Directive sur la gestion des incidents de confidentialite impliquant des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 2102a3be18e7 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

DIRECTIVE Gestion des incidents de confidentialité impliquant des renseignements personnels SEPTEMBRE 2023 Directive - Gestion des incidents de confidentialité impliquant des renseignements personnels 2 1. Objectif L'objectif de cette directive est d'encadrer le signalement d'incidents de confidentialité impliquant des renseignements personnels afin que la Ville de Mont-Joli (la « Ville ») gère les incidents conformément à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. La Ville recueille et détient des renseignements personnels dans l'exercice de ses attributions et la mise en œuvre de programmes dont elle a la gestion. La Ville doit prendre les mesures de sécurité requises pour assurer la protection des renseignements personnels tout au long de leur cycle de vie, soit lors de leur collecte, utilisation, communication, conservation et destruction. En cas d'incident de confidentialité impliquant des renseignements personnels, la Ville doit intervenir afin de minimiser les risques de préjudices sur les personnes concernées, éviter de nouveaux incidents et tenir un registre de ces incidents. Ces obligations découlent de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. À chaque incident, une équipe de gestion des incidents est constituée pour évaluer le préjudice causé, pour minimiser les risques du préjudice dans les plus brefs délais, pour effectuer le suivi des mesures de protection afin d'éviter un nouvel incident et pour aviser les personnes concernées ainsi que la Commission d'accès à l'information en cas de préjudice sérieux causé aux personnes concernées. Chaque détection d'un incident de confidentialité doit être signalée par les membres de la ville, son personnel et toutes personnes ou organismes détenant des renseignements personnels pour le compte de la Ville, notamment, des consultants ou des fournisseurs. 2. Champ d'application et personnes visées 2.1 Renseignements personnels La procédure vise les incidents impliquant des renseignements personnels. Un renseignement personnel est un renseignement permettant d'identifier directement ou indirectement une personne physique (ex. : adresse, numéro de téléphone, état de santé, habitudes de vie, situation financière, etc.). 2.2 Personnes visées La directive s'applique aux membres, employés municipaux, fournisseurs et consultants de la Ville concernant le signalement d'un incident de confidentialité impliquant des renseignements personnels et toutes personnes ou organismes détenant des renseignements personnels pour le compte de la Ville. 2.3 Incident de confidentialité Un incident de confidentialité peut se définir comme toute atteinte à la protection d'un renseignement personnel qu'il résulte d'une erreur, d'une action malveillante ou d'une défaillance technique ou technologique. Un incident de confidentialité se définit comme :  L'accès non autorisé à des renseignements personnels ; (Exemple : un employé affecté au traitement des dossiers de la paie dépose des documents sur un serveur accessible à tous les employés). Directive - Gestion des incidents de confidentialité impliquant des renseignements personnels 3  L'utilisation non autorisée de renseignements personnels : (Exemple : un employé utilise les coordonnées d'un citoyen/usagers qui est par ailleurs son ancien locataire pour lui transmettre une mise en demeure pour loyer impayé).  La communication non autorisée de renseignements personnels : (Exmple : une conversation téléphonique et communication de renseignements personnels sans que l'employé l'ait adéquatement identifié).  La perte de renseignements personnels : (Exemple : dossier d'employé dans une mallette volée dans une voiture). 3. Signalement des incidents Certains incidents de confidentialité sont détectés par les outils informatiques alors que d'autres seront détectés par les employés, les fournisseurs de services, les consultants, les citoyens ou toute autre personne gravitant autour de la Ville de Mont-Joli. Deux méthodes sont en place pour le signalement des incidents :  Par courriel à l'adresse [email protected] ou par téléphone au 418-775-7285 poste 2110. Dans tous les cas, le signalement de l'incident doit être transmis à la responsable de la protection des renseignements personnels au service du greffe. La personne signalant l'incident doit indiquer les informations nécessaires pour permettre une analyse adéquate de l'incident (un formulaire, indiquant ces informations, est disponible en annexe). La personne signalant l'incident peut être contactée par les intervenants (responsable de l'accès, responsable de l'informatique de la Ville, responsable de l'informatique MRC) afin d'obtenir des informations supplémentaires. 4. Rôle des intervenants 4.1 Service du greffe - responsable de la protection des renseignements personnels La responsable de la protection des renseignements personnels est identifiée comme étant la personne dont les fonctions de responsable de la protection des renseignements personnels ont été déléguées par le Maire. Son rôle est , entre autres : o D'être consultée pour évaluer le risque qu'un préjudice soit causé aux personnes concernées ; o De collecter les informations nécessaires à la gestion de l'incident ; o D'encadrer les avis aux personnes concernées et à la Commission d'accès à l'information lorsque le préjudice causé est sérieux ; o De s'assurer des mesures de sécurité mises en place afin d'éviter un autre incident de même nature et d'en faire le suivi ; o De tenir le registre des incidents et de communication. Directive - Gestion des incidents de confidentialité impliquant des renseignements personnels 4 4.2 Service de l'innovation et des technologies Lorsque l'incident implique la technologie, les responsables de l'informatique de la Ville et de la MRC sont ceux qui, entre autres : o Procède aux volets informatiques et technologiques de l'enquête et des mesures requises pour contenir l'incident ou le faire cesser ; o Assure l'application de la présente directive de gestion des incidents de sécurité ; o Contribue à l'évaluation du risque de préjudice. 4.3 Services, bureaux ou fournisseurs visés par l'incident Lorsque l'incident survient dans un service, un bureau ou chez un fournisseur, celui-ci doit, entre autres : o Collaborer à la gestion de l'incident et procéder à son suivi ; o Appliquer les mesures de sécurité nécessaires afin de contenir l'incident 4.4 Tout autre service ou bureau dont l'expertise est requise Tout service ou bureau peut collaborer à un incident de confidentialité, entre autres : o Quant à la gestion de l'incident et de son suivi ; o Quant aux avis à la Commission d'accès à l'information et aux personnes concernées. 4.5 Toute personne ou organisme La Ville peut communiquer à toute personne ou organisme des renseignements personnels sans le consentement des personnes concernées afin que cet intervenant diminue le risque qu'un préjudice soit causé. 5. Références o Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels ; o Politique cadre sur la gouvernance en matière d'accès à l'information, de confidentialité et de protection des renseignements personnels. Directive - Gestion des incidents de confidentialité impliquant des renseignements personnels 5 ANNEXE SOMMAIRE DE L'ÉVÉNEMENT Service et division concernés par l'incident Nom et coordonnées de (s) employé (s) impliqué (s) lors de l'incident et nom de son gestionnaire (pour fins de cueillette d'informations). Description de l'incident (contexte, cause, source) Date et lieu de l'incident Date à laquelle l'incident a été porté à la connaissance d'un emploi et la façon dont il a été connu : Type de personnes concernées par les renseignements personnels visés lors de l'incident (ex. : employés, citoyens, etc.). et le nombre de personnes visées : Description des renseignements personnels visés par l'incident : Sur quel support se trouvaient les renseignements personnels ? Est-ce que des mesures ont été prises immédiatement après la connaissance de l'incident ? Directive - Gestion des incidents de confidentialité impliquant des renseignements personnels 6