Politique cadre de gouvernance concernant la protection des renseignements personnels
Mont-Laurier, Quebec
This is the exact embedded text of the captured official document.
Snapshot 346342114f55 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Ville de Mont-Laurier
Responsable de la politique : Responsable
de
la
protection
des
renseignements
personnels
Émis par : Direction du Greffe et des affaires
juridiques
Politique numéro : GRE-04
Entrée en vigueur : 23 juin 2025
Sommaire
1)
Objet et portée de la Politique ................................................................................... 5
2)
Documents de référence ........................................................................................... 5
2.1
Législation pertinente ................................................................................................... 5
2.1
Autres documents ........................................................................................................ 6
3)
Définitions ................................................................................................................. 7
4)
Principes généraux ................................................................................................... 9
4.1
Traitement des renseignements personnels .................................................................10
4.1.1
Consentement ............................................................................................................10
4.1.2
Collecte ......................................................................................................................11
4.1.3
Utilisation ...................................................................................................................11
4.1.4
Communication ..........................................................................................................12
4.1.5
Conservation ..............................................................................................................13
4.1.6
Exactitude et rectification ............................................................................................13
4.1.7
Anonymisation et dépersonnalisation ..........................................................................13
4.1.8
Sécurité et confidentialité ............................................................................................14
4.2
Évaluation des facteurs relatifs à la vie privée ...............................................................14
4.3
Incident de confidentialité ...........................................................................................15
4.4
Réalisation de sondages ..............................................................................................16
4.5
Transparence ..............................................................................................................16
4.6
Plainte ........................................................................................................................16
4.7
Formation ...................................................................................................................17
5)
Droits des personnes concernées ........................................................................... 17
6)
Responsable de la protection des renseignements personnels .............................. 18
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
2
Ville de Mont-Laurier - villemontlaurier.qc.ca
7)
Organisation de la gouvernance et des responsabilités .......................................... 18
7.1
Le Conseil municipal ........................................................................................... 18
7.2
Le Comité sur l'accès à l'information et la protection des renseignements
personnels (AIPRP) ....................................................................................................... 19
7.3
Le Responsable de la protection des renseignements personnels (RPRP) ......................20
7.4
Le personnel de l'Organisme municipal .............................................................. 21
8)
Sanctions ................................................................................................................ 22
9)
Mise à jour .............................................................................................................. 22
10)
Entrée en vigueur ................................................................................................ 22
Annexe « I » ................................................................................................................... 23
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
3
Ville de Mont-Laurier - villemontlaurier.qc.ca
GUIDE
D'APPLICATION
CONCERNANT
LES
RÈGLES
ENCADRANT
LA
GOUVERNANCE À L'ÉGARD DES RENSEIGNEMENTS PERSONNELS publié par le
Gouvernement du Québec, Direction de l'accès à l'information et de la protection des
renseignements personnels en collaboration avec la Direction des communications
énonce à cet effet :
Politique en matière de protection des renseignements personnels
La politique en matière de protection des renseignements personnels est un document
important pour un organisme public. Elle permet de décrire les engagements de l'organisme
public en cette matière. De cette politique découleront normalement d'autres documents
(ex. : directives, guides, etc.) qui permettront de mieux définir les règles et les processus à
respecter par les membres du personnel de l'organisme public. Cette politique devrait
notamment préciser :
-
les objectifs et les orientations stratégiques de l'organisme public en lien avec sa
mission et la protection des renseignements personnels ;
-
les principes directeurs en lien avec le cycle de vie des renseignements personnels
sur lesquels devront s'appuyer tous les documents qui découleront de la politique ;
-
les principaux rôles et responsabilités (qui pourront être détaillés davantage dans les
documents qui découleront de la politique)
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
4
Ville de Mont-Laurier - villemontlaurier.qc.ca
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
5
Ville de Mont-Laurier - villemontlaurier.qc.ca
1) Objet et portée de la Politique
La Ville de Mont-Laurier (l'« Organisme municipal ») accorde une grande importance à
l'intégrité et à la protection des Renseignements personnels qu'elle traite dans le cadre de
ses activités et de ses missions.
Dans le but de mener à bien ces dernières, l'Organisme municipal s'est engagé à respecter
la vie privée des Personnes concernées conformément aux lois, règlements et normes
applicables au Québec en matière de respect de la vie privée et de protection des
Renseignements personnels au cours de leur cycle de vie. C'est pourquoi l'Organisme
municipal a mis en place un programme de gouvernance qui prévoit notamment l'adoption
d'une série de politiques et de procédures visant à assurer la confidentialité des
Renseignements personnels et le respect de la vie privée des Personnes concernées.
Le présent cadre de gouvernance concernant la protection des renseignements personnels
(la « Politique ») a pour objectif :
- D'énoncer les principes généraux auxquels l'Organisme municipal adhère ainsi que
les pratiques qu'elle met en œuvre pour assurer la protection des Renseignements
personnels et des droits des Personnes concernées durant le cycle de vie desdits
Renseignements personnels;
- D'établir les rôles et les responsabilités de l'Organisme municipal en matière de
protection des Renseignements personnels;
- De mettre en place un processus de traitement des plaintes relatives à la protection
des Renseignements personnels;
- De mettre en place des mesures de protection à prendre à l'égard des
Renseignements personnels recueillis ou utilisés dans le cadre d'un sondage;
- De décrire les activités de formation et de sensibilisation que l'Organisme municipal
offre à son personnel en matière de protection des Renseignements personnels.
La présente Politique s'applique à tous ses employés, comités, fournisseurs de services,
partenaires et autres cocontractants qui traitent des Renseignements personnels dans
l'exercice de leur fonction pour le compte de l'Organisme municipal ou/et dans le cadre de
leur relation avec l'Organisme municipal.
2) Documents de référence
2.1 Législation pertinente
- Loi sur l'accès aux documents des organismes publics et sur la protection
des renseignements personnels, c. A-2.1 telle qu'amendée par la Loi
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
6
Ville de Mont-Laurier - villemontlaurier.qc.ca
modernisant des dispositions législatives en matière de protection des
renseignements personnels, SQ 2021, c 25 (la « Loi 25 ») (soit la « Loi sur
le secteur public »);
- Loi concernant le cadre juridique des technologies de l'information, C 1.1;
- Règlement sur les incidents de confidentialité, C A-2.1, r. 3.1;
- Règlement sur les politiques de confidentialité des organismes publics
recueillant
des
renseignements
personnels
par
des
moyens
technologiques;
- Règlement sur la diffusion de l'information et sur la protection des
renseignements personnels, A-2.1, r. 2;
- Charte des droits et libertés de la personne, RLRQ c C-12;
- Code civil du Québec, RLRQ c CCQ-1991.
(Collectivement, les « Lois applicables sur la protection de la vie privée »)
2.2 Autres documents
- Politique de protection des renseignements personnels des employés;
- Politique de confidentialité (et les cookies);
- Politique de gestion et de notification en cas d'incident de confidentialité;
- Politique sur la sécurité de l'information;
- Procédure d'anonymisation et de dépersonnalisation;
- Procédure de transfert transfrontalier des renseignements personnels;
- Procédure concernant l'évaluation des facteurs relatifs à la vie privée;
- Procédure de demande d'accès, de rectification et de traitement des
plaintes;
- Procédure d'utilisation et de communication de renseignements
personnels dans le cadre d'études de recherches et de production
statistiques;
- Procédure concernant les sondages;
- Lignes directrices pour répertorier les activités de traitement des
données;
- Formulaire de consentement de la personne concernée;
- Formulaire de retrait du consentement de la personne concernée;
- Formulaire de consentement parental;
- Formulaire de retrait du consentement parental;
- Lignes directrices dans le cadre des évaluations des facteurs relatifs à
la vie privée;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
7
Ville de Mont-Laurier - villemontlaurier.qc.ca
- Gabarit d'évaluation des facteurs relatifs à la vie privée;
- Questionnaire de conformité des fournisseurs avec les lois québécoises
sur la protection de la vie privée;
- Entente sur la sécurité de l'information concernant le traitement des
renseignements personnels par un fournisseur de services.
3) Définitions
Les mots et expressions qui suivent sont tirés des Lois applicables sur la protection de la
vie privée et ont été uniformisés pour leur application dans la juridiction de la province de
Québec. Lorsqu'ils apparaissent avec une première lettre en majuscule dans la Politique,
ils ont le sens qui leur est attribué ci-après, à moins d'une dérogation implicite ou explicite
dans le texte :
Activité de traitement ou Traitement : désigne toute opération ou ensemble d'opérations
effectuées sur des renseignements personnels ou des ensembles de renseignements
personnels, que ce soit ou non par des moyens automatisés, telles que la collecte,
l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute
autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement
ou la destruction.
Anonymiser : signifie tout moyen permettant de faire en sorte qu'un renseignement
concernant un individu ne permette plus, de façon irréversible, d'identifier directement ou
indirectement cette personne, le tout selon les meilleures pratiques généralement
reconnues.
Comité : désigne le Comité sur l'accès à l'information et la protection des Renseignements
personnels.
Évaluation des facteurs relatifs à la vie privée ou ÉFVP : désigne le processus conçu
pour décrire les activités de traitement, évaluer la nécessité et la proportionnalité d'un
traitement et aider à gérer les risques pour les droits et libertés des personnes physiques
résultant du traitement de Renseignements personnels.
Incident de confidentialité : désigne tout accès non autorisé par la loi à un renseignement
personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre
forme d'atteinte à sa protection ou à son caractère confidentiel.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
8
Ville de Mont-Laurier - villemontlaurier.qc.ca
Personne autorisée : membre du personnel de l'Organisme municipal autorisé à accéder
en tout ou en partie aux renseignements personnels nécessaires à l'exercice de ses
fonctions.
Personne concernée : personne physique qu'un renseignement personnel permet
d'identifier.
Fichier témoin (« cookie ») : fichier créé dans l'ordinateur de l'internaute par le navigateur
et rassemblant les témoins persistants issus de la visite de sites Web.
Nom de domaine : Partie d'un nom Internet qui identifie spécifiquement le site Internet
d'une organisation donnée.
Profilage : s'entend de la collecte et de l'utilisation des renseignements personnels afin
d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins
d'analyse du rendement au travail, de la situation économique, de la santé, des préférences
personnelles, des intérêts ou du comportement de cette personne.
Renseignements personnels : désigne toutes informations relatives à une personne
physique (« personne concernée ») et permettent de l'identifier, c'est-à-dire qui révèlent
de manière directe ou indirecte ou par référence, quelque chose sur l'identité, les
caractéristiques, les activités, l'emplacement ou d'autres informations identifiables (ex. :
habiletés, préférences, tendances psychologiques, prédispositions, capacités mentales,
caractère et comportement, situation économique culturelle ou sociale) de cette personne,
et ce, quelle que soit la nature du support et quelle que soit la forme sous laquelle ces
renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre)
et inclus dans tous les cas, un Renseignement personnel sensible.
À titre d'exemples, sont considérés comme des Renseignements personnels :
- Le nom, prénom et pseudonyme d'une personne;
- L'âge;
- L'origine ethnique;
- L'adresse civique;
- Le numéro de téléphone;
- L'adresse courriel et les messages;
- L'adresse IP et les données de géolocalisation;
- Le niveau d'éducation;
- Les informations sur la vie personnelle;
- L'état matrimonial;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
9
Ville de Mont-Laurier - villemontlaurier.qc.ca
- Les renseignements relatifs à un travail et aux antécédents professionnels, incluant
les renseignements traduisant l'appréciation du travail par des supérieurs ou
collègues de travail;
- Le contenu des recherches effectuées en ligne et les préférences d'utilisateur;
- Les données biométriques;
- Les informations bancaires et financières, incluant les relevés fiscaux, les numéros
de carte de crédit et de débit;
- Le dossier médical, le numéro d'assurance maladie et les informations sur l'état de
santé (ex. : notes, évaluations cliniques et diagnostics);
- Les relevés de compte de téléphone cellulaire utilisé ou non pour le travail;
- Le numéro d'assurance sociale (NAS), le numéro de permis de conduire, le numéro
de passeport ou d'autres identifiants similaires.
Renseignement personnel anonymisé : un Renseignement personnel est considéré
comme anonymisé lorsque les données d'identifications sont retirées et détruites de sorte
qu'il n'est donc pas possible d'établir un lien entre l'individu et les renseignements
personnels le concernant.
Renseignement personnel dépersonnalisé : un Renseignement personnel est considéré
comme dépersonnalisé lorsque ce renseignement ne permet plus d'identifier directement la
personne concernée.
Renseignement personnel sensible : un Renseignement personnel est considéré comme
sensible lorsque, par sa nature notamment médicale, biométrique ou autrement intime, ou
en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré
d'attente raisonnable en matière de respect de la vie privée. Il peut s'agir, par exemple, de
renseignements médicaux, biométriques, génétiques ou financiers, ou encore de
renseignements sur la vie ou l'orientation sexuelle, les convictions religieuses ou
philosophiques, l'appartenance syndicale ou bien l'origine ethnique.
Responsable de la protection des renseignements personnels : désigne la personne
physique qui veille à assurer le respect et la mise en œuvre des Lois applicables sur la
protection de la vie privée au sein de l'Organisme municipal.
4) Principes généraux
Les Lois applicables sur la protection de la vie privée ainsi que certains contrats par lesquels
elle est liée obligent l'Organisme municipal à se conformer aux principes généraux suivants :
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
10
Ville de Mont-Laurier - villemontlaurier.qc.ca
4.1 Traitement des renseignements personnels
L'Organisme municipal assure la protection des Renseignements personnels
qu'elle détient directement ou qui sont traités pour son compte par tous
fournisseurs de services, tous partenaires et autres contractants tout au long de
leur cycle de vie dans le respect des principes suivants, sous réserve des
exceptions légales. L'Organisme municipal veille à ce que les Renseignements
personnels soient traités par des moyens équitables et légaux tout au long de leur
cycle de vie.
4.1.1
Consentement
L'Organisme municipal obtient de la Personne concernée un consentement
valable, c'est-à-dire manifeste, libre, et éclairé qui est donné à des fins spécifiques
avant de recueillir, d'utiliser ou de communiquer des Renseignements personnels,
sous réserve des exceptions prévues par la loi. Il doit être demandé pour chacune
de ces fins en termes simples et clairs, distinctement de toute autre information
communiquée à la Personne concernée. Ce consentement doit être manifesté de
façon expresse dès qu'il s'agit d'un Renseignement personnel sensible.
L'Organisme municipal obtient de la Personne concernée un consentement
supplémentaire pour utiliser les Renseignements personnels collectés à une fin
secondaire ou autre, sauf exception. Le consentement ne vaut que pour la durée
nécessaire à la réalisation des fins pour lesquelles il a été demandé.
Le consentement du mineur de moins de 14 ans est donné par le titulaire de
l'autorité parentale ou par le tuteur. Le consentement du mineur de 14 ans et plus
est donné par le mineur, par le titulaire de l'autorité parentale ou par le tuteur. Les
renseignements personnels concernant un mineur de moins de 14 ans ne peuvent
être recueillis auprès de celui-ci sans le consentement du titulaire de l'autorité
parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice
de ce mineur.
En matière de consentement, l'Organisme municipal devra encadrer l'utilisation et
la communication des renseignements personnels avec le consentement de la
personne concernée, tel qu'il appert des lignes directrices émises par la
Commission d'accès à l'information. L'infographie en Annexe A offre un aperçu de
certains concepts relatifs au consentement.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
11
Ville de Mont-Laurier - villemontlaurier.qc.ca
4.1.2
Collecte
L'Organisme municipal ne collecte que les Renseignements personnels qui sont
nécessaires à la réalisation de ses missions et de ses activités. La collecte doit se
faire auprès de la Personne concernée, sous réserve des exceptions prévues par
les Lois applicables sur la protection de la vie privée.
Les Renseignements personnels doivent être recueillis et utilisés à des fins
spécifiques, explicites et légitimes, c'est-à-dire directement liées et manifestement
nécessaires à la réalisation des finalités pour lesquelles ils ont été recueillis. Ces
fins doivent être établies avant la collecte et l'utilisation des Renseignements
personnels.
L'Organisme municipal fait preuve d'honnêteté et de transparence en informant
les Personnes concernées, avant de collecter leurs Renseignements personnels
(i) des raisons pour lesquelles l'Organisme municipal ou les fournisseurs de
services, les partenaires et autres contractants agissant pour son compte les
recueillent et (ii) de leurs droits quant à leurs Renseignements personnels.
Si des Renseignements personnels sont recueillis auprès de tiers, l'Organisme
municipal s'assure que la collecte est autorisée par la loi et qu'elle respecte ses
politiques et ses pratiques à ce sujet.
4.1.3
Utilisation
L'Organisme municipal utilise les Renseignements personnels qu'elle détient
uniquement pour les finalités légitimes et légales pour lesquelles ils ont été
collectés. En cas d'utilisation ultérieure de ces Renseignements personnels pour
des finalités légitimes différentes que celles pour lesquelles ils ont été collectés,
l'Organisme municipal s'assure d'obtenir le consentement de la Personne
concernée avant de procéder à l'utilisation de ces Renseignements personnels.
L'Organisme municipal réalise une évaluation des facteurs relatifs à la vie privée
chaque fois qu'elle effectue des Activités de traitement qui présentent des risques
pour les droits et les libertés des Personnes concernées ou dans les cas prévus
par la loi.
L'Organisme municipal établit et maintient à jour un inventaire de ses fichiers de
Renseignements personnels et un registre des Activités de traitement qu'elle
effectue.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
12
Ville de Mont-Laurier - villemontlaurier.qc.ca
L'Organisme municipal contrôle les droits d'accès de ses salariés et de ses
prestataires afin que l'accès aux Renseignements personnels qu'elle détient ne
soit accordé qu'aux salariés et aux prestataires ayant besoin d'y accéder dans le
cadre de leurs fonctions en lien avec les missions de l'Organisme municipal. Les
salariés et les prestataires qui effectuent des Activités de traitement des
Renseignements personnels détenus par l'Organisme municipal sont tous soumis
à une obligation de confidentialité et respect de ses politiques et de ses procédures
en matière de protection des Renseignements personnels et de respect de la vie
privée.
4.1.4
Communication
Les Renseignements personnels collectés par l'Organisme municipal sont
confidentiels et ne sont pas communiqués à un tiers sans le consentement
préalable de la personne concernée, sauf exception légale, notamment les
dispositions de l'article 19 de la Loi sur les archives.
Avant de transférer des Renseignements personnels sans le consentement des
Personnes concernées dans les cas prévus par la loi, l'Organisme municipal
procède à une évaluation des facteurs relatifs à la vie privée afin de prévenir et de
mitiger les risques pour les droits et libertés des personnes physiques résultant de
la communication des Renseignements personnels.
Toute communication des Renseignements personnels de l'Organisme municipal
vers des tiers est consignée au registre des Activités de traitement ou de
communication des Renseignements personnels.
Lorsqu'elle transfert les Renseignements personnels hors du Québec, l'Organisme
municipal s'assure que le fournisseur de services ou le prestataire de services et
le pays de destination où ils sont transférés offrent les garanties adéquates en
matière
des
principes
de
protection des
Renseignements
personnels
généralement reconnus.
Lorsqu'elle partage des Renseignements personnels à des tiers, l'Organisme
municipal conclut des accords écrits qui imposent aux tiers de respecter les
obligations légales en matière de confidentialité, de sécurité et de protection des
Renseignements personnels et de respect de la vie privée.
Lorsque l'Organisme municipal se voit communiquer des renseignements
personnels par un organisme désigné comme source officielle de données
numériques gouvernementales ou par un autre organisme public visé par un
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
13
Ville de Mont-Laurier - villemontlaurier.qc.ca
décret pris en application de l'article 12.14 de la Loi sur la gouvernance, dans le
cadre d'un mandat ou d'un contrat qui est lié à l'accomplissement de l'une des fins
administratives ou de services publics précisée dans un tel décret et qui est confié
conformément à l'article 67.2 de la Loi sur l'accès (chapitre A-2.1), elle doit se
soumettre à un audit externe visant le respect des plus hautes normes et des
meilleures pratiques en matière de sécurité de l'information et de protection des
renseignements personnels.
4.1.5
Conservation
L'Organisme municipal ne conserve les Renseignements personnels qu'elle
collecte que pour la durée nécessaire à la réalisation des fins pour lesquelles ils
ont été recueillis, sous réserve de délais prévus à son calendrier de conservation
et en conformité avec les lois et règlements applicables en matière de protection
des Renseignements personnels et de respect de la vie privée et de la Loi sur les
archives.
4.1.6
Exactitude et rectification
L'Organisme municipal veille à ce que les Renseignements personnels qu'elle
détient soient à jour et exacts au moment où elle les utilise pour prendre une
décision relative à la personne concernée conformément aux finalités pour
lesquelles ils sont collectés et utilisés.
Cette obligation vise à sauvegarder l'intégrité de l'information, tant dans son fond
que sa forme, et à s'assurer que la personne concernée ne subit pas un préjudice
basé sur un renseignement qui est inexact ou désuet à son égard. Des mesures
raisonnables doivent être prises pour que les Renseignements personnels soient
effacés ou rectifiés en temps opportun. Le droit de rectification des documents
inactifs concernant une personne décédée ne s'exerce qu'en conformité avec les
dispositions de la Loi sur les archives.
4.1.7
Anonymisation et dépersonnalisation
Lorsque ces fins pour lesquelles les Renseignements personnels ont été collectés
et ont été accomplies, l'Organisme municipal les détruit, anonymise ou les
dépersonnalise, selon les meilleures pratiques généralement reconnues, sous
réserve des modalités et critères déterminés par voie réglementaire et des lois
applicables.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
14
Ville de Mont-Laurier - villemontlaurier.qc.ca
4.1.8
Sécurité et confidentialité
L'Organisme municipal met en place des mesures de sécurité raisonnables
conformément aux standards généralement reconnus pour assurer la protection
des Renseignements personnels qu'elle détient, utilise, communique, conserve ou
détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation,
traitement, modification ou destruction non autorisé ou abusif.
Ces mesures de sécurité tiennent compte notamment du degré de sensibilité des
Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité,
de leur répartition, de leur méthode de conservation, de leur support et de leur
format ainsi que des risques liés au respect de la vie privée.
4.2 Évaluation des facteurs relatifs à la vie privée
L'Organisme municipal procède à une évaluation des facteurs relatifs à la vie
privée chaque fois qu'une Activité de traitement présente des risques de porter
atteinte à la vie privée des Personnes concernées afin de les mitiger et de protéger
leurs droits et libertés. Elle doit obligatoirement procéder à une évaluation des
facteurs relatifs à la vie privée dans les cas suivants :
(i)
Avant tout projet d'acquisition, de développement et de refonte d'un
système d'information ou de prestation électronique de services impliquant
la collecte, l'utilisation, la communication, la conservation ou la destruction
de Renseignements personnels à la suite d'une consultation réalisée
conformément à l'article 63.5 de la Loi sur le secteur public;
(ii)
Avant de communiquer des Renseignements personnels sans le
consentement des Personnes concernées à des fins d'étude, de recherche
ou de production de statistiques;
(iii)
Avant de communiquer des Renseignement personnels hors du Québec;
(iv)
Avant de communiquer à un organisme public ou à un organisme d'un autre
gouvernement des Renseignements personnels sans le consentement des
Personnes concernées dans les cas prévus à l'article 68 de la Loi sur le
secteur public lorsque :
a)
Cette communication est nécessaire à l'exercice des attributions de
l'organisme receveur ou à la mise en œuvre d'un programme dont cet
organisme a la gestion;
b)
Cette communication est manifestement au bénéfice de la personne
concernée;
c)
Des circonstances exceptionnelles le justifient;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
15
Ville de Mont-Laurier - villemontlaurier.qc.ca
d)
Si cette communication est nécessaire dans le cadre de la prestation
d'un service à rendre à la personne concernée par un organisme
public, notamment aux fins de l'identification de cette personne;
(i)
Avant de collecter des Renseignements personnels nécessaires à
l'exercice des attributions ou la mise en œuvre d'un programme d'un autre
organisme public avec lequel il collabore pour une prestation de services
ou la réalisation d'une mission commune;
(ii)
L'organisme public désigné comme source officielle de données
numériques gouvernementales doit, avant de recueillir, d'utiliser ou de
communiquer des renseignements personnels dans l'exercice de sa
fonction :
a)
Procéder à une évaluation des facteurs relatifs à la vie privée et la
transmettre à la Commission d'accès à l'information;
b)
Établir des règles encadrant sa gouvernance à l'égard de
renseignements personnels et les faire approuver par la Commission.
Ces règles doivent prévoir l'encadrement applicable à la conservation et à la
destruction des Renseignements personnels concernés, les rôles et les
responsabilités des membres du personnel de l'organisme public à l'égard de ces
renseignements tout au long de leur cycle de vie et un processus de traitement
des plaintes relatives à leur protection. Elles doivent être à nouveau soumises pour
approbation à la Commission d'Accès à l'Information tous les 2 ans.
Les évaluations des facteurs relatifs à la vie privée sont réalisées suivant la
Procédure concernant l'évaluation des facteurs relatifs à la vie privée et les
ententes préalables de la Société, découlant de standards et pratiques
généralement reconnus. Leur réalisation sert à démontrer que la Société a
respecté toutes les obligations en matière de protection des renseignements
personnels et que toutes les mesures ont été prises afin de protéger efficacement
ces renseignements.
L'Organisme municipal peut aussi procéder à une évaluation des facteurs relatifs
à la vie privée chaque fois qu'une Activité de traitement présente des risques de
porter atteinte à la vie privée des Personnes concernées afin de les mitiger et de
protéger leurs droits et libertés.
4.3 Incident de confidentialité
L'Organisme municipal gère tout incident de confidentialité conformément à la
Procédure de gestion des incidents de confidentialité impliquant des
renseignements personnels de l'Organisme municipal, afin de prendre des
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
16
Ville de Mont-Laurier - villemontlaurier.qc.ca
mesures raisonnables pour diminuer les risques qu'un préjudice soit causé aux
Personnes concernées et éviter que de nouveaux incidents de même nature ne
se produisent.
Tout incident de confidentialité est signalé au Responsable de la protection des
renseignements personnels et au Responsable de la sécurité de l'information et est
consigné au Registre des incidents de confidentialité de l'Organisme municipal. Si
l'incident présente un risque de préjudice sérieux pour les Personnes concernées,
l'Organisme municipal avise celles-ci et la Commission d'accès à l'information.
4.4 Réalisation de sondages
L'Organisme municipal prend les mesures nécessaires de protection des
Renseignements personnels collectés avant de recourir à la réalisation d'un
sondage. Elle évalue la nécessité de recourir au sondage et procède à une
évaluation des facteurs relatifs à la vie privée avant tout lancement de celui-ci.
4.5 Transparence
L'Organisme municipal informe ses clients et ses employés des politiques et des
pratiques de gestion des Renseignements personnels qu'elle met en œuvre dans
le cadre de ses activités et opérations. Ces politiques et pratiques sont rédigées
en termes simples et clairs et faciles d'accès.
Notamment, afin de rejoindre les exigences de l'article 63.4 de la Loi sur l'accès,
les organismes publics, incluant l'Organisme municipal à cet effet, qui recueillent
par un moyen technologique des renseignements personnels, doivent publier sur
leur site Internet et diffuser par tout moyen propre à atteindre les Personnes
concernées une Politique de confidentialité rédigée en termes simples et clairs. Il
fait de même pour l'avis dont toute modification à cette politique doit faire l'objet.
4.6 Plainte
L'Organisme municipal traite avec diligence toute plainte en lien avec les
demandes d'accès et de rectification ainsi que la protection des Renseignements
personnels et la violation du respect de la vie privée qu'elle reçoit de toute
personne concernée conformément à sa « Procédure de demande d'accès, de
rectification et de traitement des plaintes concernant les Renseignements
personnels ».
L'Organisme municipal veille à donner une réponse aux demandes reçues et, en
cas de refus, à motiver ladite réponse en indiquant la disposition de la Loi sur le
secteur public et informer le requérant de ses droits de recours en révision et des
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
17
Ville de Mont-Laurier - villemontlaurier.qc.ca
délais pour l'exercer. Elle prête assistance au requérant qui le demande pour
l'aider à comprendre la décision de refus de l'Organisme municipal.
4.7 Formation
L'Organisme municipal met en place un programme de formation et de
sensibilisation de son personnel en matière de protection des Renseignements
personnels au cours de leur cycle de vie. Ces formations prennent différentes
formes, telles que des formations obligatoires à l'embauche sur la protection des
renseignements personnels et la procédure d'incidents de confidentialité, ainsi que
des présentations, politiques, procédures et directives écrites.
5) Droits des personnes concernées
Toute personne dont l'Organisme municipal collecte, détient et utilise des Renseignements
personnels dispose des droits suivants :
(i)
Demander que les Renseignements personnels recueillis à son sujet soient
communiqués ou transférés à une autre organisation qu'elle désigne dans un format
technologique et couramment utilisé;
(ii)
Être informée des Renseignements personnels que l'Organisme municipal détient à
son sujet, de leur utilisation, communication, conservation et de leur destruction, sous
réserve des exceptions prévues par la loi applicable;
(iii)
Pouvoir accéder aux Renseignements personnels que l'Organisme municipal détient
à son sujet et obtenir une copie de ceux-ci sous des formats accessibles, sous
réserve des exceptions prévues par la loi applicable;
(iv) Pouvoir rectifier et mettre à jour les Renseignements personnels que l'Organisme
municipal détient à son sujet lorsqu'ils sont incomplets, inexacts ou périmés;
(v)
Demander que les Renseignements personnels recueillis par l'Organisme municipal
à son sujet soient communiqués ou transférés à une autre organisation qu'elle
désigne dans un format technologique et couramment utilisé;
(vi) Pouvoir retirer ou modifier son consentement à ce que l'Organisme municipal
recueille, utilise, communique ou conserve ses Renseignements personnels en tout
temps, sous réserve des restrictions légales et contractuelles applicables;
(vii) Être informée d'un incident de confidentialité concernant ses Renseignements
personnels pouvant lui causer un préjudice sérieux;
(viii) Demander de cesser de diffuser ses Renseignements personnels et de désindexer
tout lien rattaché à son nom qui donne accès à ces renseignements en cas de
diffusion qui contrevient à la loi ou à une ordonnance judiciaire;
(ix) Porter plainte relativement au Traitement de ses Renseignements personnels par
l'Organisme municipal;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
18
Ville de Mont-Laurier - villemontlaurier.qc.ca
(x)
Demander que l'Organisme municipal cesse de diffuser les Renseignements
personnels qu'il a recueillis à son sujet et qu'elle désindexe tout hyperlien rattaché à
son nom qui donne accès à ces Renseignements personnels si cette diffusion
contrevient à la loi ou à une ordonnance judiciaire.
6) Responsable de la protection des renseignements personnels
Conformément à l'article 8 de la Loi sur l'accès, la direction principale, à titre de la plus haute
autorité au sein de l'Organisme municipal, délègue l'exercice de toutes ses fonctions de
Responsable de la protection des renseignements personnels au greffier occupant le poste
de Responsable de la protection des renseignements personnels dont les coordonnées sont
disponibles dans la Politique de confidentialité de l'Organisme municipal publiée sur son site
web.
7) Organisation de la gouvernance et des responsabilités
La protection des Renseignements personnels que l'Organisme municipal détient repose
sur l'engagement de tous ceux qui traitent ces renseignements et plus particulièrement :
7.1 Le Conseil municipal
La Comité exécutif de l'Organisme municipal est responsable de la protection des
Renseignements personnels qu'il détient, utilise, traite, communique, conserve ou
détruit. Il doit entrer autres :
(i)
Adopter toutes politiques énonçant les règles de gouvernance à l'égard des
renseignements personnels;
(ii)
Recevoir une reddition de compte annuelle concernant l'accès à
l'information et la protection des Renseignements personnels par le Comité;
(iii) Désigner le Responsable de la protection des renseignements personnels,
soit la personne chargée d'assurer le respect et la mise en œuvre des Lois
applicables sur la protection de la vie privée au sein de l'Organisme
municipal et aviser la Commission d'accès à l'information;
(iv) Déterminer le rôle et les responsabilités des membres du personnel tout au
long du cycle de vie des renseignements personnels;
(v)
Mettre en place un Comité d'accès à l'information et de la protection des
renseignements personnels au sein de l'organisme public;
(vi) Établir et mettre en œuvre des politiques et des pratiques encadrant sa
gouvernance des Renseignements personnels;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
19
Ville de Mont-Laurier - villemontlaurier.qc.ca
(vii) Mettre en place ou revoir les mesures et procédures nécessaires pour la
mise en conformité des modèles de consentement;
(viii) Veiller à faciliter l'exercice de la fonction de Responsable de la protection
des renseignements personnels;
(ix) Aviser la Commission d'accès à l'information du titre, des coordonnées et
de la date d'entrée en fonction de la personne qui exerce la fonction de
Responsable de la protection des renseignements personnels;
(x)
Aviser la Commission d'accès à l'information en cas de survenance d'un
incident de confidentialité impliquant un renseignement personnel que
l'Organisme municipal détient, si l'incident présente le risque qu'un
préjudice sérieux soit causé à une personne concernée;
(xi) Publier sur son site internet, son Programme de gouvernance de
l'information relatant les politiques et pratiques en vigueur.
7.2 Le Comité sur l'accès à l'information et la protection des renseignements
personnels (AIPRP)
Le Comité AIPRP exerce les fonctions et assume les responsabilités suivantes :
(i)
Approuver les règles de gouvernance de l'Organisme municipal à l'égard
des Renseignements personnels;
(ii)
Recommander pour adoption au Conseil municipal toute politique
encadrant la gouvernance des Renseignements personnels;
(iii)
Définir et approuver les orientations de l'Organisme municipal en matière
de protection des Renseignements personnels;
(iv)
Soutenir l'Organisme municipal dans l'exercice de ses responsabilités et
dans l'exécution de ses obligations;
(v)
Réaliser les évaluations des facteurs relatifs à la vie privée dans les cas
requis par la loi et les règlements et chaque fois que cela est nécessaire
pour la protection des renseignements personnels et la vie privée,
conformément à la Procédure d'évaluation des facteurs relatifs à la vie
privée;
(vi)
Être consulté préalablement, rendre un avis et suggérer des mesures de
protection sur tout projet d'acquisition, de développement et de refonte de
système d'information ou de prestation électronique de services impliquant
la collecte, l'utilisation, la communication, la conservation ou la destruction
de
Renseignements
personnels,
incluant
la
vidéosurveillance
et
l'instauration d'une nouvelle technologie;
(vii)
Mettre en place ou revoir les mesures prises pour la conformité des
modèles de consentement;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
20
Ville de Mont-Laurier - villemontlaurier.qc.ca
(viii)
Planifier et assurer la réalisation des activités de formation et de
sensibilisation;
(ix)
Promouvoir les orientations, les directives et les décisions formulées par la
Commission d'accès à l'information;
(x)
Évaluer annuellement le niveau de protection des Renseignements
personnels;
(xi)
Se tenir à la disposition de la Commission d'accès à l'information et, le cas
échéant, toute personne concernée en cas d'Incident de confidentialité où
le risque qu'un préjudice sérieux soit causé;
(xii)
Approuver toute déclaration publique touchant à la protection des
Renseignements personnels jointe à des communications telles que des
courriels, des lettres et des avis publics;
(xiii)
Répondre à toute demande de renseignements sur la protection des
Renseignements personnels provenant de journalistes ou d'organes de
presse;
(xiv)
Si nécessaire, travailler avec le Responsable de la protection des
renseignements personnels pour s'assurer que les initiatives de publicité ou
de
communications
respectent
les
principes
de
protection
des
Renseignements personnels;
(xv)
Répondre aux demandes d'accès et de rectification ou de plainte qui lui sont
transmises;
(xvi)
Poser tout acte requis conformément à la Procédure de gestion des
incidents de confidentialité, en cas d'incident de confidentialité;
(xvii) Recevoir toute entente préalable conclue conformément à la Procédure
concernant l'évaluation des facteurs relatifs à la vie privée et les ententes
préalables et à la Procédure relative à l'utilisation ou à la communication
sans consentement de renseignements personnels à des fins d'étude, de
recherche ou de production de statistiques.
7.3 Le Responsable de la protection des renseignements personnels (RPRP)
Le RPRP exerce les fonctions et assume les responsabilités suivantes :
(i)
Responsable de l'application et de la mise en œuvre des lois applicables et
du cadre normatif établissant les règles encadrant la gouvernance de
l'Organisme municipal en matière de protection des Renseignements
personnels;
(ii)
Élaborer et promouvoir les politiques et les procédures de l'Organisme
municipal en matière de protection des Renseignements personnels;
(iii)
Assurer une veille des lois applicables en matière de protection des
Renseignements personnels;
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
21
Ville de Mont-Laurier - villemontlaurier.qc.ca
(iv)
Assurer le traitement des demandes d'accès à l'information, de
communication ou de rectification de renseignements personnels, de même
que le traitement des plaintes relatifs aux Renseignements personnels;
(v)
Poser tout acte requis conformément à la Procédure de gestion des
incidents de confidentialité, en cas d'incident de confidentialité;
(vi)
Assurer la formation et la sensibilisation du personnel de l'Organisme
municipal en matière de protection des renseignements personnels et de
protection de la vie privée;
(vii)
Tenir les registres en matière de protection des Renseignements
personnels;
(viii)
Produire la reddition de compte annuelle en matière d'accès à l'information
et de protection des Renseignements personnels.
7.4 Le personnel de l'Organisme municipal
Tout employé, dirigeant, administrateur, sous-traitant, agent ou tiers collaborateur,
incluant toute personne qui, au sein de l'Organisme municipal, a accès et traite
des renseignements personnels doit veiller à respecter les principes suivants :
(i)
Assurer la confidentialité, l'intégrité et disponibilité des renseignements
personnels;
(ii)
Assurer la confidentialité des Renseignements personnels détenus par
l'Organisme municipal;
(iii)
Accéder et traiter les Renseignements personnels détenus par l'Organisme
municipal conformément à la mission et aux finalités de l'Organisme, dans
le respect des codes, politiques et procédures en vigueur;
(iv)
Signaler tout incident de confidentialité ou toute situation présentant un
risque pour la protection des Renseignements personnels auprès du
Responsable
de
la
protection
des
renseignements
personnels,
conformément à la Procédure de gestion des incidents de confidentialité
impliquant des renseignements personnels;
(v)
Collaborer, lorsqu'applicable, à toute ÉFVP devant être réalisée par le
Comité, de même qu'à la mise en place de toute mesure d'atténuation, le
cas échéant, selon les rôles et responsabilités déterminées par l'ÉFVP;
(vi)
Participer aux activités de formation et de sensibilisation en matière de
protection des renseignements personnels.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
22
Ville de Mont-Laurier - villemontlaurier.qc.ca
8) Sanctions
Toute personne qui enfreint cette Politique fera l'objet d'une sanction disciplinaire et pourra
également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois
ou les règlements applicables.
9) Mise à jour
La présente Politique est révisée, au besoin, suivant l'évolution du cadre normatif applicable
en matière de protection des Renseignements personnel.
10) Entrée en vigueur
Ce document entre en vigueur à la date de son adoption par le Conseil municipal.
POLITIQUE CADRE DE GOUVERNANCE
CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
23
Ville de Mont-Laurier - villemontlaurier.qc.ca
Annexe « I »
Infographie sur le consentement