Politique-cadre sur la gouvernance en matiere d'acces a l'information, de confidentialite et de protection des renseignements personnels
Mont-Joli, Quebec
· adopted 2023-09-18
This is the exact embedded text of the captured official document.
Snapshot a5b404c7c7de · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE CADRE SUR LA GOUVERNANCE EN MATIÈRE
D'ACCÈS À L'INFORMATION, DE
CONFIDENTIALITÉ ET DE PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Adoption : 18 septembre 2023
Résolution : 2023.09.459
Entrée en vigueur : 18/09/2023
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
2
La Ville de Mont-Joli invite toutes les personnes concernées à prendre connaissance de sa politique cadre sur la
gouvernance en matière d'accès à l'information, de confidentialité et de protection des renseignements personnels
pour connaître les règles qu'elle applique et qui régissent son personnel et ses mandataires.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
3
MISE EN CONTEXTE
La protection et la confidentialité des renseignements personnels ainsi que la sécurité de l'information revêtent de
plus en plus d'importance dans notre société où les échanges accélérés par des moyens technologiques hautement
sophistiqués facilitent la diffusion et l'accès de l'information. Or, une information plus facilement accessible risque
davantage d'être obtenue de manière illicite et utilisée à mauvais escient.
Pour la Ville de Mont-Joli, qui doit collecter de l'information sous toutes ses formes, la conserver et l'utiliser à
différentes fins, par exemple pour ses opérations administratives, pour l'exécution et la prestation de ses services ou
pour assurer la sécurité de ses citoyens, l'impact d'une manipulation de cette information à des fins illégitimes peut
être sérieux.
L'information est donc essentielle aux opérations courantes de la Ville et, de ce fait, elle doit faire l'objet d'une
évaluation, d'une utilisation et d'une protection appropriées. La Ville détient, entre autres, des renseignements
personnels ainsi que des informations qui ont une valeur légale, administrative, économique ou patrimoniale. Sa
volonté est de mettre en place des mesures pour assurer une protection adéquate de tous ses actifs informationnels,
dans le respect du cadre légal et administratif applicable. La Ville adopte par conséquent cette politique-cadre de la
gouvernance en matière d'accès à l'information, de confidentialité et de protection des renseignements personnels qui
détermine l'utilisation appropriée et sécuritaire de ses actifs informationnels et oriente ses actions.
1. OBJECTIF DE LA POLITIQUE
La présente politique décrète les mesures applicables en matière d'accès à des documents et de protection des
renseignements personnels.
Dans cette perspective, elle poursuit les objectifs suivants :
-
Définir les principes généraux et le partage des responsabilités en ce qui a trait à l'application de la Loi
d'accès ;
-
Intégrer les principes de la Loi sur l'accès dans les processus de gestion de l'information ;
-
Responsabiliser l'ensemble du personnel en matière d'accès aux documents, de confidentialité et de
protection des renseignements personnels ;
-
Encadrer la protection des renseignements personnels que la Ville détient, par l'établissement de rôles
et responsabilités des membres du personnel tout au long du cycle de vie de ces renseignements ;
-
Définir le mandat et la composition du comité sur l'accès à l'information et la protection des
renseignements personnels de la Ville ;
-
Décrire les activités de formation ;
-
Prévoir le processus de traitement des plaintes relatives à la protection des renseignements
personnels.
2.
CHAMPS D'APPLICATION
Cette politique s'applique à l'ensemble des services et du personnel de la Ville. Elle encadre toutes ses activités
et doit être prise en compte dans les orientations stratégiques de la Ville ainsi que dans le cadre de son
processus décisionnel.
3.
CADRE JURIDIQUE
Le cadre juridique applicable à la présente politique est notamment composé des lois suivantes :
-
Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements
personnels (RLRQ. C.A-2.1) ;
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
4
-
Loi sur les Archives (RLRQ, c.A-21.1) ;
-
Code civil du Québec (RLRQ, c. C-47.1) ;
-
Charte des droits et des libertés de la personne (RLRQ. c. C-12) ;
-
Loi concernant le cadre juridique des technologies de l'information (Chapitre C.1.1).
-
Règlement décrétant des dispositions concernant le code d'éthique et de déontologie des élus
municipaux ;
-
Règlement décrétant des dispositions concernant le code d'éthique et de déontologie des employés
municipaux ;
-
Directive concernant la gestion des incidents de confidentialité.
SECTION II - L'ACCÈS AUX DOCUMENTS
La Ville rend accessibles les documents qu'elle détient. Elle assure cette accessibilité en conformité avec les
procédures prévues dans la Loi sur l'accès et sous réserve des restrictions qui y sont également prévues.
La Ville classe ses documents à l'aide d'un système de classement uniforme qui permet de répondre
rapidement aux demandes d'accès. Les documents qui ne sont pas accessibles ou qui contiennent des
renseignements personnels sont identifiés dans le calendrier de conservation des documents approuvé par
Bibliothèque et Archives nationales du Québec et un inventaire de renseignements personnels afin de faciliter
le traitement des demandes d'accès.
4.
PRINCIPES DIRECTEURS
4.1
Droit d'accès
Toute personne qui en fait la demande a le droit d'accéder aux documents de la Ville de Mont-Joli, sous
réserve des autres dispositions de la Loi sur l'accès. La loi s'applique à tous les documents, quelle que soit leur
forme : écrite, graphique, sonore, visuelle, informatisée ou autre.
4.2
Restrictions au droit d'accès
Le droit d'accès à un document ne s'étend pas aux notes personnelles inscrites sur un document ni aux
esquisses, ébauches, brouillons, notes préparatoires ou autres documents de même nature.
Le droit d'accès doit également être fait dans le respect des renseignements personnels. Dans un document,
sont personnels les renseignements qui concernent une personne physique et permettent, directement ou
indirectement, de l'identifier.
Les renseignements détenus sont considérés comme étant confidentiels et ne peuvent pas être communiqués
sans le consentement de la personne concernée, sous réserve des exceptions prévues à la Loi sur l'accès.
La Ville ne refusera pas l'accès à un document pour le seul motif qu'il comporte des renseignements
personnels, sauf si ces renseignements en forment la substance. Le caviardage peut être utilisé pour donner
accès à un document.
La Ville a la responsabilité de protéger les renseignements personnels qu'elle possède et d'en assurer la
confidentialité.
4.3
Procédure d'accès
Une demande d'accès à l'information peut être écrite ou verbale et doit être adressée au responsable de
l'accès aux documents et de la protection des renseignements personnels.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
5
Lorsqu'il s'agit d'une demande verbale, le responsable doit informer le demandeur de la possibilité de faire
une demande écrite et que seule une décision sur une demande écrite est susceptible de révision en vertu de
la Loi sur l'accès. Le responsable doit également préciser que la Ville dispose de vingt jours pour y répondre.
Si la Ville considère que la demande relève davantage de la compétence d'un autre organisme public, le
responsable doit également en informer le demandeur par écrit en lui précisant à quel organisme il peut
s'adresser.
Le requérant peut venir à la Ville pour consulter les documents sur place pendant les heures ouvrables de
bureau.
La Ville peut également lui faire parvenir une copie des documents par la poste, par télécopieur ou par courrier
électronique, lorsque cela est possible.
Dans le cas où l'accès au document est refusé ou en partie, le responsable doit indiquer au requérant la ou les
raisons du refus et les articles de la Loi sur l'accès qui appuie cette décision.
4.4
Frais exigibles pour la transcription, la reproduction et la transmission de documents et de
renseignement personnels
L'accès à un document est gratuit.
Toutefois, des frais n'excédant pas le coût de sa transcription, de sa reproduction ou de sa transmission
peuvent être exigés du demandeur.
Les frais exigibles pour la transcription et la reproduction des documents et des renseignements personnels
détenus par la Ville sont prescrits au Règlement sur les frais exigibles pour la transcription, la reproduction et la
transmission de documents et de renseignements personnels (chapitre A-2.1, r.3).
La Ville informera le demandeur du montant approximatif qui lui sera facturé, avant de procéder à la
transcription, la reproduction ou la transmission du document. Dans un cas d'accès à plus d'un document,
l'information distinguera les frais de transcription ou de reproduction pour chacun des documents identifiés.
SECTION III - LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
La Ville traite confidentiellement tous les renseignements personnels qu'elle détient, que ce soit sur son
personnel, sur ses partenaires ou, sur ses clientèles.
À cette fin, elle met en place les mesures pour protéger la confidentialité à chacune des étapes de la gestion de
l'information, à savoir : la collecte, la détention, la disposition, l'utilisation et la communication de
renseignements personnels, ainsi que l'accès par la personne visée aux renseignements personnels la
concernant. Elle doit également mettre en place un cadre de gestion des incidents de confidentialité.
5.
PRINCIPES DIRECTEURS
La collecte des renseignements personnels1
1 Lorsque la Ville recueille un renseignement personnel nécessaire à l'exercice des attributions ou à la mise en œuvre d'un programme d'un
organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune, la collecte doit être
précédée d'une évaluation des facteurs relatifs à la vie privée et s'effectuer dans le cadre d'une entente écrite transmise à la Commission
conformément à la Loi sur l'accès.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
6
La Ville recueille uniquement les renseignements personnels nécessaires à l'exercice de ses attributions. La
Ville prend des mesures pour s'assurer que les renseignements personnels qu'elle recueille sont adéquats,
pertinents, non excessifs et utilisés à des fins limitées.
Informations communiquées lors de la collecte de renseignements personnels :
Lorsqu'elle recueille des renseignements personnels, la Ville s'assure d'informer la personne concernée, au
plus tard au moment de la collecte :
-
Du nom de l'organisme public au nom de qui la collecte est faite ;
-
Des fins auxquelles ces renseignements sont recueillis ;
-
Des moyens par lesquels les renseignements sont recueillis ;
-
Du caractère obligatoire ou facultatif de la demande ;
-
Des conséquences d'un refus de répondre ou de consentir à la demande ;
-
Des droits d'accès et de rectification prévus par la loi ;
-
De la possibilité que les renseignements personnels soient communiqués à l'extérieur du Québec ou à
des tiers, le cas échéant.
Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès
d'elle, des catégories de personnes qui y ont accès au sein de la Ville, de la durée de conservation de ces
renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements
personnels.
Utilisation des renseignements personnels
La Ville fait usage des renseignements personnels aux seules fins précisées lors de la collecte, à moins que la
personne concernée par les renseignements y consente expressément ou que la Loi sur l'accès l'exige.
-
Lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été
recueillis ;
-
Lorsque l'utilisation est manifeste au bénéfice de la personne concernée ;
-
Lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non
prévue expressément par la Loi ;
-
Lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et
que les renseignements sont dépersonnalisés .
La Ville établie et tient à jour un inventaire des fichiers de renseignements personnels qu'elle recueille, utilise
et communique. Cet inventaire contient minimalement :
-
Les catégories de renseignements qu'il contient, les fins pour lesquelles les renseignements sont
conservés et le mode de gestion de chaque fichier ;
-
La provenance des renseignements versés à chaque fichier ;
-
Les catégories de personnes concernées par les renseignements versés à chaque fichier ;
-
Les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions ;
-
Les mesures de sécurité prises pour assurer la protection des renseignements personnels.
Consentement
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
7
Dans les situations qui le requièrent, la Ville transmet un formulaire de consentement à la cueillette, à
l'utilisation ou à la divulgation des renseignements personnels aux personnes concernées2.
Le consentement peut être retiré à tout moment en communiquant par écrit avec la personne dont le nom est
indiqué dans le formulaire de consentement. À ce moment, la Ville explique à la personne l'impact du retrait
de son consentement pour l'aider dans sa prise de décision.
Un modèle de formule de consentement est annexé à cette politique-cadre.
Si la personne auprès de laquelle des renseignements personnels sont recueillis est une personne mineure de
moins de 14 ans, le consentement doit être donné par son parent ou son tuteur.
6.
COMMUNICATION DES RENSEIGNEMENTS PERSONNELS
6.1
Communication sans le consentement de la personne concernée
La Ville peut divulguer certains renseignements personnels qu'elle détient, sans le consentement de la
personne concernée, lorsque la situation le requiert par l'application de la Loi sur l'accès.
La Ville peut communiquer certains renseignements personnels qu'elle détient à un membre du personnel de
la Ville qui a la qualité pour le recevoir et lorsque ce renseignement est nécessaire à l'exercice de ses fonctions.
La Ville peut transférer les renseignements personnels qu'elle collecte à des fournisseurs de services et à
d'autres tiers qui la soutiennent. Dans ce cas, un contrat liant la Ville à ces tiers, ou une formule d'engagement
signée par ces derniers, doit les obliger à garder les renseignements personnels confidentiels, de les utiliser
uniquement aux fins pour lesquelles la Ville les divulgue et de traiter les renseignements personnels selon les
normes énoncées dans cette politique et en respect des lois.
La Ville peut communiquer certains renseignements personnels à des fins d'étude, de recherche ou de
production de statistiques sous réserve des conditions prévues par la Loi sur l'accès.
Dans certaines situations, la personne responsable des renseignements personnels doit inscrire la
communication dans le registre des renseignements personnels.
6.2
Communication avec le consentement de la personne concernée
La Ville peut communiquer certains renseignements personnels détenus à une personne si elle a obtenu le
consentement valable de la personne concernée.
Lorsque des renseignements personnels sont communiqués à un mandataire ou à un fournisseur de services
dans le cadre d'un mandat ou d'un contrat de service, la Ville doit confier le mandat ou le contrat par écrit. Ce
dernier contient :
-
Les dispositions de la Loi qui s'appliquent aux renseignements communiqués ;
-
Les mesures prises pour assurer la confidentialité des renseignements ;
-
Les mesures prises pour que ces renseignements ne soient utilisés que dans le cadre du mandat ou
l'exécution du contrat ;
-
Un engagement de confidentialité complété par toute personne à qui le renseignement peut être
communiqué.
2 Un consentement valable est (1) manifeste, éclairé (2) donné à des fins spécifiques, en termes simples et clairs (3) donné que pour la durée
nécessaire à la réalisation des fins auxquelles il a été demandé.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
8
Le mandataire ou le fournisseur doit aviser sans délai le responsable de la protection des renseignements
personnels de tout incident de confidentialité, peu importe sa teneur.
Lorsque les renseignements personnels sont communiqués à des tiers ou à des tiers hors Québec, la Ville
procède selon les modalités prévues à la Loi.
7.
CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
La Ville conserve les renseignements personnels qu'elle détient le temps nécessaire pour atteindre les fins
pour lesquelles elle les a collectées et conformément à son calendrier de conservation, à moins d'autorisation
ou d'exigence des lois ou de la réglementation applicable.
En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont
accomplies, la ville détruit de manière irréversible ou l'anonymise pour l'utiliser à des fins d'intérêt public.
Cependant, s'il s'agit de renseignements personnels contenus dans un document visé par le calendrier de
conservation de la Ville, celle-ci respecte les règles qui y sont prévues en matière de conservation et de
destruction.
Lorsque la Ville procède à la destruction de documents contenant des renseignements personnels, elle s'assure
de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. La Ville
détermine la méthode de destruction utilisée en fonction de la sensibilité des renseignements, de la finalité de
leur utilisation, de leur quantité, de leur répartition et de leur support3.
8.
PROTECTION DES RENSEIGNEMENTS PERSONNELS
La Ville met en place des mesures de sécurité appropriées et raisonnables afin de protéger les renseignements
personnels contre la perte ou le vol, et contre l'accès, la divulgation, la copie, l'utilisation ou la modification
non autorisés par la Loi. Seuls les membres du personnel qui doivent absolument avoir accès aux
renseignements personnels dans le cadre de leurs fonctions sont autorisés à y accéder.
Les personnes membres du personnel de la Ville ou qui travaillent en son nom doivent, notamment :
-
Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de
renseignements personnels ;
-
Prendre des précautions particulières pour s'assurer que les renseignements personnels ne sont pas
surveillés, entendus, consultés ou perdus lorsqu'elles travaillent dans des locaux autres que les
bureaux de la Ville ; et
-
prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu'elles se
déplacent d'un endroit à l'autre.
Les tiers ayant accès aux renseignements personnels dont la Ville a la garde ou le contrôle sont informés de la
Politique-cadre sur l'accès à l'information, la confidentialité et la protection des renseignements personnels
ainsi que les autres politiques et processus applicables pour assurer la sécurité et la protection des
renseignements personnels. Tous les tiers doivent s'engager par écrit à accepter de se conformer aux
politiques, aux cadres, aux processus et aux lois applicables.
9.
SYSTÈME D'INFORMATION ET PRESTATION ÉLECTRONIQUE DE SERVICES
3 Les renseignements personnels détenus par la Ville sont traités et stockés au Québec. Dans l'éventualité où un transfert de renseignement
personnel à l'extérieur du Québec serait nécessaire dans le cadre de l'exercice des fonctions de la Ville, ce transfert n'aura lieu que s'il est évalué
que le renseignement bénéficierait d'une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son
utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l'État ou la province où ce
renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d'assurer cette protection
adéquate.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
9
Tout projet d'acquisition, de développement ou de refonte de système d'information ou de prestation
électronique de services, incluant la vidéo surveillance et l'instauration d'une nouvelle technologie, impliquant
la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels,
doit être analysée par le comité. Ce dernier doit réaliser une évaluation des facteurs relatifs à la vie privée
(EFVP) et il doit évaluer et suggérer des mesures de protection des renseignements personnels.
10. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE (EFVP)
La Ville réalise une ÉFVP, notamment dans le contexte des traitements suivants de renseignements
personnels :
-
Avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système
d'information ou de prestation électronique de services qui implique des renseignements personnels ;
-
Avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise
en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de
services ou pour la réalisation d'une mission commune ;
-
Avant de communiquer des renseignements personnels sans le consentement des personnes
concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins
d'étude, de recherche ou de production de statistiques ;
-
Lorsqu'elle entend communiquer des renseignements personnels, sans le consentement des
personnes concernées, conformément à l'article 68 de la Loi ;
-
Lorsqu'elle entend communiquer des renseignements personnels à l'extérieur du Québec ou confier à
une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de
communiquer ou de conserver de tels renseignements pour son compte.
En effectuant une ÉFVP, la Ville tient compte de la sensibilité des renseignements personnels à être traités, des
fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité
des mesures proposées pour protéger les renseignements personnels.
De plus, lorsque les renseignements personnels sont communiqués à l'extérieur du Québec, la Ville s'assure
que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des
renseignements personnels généralement reconnus.
La réalisation d'une ÉFVP sert à démontrer que la Ville a respecté toutes les obligations en matière de
protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger
efficacement ces renseignements.
11.
DEMANDE D'ACCÈS OU DE RECTIFICATION À DES RENSEIGNEMENTS PERSONNELS
11.1 Demande d'accès à ses renseignements personnels
Toute personne qui en fait la demande a droit d'accès aux renseignements personnels la concernant détenus
par la Ville, sous réserve des exceptions prévues par la Loi sur l'accès.
Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne
physique justifiant son identité à titre de personne concernée ou à titre de personne représentante autorisée.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
10
Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels.
La demande doit fournir suffisamment d'indications précises pour lui permettre de la traiter.
La personne responsable de la protection des renseignements personnels donne à la personne requérante un
avis de la date de la réception de sa demande. Elle y indique qu'elle doit répondre au plus tard dans les vingt
(20) jours qui suivent la date de la réception d'une demande. Selon les circonstances, il est possible de
prolonger d'une période n'excédant pas dix (10) jours le délai de réponse en donnant un avis à cet effet à la
personne requérante avant l'expiration du délai de vingt (20) jours.
Si la personne qui fait la demande n'est pas satisfaite de la réponse de la Ville, elle peut saisir la Commission
d'accès à l'information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite
dans les 30 jours qui suivent la date de la décision ou de l'expiration du délai prévu à la Loi sur l'accès pour
répondre à la demande.
11.2 Demande de rectification
Toute personne qui reçoit confirmation de l'existence, dans un fichier, d'un renseignement personnel la
concernant peut, s'il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou sa conservation
ne sont pas autorisées par la Loi sur l'accès, exiger que le fichier soit rectifié.
Une personne physique qui justifie de son identité à titre de personne concernée ou à titre de personne
représentante autorisée peut formuler, par écrit, une demande de rectification auprès de la personne
responsable de la protection des renseignements personnels en fournissant suffisamment d'indications
précises pour lui permettre de la traiter.
Lorsqu'elle accorde une demande de rectification, la Ville délivre sans frais à la personne qui l'a faite, une copie
de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d'un
renseignement personnel.
Lorsque la Ville refuse en tout ou en partie d'accéder à une demande de rectification d'un fichier, la personne
concernée peut exiger que cette demande soit enregistrée.
La personne responsable de la protection des renseignements personnels doit répondre au plus tard dans les
vingt (20) jours qui suivent la date de la réception d'une demande. Si le traitement de la demande dans le délai
prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités de la Ville, la
personne responsable de la protection des renseignements personnels peut, avant l'expiration de ce délai, le
prolonger d'une période n'excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante.
Si la personne qui fait la demande n'est pas satisfaite de la décision de la Ville, elle peut saisir la Commisson de
cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours
qui suivent la date de la décision ou de l'expiration du délai prévu à la Loi sur l'accès pour répondre à la
demande.
12.
RÔLES ET RESPONSABILITÉS
L'efficacité des mesures de protection des renseignements personnels exige l'attribution claire de rôles et de
responsabilités aux différents intervenants de la Ville par la Politique-cadre sur la gouvernance en matière
d'accès à l'information, de confidentialité et de protection des renseignements personnels.
12.1 Le maire
Les fonctions que la Loi sur l'accès confère sont exercées par la personne ayant la plus haute autorité au sein
de l'organisme public. Dans une municipalité, constitue la plus haute autorité le maire, à titre de premier
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
11
dirigeant d'une municipalité. Celui-ci exerce donc les fonctions que la Loi sur l'accès confère à la personne
responsable de l'accès aux documents ou de la protection des renseignements personnels.
Cependant, celui-ci peut déléguer, et ce, à son entière discrétion à une ou plusieurs personnes, tout ou partie
de ses fonctions pourvu que cette délégation soit faite en faveur d'un membre de l'organisme public ou d'un
membre de son personnel de direction.
À la Ville, le maire a désigné la greffière comme responsable de l'accès aux documents et de la protection des
renseignements personnels.
12.2 Le directeur général
Le directeur général est responsable du comité sur l'accès à l'information et la protection des renseignements
personnels. Le directeur général n'est pas tenu d'assister aux rencontres du comité, mais celui-ci doit lui faire
une reddition de compte. À la Ville de Mont-Joli, le comité est présidé par le responsable de l'accès à
l'information et des renseignements personnels.
Pour ce faire :
-
Il facilite le développement de pratiques organisationnelles et de pratiques de gestion favorisant
l'accessibilité des documents et la protection des renseignements personnels ;
-
Approuve tout plan d'action annuel du comité sur l'accès à l'information et la protection des
renseignements personnels ;
-
Offre le soutien nécessaire au personnel-cadre dans l'application de la politique ;
-
S'assure de la disponibilité des ressources financières, humaines et matérielles nécessaires afin de
positionner l'accès aux documents et la protection des renseignements personnels au cœur des
pratiques organisationnelles.
12.3 Le Comité sur l'accès à l'information et la protection des renseignements personnels
Le Comité, qui relève du directeur général, est chargé de soutenir la Ville dans l'exercice de ses responsabilités
et dans l'exécution de ses obligations en vertu de la Loi sur l'accès. Afin de mettre en œuvre la présente
politique, le comité est institué et composé des personnes suivantes :
1. La greffière
2. La responsable de la gestion documentaire et des archives
3. le directeur des finances responsable des TI
4. la directrice des ressources humaines et de l'urbanisme
5. la directrice des communications
Le comité peut être assisté de toute autre personne dont l'expertise est requise.
Pour ce faire, il a notamment pour mandat :
-
D'assurer l'évaluation du niveau de protection des renseignements personnels au sein de la Ville ;
-
D'exercer une veille en matière de protection des renseignements personnels et de sécurité de
l'information, notamment en approuvant les nouveaux projets de collecte de renseignements
personnels, en révisant les aspects éthiques des projets de sondage et en autorisant les projets visant à
implanter une nouvelle technologie susceptible de faciliter cette protection ;
-
De définir et approuver les orientations municipales en matière de protection des renseignements
personnels ;
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
12
-
De rédiger, mettre en œuvre et assurer le suivi, si nécessaire, de tout plan d'action répondant aux
objectifs de la présente politique ;
-
De planifier et assurer la réalisation d'activités de formation en matière d'accès à des documents et en
protection des renseignements personnels.
-
De formuler des avis sur les initiatives d'acquisition, de déploiement et de refonte de tous les systèmes
d'information ou de prestation électronique de services qui recueillent, utilisent, conservent,
communiquent ou détruisent des renseignements personnels, et ce, lors de leur création ou de leur
modification ;
-
D'adopter un cadre de gestion des incidents de confidentialité ;
-
D'adopter une politique-cadre sur l'accès à l'information, la confidentialité et la protection des
renseignements personnels et de la publier;
-
De réaliser les évaluations des facteurs relatifs à la vie privée (ÉFVP), lorsque requis ;
-
D'assurer une révision des processus opérationnels reliés au cycle de gestion des renseignements
personnels ;
-
D'établir le processus de traitement des demandes de proches visant la communication de
renseignements personnels d'une personne décédée aux fins d'un processus de deuil ;
-
D'établir le processus de traitement des demandes de renseignements personnels avec le droit à la
portabilité ;
-
D'assurer le suivi des actions requises pour se conformer :
o Aux orientations, directives et décisions formulées par la Commission d'accès à l'information ;
o À la présente politique ;
o Aux lois encadrant l'accès aux documents et la protection des renseignements personnels.
12.4 Le responsable de l'accès à l'information et de la protection des renseignements personnels ;
La personne assume ce rôle suivant la délégation de pouvoir octroyée par le maire et applique la Loi sur
l'accès :
-
Reçoit et traite les demandes faites en vertu de la Loi sur l'accès, notamment en informant les
gestionnaires concernés et en sollicitant leur collaboration. Au besoin, il porte assistance au
demandeur ;
-
Voit à la tenue d'activités régulières de sensibilisation du personnel en matière d'accès à l'information
et de protection des renseignements personnels ;
-
Élabore le plan d'action en matière d'accès à l'information et de protection des renseignements
personnels, en assure la mise en œuvre, notamment en favorisant la formation et la sensibilisation du
personnel ;
-
Exerce un rôle-conseil auprès des services, notamment en examinant, au regard de la conformité avec
la Loi sur l'accès, tout projet de collecte de données et tout projet de développement technologique
ayant une incidence sur les renseignements personnels ;
-
Valide la conformité, au regard de la Loi sur l'accès, des opérations de communication de
renseignements personnels et de sondage ou de toute administration de questionnaires impliquant
des renseignements personnels ;
-
Supervise l'évaluation du niveau de la protection des renseignements personnels à la Ville et en fait
rapport au Comité sur l'accès à l'information et la protection des renseignements personnels ;
-
Autorise la détention de fichiers nominatifs sur support autre qu'informatique ;
-
Requiert tout avis juridique concernant la Loi sur l'accès ;
-
Assure auprès de la Commission d'accès à l'information toutes obligations prévues dans la Loi sur
l'accès ;
-
Traite et recommande au conseil municipal la conclusion d'ententes portant sur l'utilisation ou la
communication de renseignements personnels aux fins d'études, de recherche ou de production de
statistiques conformément à la Loi sur l'accès ;
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
13
-
Tient à jour le registre de communication de renseignements personnels, le registre des demandes
d'accès et le registre d'incidents de confidentialité, ainsi que l'inventaire des renseignements
personnels ;
-
Représente la Ville devant les diverses associations en matière d'accès à des documents et de
protection des renseignements personnels.
12.5 Responsable des systèmes et des technologies de l'information (TI)
Au regard à ses rôles et responsabilités, le responsable TI assure la sécurité de l'information et des services
informatiques de la Ville et :
-
Assure la mise en place des mesures de protection des renseignements personnels ;
-
Applique des mesures de réaction appropriées à toute menace et à tout incident de sécurité de
l'information et de confidentialité lorsque les circonstances l'exigent, et ce, en vue d'assurer la sécurité
de l'information et la protection des renseignements personnels en cause ;
-
Assure le fonctionnement du processus de gestion des accès selon les mécanismes mis en place ;
-
Soutien les activités du comité, lorsque requis.
12.6
Direction des ressources humaines
-
Informe le responsable TI d'une embauche, d'un changement de fonction et de la fin d'emploi d'une
personne afin de mettre à jour les accès aux actifs informationnels de la Ville ;
-
Informe tout nouvel employé de ses obligations quant à la loi sur l'accès à l'information et la
protection des renseignements personnels ;
-
Intervient auprès des membres du personnel concerné en cas d'atteinte à la confidentialité et la
protection des renseignements personnels en collaboration avec la personne responsable de la
protection des renseignements personnels, le comité et les autres personnes intervenantes ;
-
Contribue à la promotion des activités de sensibilisation et des séances de formation pour les
membres du personnel reliées à la protection des renseignements personnels et la confidentialité .
12.7
Responsable de la gestion documentaire et des archives
-
Participe à l'analyse et à la planification des besoins et des actions concernant la gestion des
documents et des archives qui impliquent la protection des renseignements personnels ;
-
Participe à la catégorisation de l'information et appui les détenteurs de l'information dans cet exercice,
notamment en matière de disponibilité, d'intégrité, de protection et de confidentialité (inventaire des
fichiers de renseignements personnels) ;
-
Élabore le calendrier de conservation et collabore à l'élaboration de la liste de classement ;
-
Collabore à l'élaboration et à la mise en œuvre des mesures de protection adéquates dans la gestion
documentaire, la conservation et la destruction eu égard à la Loi sur les archives et la Loi sur l'accès ;
-
S'implique dans l'ensemble des activités relatives à la gestion des risques, notamment dans
l'élaboration et l'application des procédures de prévention, de préservation et de rétablissement des
opérations à la suite d'un incident qui implique un renseignement personnel ;
-
En collaboration avec la personne responsable de la protection des renseignements personnels,
répond aux demandes d'accès, de consultation et de communication de documents en respect de la
protection des renseignements personnels.
12.8
Gestionnaires
-
Informent les membres du personnel relevant de leur autorité des dispositions de la politique-cadre
sur la gouvernance en matière d'accès à l'information, de confidentialité et de protection des
renseignements personnels ;
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
14
-
Informent la personne responsable de la protection des renseignements personnels de toute violation
des mesures de protection des renseignements personnels ou de confidentialité dont ils pourraient
être témoins ;
-
S'assurent que la protection des renseignements personnels et la confidentialité sont prise en compte
dans tout contrat de service attribué par leur unité administrative et voient à ce que tout
collaborateur, lié par contrat, respecte les règles de la Ville ;
-
Approuvent les accès à chacun des utilisateurs selon leur profil ;
-
Vérifient la cohérence des accès selon les profils pour chacun des utilisateurs.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
15
12.9 Détenteurs de l'information (contenant des renseignements personnels)
-
Participent à la catégorisation de l'information relevant de leur responsabilité en matière de
disponibilité, d'intégrité, de protection et de confidentialité ;
-
Veillent à ce que les renseignements personnels qu'ils conservent soient à jour ;
-
S'impliquent dans l'ensemble des activités relatives à la gestion des risques, notamment des incidents
de confidentialité ;
-
Se référent au processus de gestion des identités et des accès ;
-
Dirigent toute demande d'accès à l'information provenant de tiers à la personne responsable de la
protection des renseignements personnels ;
-
Veillent à la mise en place et à l'application des mesures de sécurité de l'information, y compris celles
liées au respect des exigences de protection des renseignements personnels ;
-
Informent la personne responsable de la protection des renseignements personnels de toute violation
des mesures de protection des renseignements personnels ou de confidentialité dont ils pourraient
être témoins.
12.10 Utilisateurs de l'information
-
Prennent connaissance de la Politique-cadre sur la gouvernance en matière d'accès à l'information, de
confidentialité et de protection des renseignements personnels et y adhérent en respectant les
normes, directives et procédures en vigueur en matière de confidentialité et de protection des
renseignements personnels et s'engagent par écrit à les respecter ;
-
S'assurent de tenir à jour les renseignements personnels les concernant qui sont détenus par la Ville ;
-
Informent la personne responsable de la protection des renseignements personnels de toute violation
des mesures de protection des renseignements personnels ou de confidentialité dont ils pourraient
être témoins.
13.
GESTION DES INCIDENTS DE CONFIDENTIALITÉ
Lorsque la Ville a des motifs de croire que s'est produit un incident de confidentialité impliquant un
renseignement personnel qu'elle détient, elle prend les mesures raisonnables pour diminuer les risques
qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui
peut inclure la sanction des individus en cause. La personne responsable de la protection des
renseignements personnels et le comité se concertent dans la gestion d'un incident .
La Ville peut également aviser toute personne et tout organisme susceptible de diminuer ce risque en ne
lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la
personne concernée. Dans ce dernier cas, la personne responsable de la protection des renseignements
personnels enregistre la communication.
Si l'incident de confidentialité représente le risque qu'un préjudice sérieux soit causé, la Ville, avec
diligence, en avise la Commission. Elle avise également toute personne dont un renseignement
personnel est concerné par l'incident.
La Ville tient un registre des incidents de confidentialité, dont le contenu est déterminé par la Loi sur
l'accès.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
16
14.
PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS
14.1 Dépôt d'une plainte relative à la protection des renseignements personnels
Toute personne qui a des motifs de croire qu'un incident de confidentialité s'est produit et que la Ville a
fait défaut d'assurer la confidentialité des renseignements personnels qu'elle détient peut adresser une
plainte écrite auprès de la personne responsable de la protection des renseignements personnels pour
demander que la situation soit corrigée.
La plainte doit être formulée à [email protected] et comporter une description de l'incident, la
date ou la période où l'incident s'est produit, la nature des renseignements personnels visés par
l'incident et le nombre de personnes concernées.
Dans le cas où la plainte met en cause la conduite de la personne responsable de la protection des
renseignements personnels, ou en l'absence de cette dernière, la plainte doit être formulée par écrit au
directeur général à [email protected].
14.2 Traitement de la plainte
Sur réception de la plainte, la personne responsable de la protection des renseignements personnels, ou
la Direction générale selon le cas en accusent réception auprès de son auteur. Elle analyse et traite la
plainte dans un délai raisonnable suivant sa réception.
Dans le cas où celle-ci s'avère fondée, la Ville prend les mesures requises pour corriger la situation dans
les meilleurs délais et procède à l'inscription de l'incident au registre approprié.
La personne responsable de la protection des renseignements personnels, ou la direction générale le cas
échéant, communique la réponse finale à la personne qui a formulé la plainte.
La réponse finale indique notamment quelles sont les mesures de redressement qui seront appliquées.
15.
PROJETS DE SYSTÈME D'INFORMATION OU DE PRESTATION ÉLECTRONIQUE DE SERVICES IMPLIQUANT
DES RENSEIGNEMENTS PERSONNELS
La Ville procède à une évaluation des facteurs relatifs à la vie privée pour tout projet d'acquisition, de
développement ou de refonte d'un système d'information ou d'une prestation électronique de services
qui impliquerait la collecte, l'utilisation, la communication, la conservation ou la destruction de
renseignements personnels.
En ce qui concerne l'évaluation des facteurs relatifs à la vie privée, la Ville consulte le comité dès le début
du projet ainsi que les outils mis à disposition par la Commission. L'évaluation doit être proportionnée à
la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur
répartition et à leur support.
16.
UTILISATION DE L'IMAGE, DE LA VIDÉOSURVEILLANCE ET DE L'ENREGISTREMENT
La Ville doit consulter le comité quant aux mesures particulières à respecter en matière de protection
des renseignements personnels relativement à l'utilisation de l'image, à une technologie de
vidéosurveillance ou à un enregistrement.
Dans l'élaboration des mesures en ces matières, le comité évaluera notamment :
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
17
-
La nécessité de recourir à une captation de l'image, à une technologie de vidéosurveillance ou
à un enregistrement ;
-
Les mesures de protection à prendre à l'égard des renseignements personnels recueillis ou
utilisés lors de la captation de l'image, de l'usage d'une technologie de vidéosurveillance ou
d'un enregistrement, que celui-ci soit réalisé par la Ville ou par un tiers qui agit pour son
compte ;
-
La conformité des règles entourant la captation de l'image ou de l'utilisation de ces
technologies au droit au respect de la vie privée.
Le tout en concordance avec les règlements et les politiques en vigueur à la Ville.
17.
SONDAGE
La Ville doit consulter le comité sur les mesures particulières à respecter en matière de protection des
renseignements personnels relativement au sondage recueillant ou utilisant des renseignements
personnels.
Dans l'élaboration des mesures en cette matière, le comité évaluera notamment :
-
La nécessité de recourir au sondage ;
-
Les mesures de protection à prendre à l'égard des renseignements personnels recueillis ou utilisés lors
d'un sondage, que celui-ci soit réalisé par la Ville ou par un tiers qui agit pour son compte ;
-
L'aspect éthique du sondage compte tenu, notamment de la nature du sondage, des personnes visées,
de la sensibilité des renseignements personnels recueillis et de la finalité de l'utilisation de ceux-ci.
18.
ACTIVITÉS DE FORMATION ET DE SENSIBILISATION À LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS
Le comité met en place des activités de formation et de sensibilisation qu'il offre aux membres du
personnel de la Ville en matière de protection des renseignements personnels. Un programme de
sensibilisation à la protection des renseignements personnels sera offert au personnel.
SECTION IV - MANQUEMENT ET SANCTIONS
19.
MANQUEMENT ET SANCTIONS
Le non-respect de cette politique-cadre peut entraîner des mesures administratives ou disciplinaires
pouvant aller jusqu'au congédiement. La personne qui contrevient aux mesures de redressement
imposées ou qui omet ou néglige d'y participer s'expose également à l'application de sanctions.
Plus précisément, tout utilisateur qui contrevient à cette politique-cadre ainsi qu'aux mesures de
sécurité de l'information et de protection des renseignements personnels qui en découlent ou au cadre
légal sur laquelle elle s'appuie, s'expose à des sanctions selon la nature, la gravité et les conséquences de
la contravention, en vertu de la Loi et des règles disciplinaires internes applicables.
Toute contravention à la politique-cadre, qu'elle soit perpétrée par un fournisseur, un partenaire, un
invité, un consultant ou un organisme externe, est passible des sanctions prévues au contrat le liant à la
Ville ou en vertu des dispositions de la législation et de la règlementation applicable en la matière.
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
18
SECTION V - DIFFUSION ET ENTRÉE EN VIGUEUR
20.
DIFFUSION ET MISE À JOUR DE LA POLITIQUE-CADRE DE GOUVERNANCE
La personne responsable de la protection des renseignements personnels, assistée du comité, s'assure
de la diffusion de la Politique-cadre de gouvernance, et de ses mises à jour, sur le site internet de la Ville.
21.
ENTRÉE EN VIGUEUR ET RÉVISION
La Politique-cadre est approuvée par le comité sur l'accès à l'information et la protection des
renseignements personnels et sera entérinée par le conseil municipal.
Elle entre en vigueur à la date de son adoption par le conseil municipal. Elle demeure en application tant
et aussi longtemps qu'elle n'est pas abrogée, modifiée ou remplacée par une autre politique-cadre de
gouvernance.
Elle est régulièrement évaluée par le comité, notamment en ce qui à trait à la pertinence de ses énoncés
à l'égard des nouveaux enjeux de protection des renseignements personnels.
Pour toute question, commentaire ou plainte sur cette politique ou son application, le citoyen peut
communiquer avec le bureau du greffe.
Responsable de l'accès
Service du greffe
Ville de Mont-Joli
40, avenue de l'Hôtel de Ville
Mont-Joli (Québec)
[email protected]
418-775-7285 poste 2110
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
19
ANNEXE 1- EXEMPLES DE RENSEIGNEMENTS PERSONNELS
La définition d'un renseignement personnel comporte trois éléments cumulatifs prévus par la Loi sur l'accès :
-
Le renseignement doit se trouver dans un document, peu importe sa forme ou son support, qu'il soit
papier, numérique, technologique ou informatique ;
-
Le renseignement doit concerner une personne physique, ce qui exclut donc les renseignements qui
concernent une personne morale (société, compagnie) ; et
-
Le renseignement doit permettre d'identifier la personne physique.
Le nom d'une personne physique n'est pas un renseignement personnel en soi, s'il n'est pas associé à un autre
renseignement personnel ou s'il ne révèle pas un renseignement personnel sur cette personne.
Voici quelques exemples où le nom d'une personne physique constitue un renseignement personnel :
-
Le nom d'une personne plaignante, puisque cela révèle que cette personne a déposé une plainte ;
-
Le nom d'un citoyen sur un fichier d'un service de la Ville révèle que cette personne a une condition
particulière (physique, financière ou autres) ;
-
Le nom des personnes qui sont membres d'un comité de sélection révèle leur implication en matière
de recrutement ;
De plus, la signature d'une personne sur un document ne fait pas en sorte que les autres éléments y
apparaissant sont nécessairement considérés comme des renseignements personnels. Il faut plutôt analyser le
contenu du document signé pour déterminer s'il comporte des renseignements personnels.
Voici quelques exemples de renseignements personnels que peut déternir la Ville :
-
L'adresse postale, le numéro de téléphone, l'adresse électronique
-
L'identité de la conjointe ou du conjoint
-
Le numéro d'employé
-
Le numéro d'assurance sociale
-
Le curriculum vitae
-
Les données de nature financière
-
Les conditions médicales et limitations
-
Les mesures disciplinaires
-
Le choix de cours et d'activités
-
Les diplômes
Politique-cadre sur la gouvernance en matière d'accès à l'information,
la confidentialité et la protection des renseignements personnels
20
ANNEXE 2 - MODÈLE DE FORMULAIRE DE CONSENTEMENT
FORMULAIRE DE CONSENTEMENT RELATIF À LA COMMUNICATION DE RENSEIGNEMENTS PERSONNELS
Dans le cadre _____________________(inscrire l'activité) à la Ville, j'ai divulgué différents renseignements
personnels nécessaires au traitement de cette demande.
Je comprends que, conformément à la Loi sur l'accès aux documents des organismes publics et sur la
protection des renseignements personnels, la Ville requiert mon autorisation quant à la transmission de
renseignements personnels me concernant et qui sont requis afin de _______________________ (indiquer
la fin spécifique).
Pour cette fin spécifique, j'autorise la Ville à communiquer les renseignements personnels suivants me
concernant : (indiquer de manière précise quels renseignements sont visés) à (indiquer de manière précise
les personnes ou les entreprises à qui la transmission sera faite), et ce, de manière écrite.
Ce consentement est valide ___________________(indiquer la durée de validité du consentement).
Je comprends que ce consentement peut être modifié ou révoqué en tout temps. Pour ce faire, j'aurai à en
informer la greffière, responsable de la protection des renseignements personnels à la Ville de Mont-Joli.
___________________________
_________________________
________________
Signature
Nom en lettres moulées
Date