peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la Ville informe la personne concernée de l'obligation de payer des frais avant de traiter sa demande. Les demandes d'accès aux renseignements personnels par les personnes concernées peuvent être faites verbalement ou par écrit. Seules les demandes écrites sont susceptibles d'être révisées par la Commission d'accès à l'information. Politique de gouvernance sur la protection des renseignements personnels 16 Les demandes d'accès aux renseignements personnels sensibles doivent être faites par écrit et recevront une réponse écrite. Les demandes d'accès aux renseignements personnels doivent être suffisamment précises pour permettre au responsable de l'accès aux documents de localiser lesdits renseignements personnels. Le droit d'accès ne s'applique qu'aux renseignements personnels existants. 14. Traitement des plaintes Toute plainte relative aux pratiques de protection des renseignements personnels de la Ville ou de sa conformité aux exigences de la Loi qui concernent les renseignements personnels doit être transmise au responsable de la protection des renseignements personnels, lequel doit y répondre dans un délai de 20 jours. La plainte peut être transmise par les moyens suivants : Ville de Longueuil - Courriel : [email protected] - Adresse postale : 4250, chemin de la Savane, Longueuil, Québec, J3Y 9G4 - Téléphone : 450 463-7015 Service de police de l'agglomération de Longueuil - Courriel : [email protected] - Adresse postale : 7151, boulevard Cousineau, Saint-Hubert (Québec) J3Y 9K5 - Téléphone : 450 463-7100, poste 3565 15. Sanctions Toute personne qui enfreint la présente politique est passible de sanctions selon le cadre normatif applicable. 16. Mise à jour De manière à suivre l'évolution du cadre normatif applicable en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de la Ville, la présente politique pourra être mise à jour au besoin. Veuillez vous rendre sur le site Web de la Ville pour consulter la version la plus récente. 17. Entrée en vigueur La présente politique entre en vigueur lors de son approbation par le Comité sur l'accès à l'information et la protection des renseignements personnels de la Ville.