Politique de protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot a4871357cd47 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

Politique de protection des renseignements personnels Page 1 de 22 POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS Politique de protection des renseignements personnels Page 2 de 22 Table des matières 1. OBJET ET PORTÉE DE LA POLITIQUE ........................................................................................................ 4 2. DOCUMENTS DE RÉFÉRENCE .................................................................................................................... 4 3. DÉFINITIONS ............................................................................................................................................. 5 4. PRINCIPES GÉNÉRAUX .............................................................................................................................. 7 4.1. RESPONSABILISATION ET GOUVERNANCE ......................................................................................................... 7 4.2. CONSENTEMENT ......................................................................................................................................... 7 4.3. TRANSPARENCE ......................................................................................................................................... 8 4.4. DÉTERMINER LES FINS DE LA COLLECTE ET DE L'UTILISATION ............................................................................... 8 4.5. LIMITATION DE LA COLLECTE ET DE L'UTILISATION .............................................................................................. 9 4.6. EXACTITUDE ET RECTIFICATION ..................................................................................................................... 9 4.7. CONSERVATION ET ANONYMISATION ............................................................................................................... 9 4.8. SÉCURITÉ ET CONFIDENTIALITÉ ...................................................................................................................... 9 5. INTÉGRATION DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS AUX ACTIVITÉS COMMERCIALES10 5.1. DROIT D'ÊTRE INFORMÉ DES PERSONNES CONCERNÉES ..................................................................................... 10 5.2. COLLECTE DE RENSEIGNEMENTS PERSONNELS .............................................................................................. 11 5.3. CHOIX ET CONSENTEMENT DE LA PERSONNE CONCERNÉE ................................................................................ 11 5.4. UTILISATION, CONSERVATION ET DESTRUCTION............................................................................................... 12 5.5. FICHIER DES RENSEIGNEMENTS PERSONNELS ................................................................................................ 12 5.6. DIVULGATION À DES TIERS .......................................................................................................................... 12 5.7. DIVULGATION DANS LE CADRE D'UNE TRANSACTION COMMERCIALE ..................................................................... 13 5.8. DROIT D'ACCÈS ET RECTIFICATION................................................................................................................ 13 5.9. DROIT À LA DÉSINDEXATION (DROIT À L'OUBLI) ................................................................................................ 14 6. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE ....................................................................... 14 6.1. RÉALISATION D'UNE ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE ......................................................... 14 6.2. FACTEURS À PRENDRE EN COMPTE POUR L'ÉFVP ........................................................................................... 15 6.3. RENSEIGNEMENTS COMMUNIQUÉS À L'EXTÉRIEUR DU QUÉBEC .......................................................................... 15 6.4. UTILITÉ DE L'ÉFVP ................................................................................................................................... 15 7. RÔLES ET RESPONSABILITÉS ................................................................................................................. 15 7.1. LE RESPONSABLE À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ........................................................... 15 7.2. LE COMITÉ .............................................................................................................................................. 16 7.3. TOUTE PERSONNE QUI TRAITE DES RENSEIGNEMENTS PERSONNELS QUE LA VILLE DÉTIENT ..................................... 18 8. REGISTRES ............................................................................................................................................. 18 9. ACTIVITÉ DE FORMATION ET DE SENSIBILISATION .................................................................................. 21 10. TRAITEMENT DES PLAINTES ................................................................................................................... 21 11. SIGNALEMENT ET RÉPONSE AUX INCIDENTS DE CONFIDENTIALITÉ ........................................................ 21 Politique de protection des renseignements personnels Page 3 de 22 12. AUDIT ..................................................................................................................................................... 21 13. SANCTIONS............................................................................................................................................. 21 14. CONFLITS ............................................................................................................................................... 22 15. MISE À JOUR ........................................................................................................................................... 22 16. ENTRÉE EN VIGUEUR .............................................................................................................................. 22 Politique de protection des renseignements personnels Page 4 de 22 1. Objet et portée de la Politique La Ville de Mont-Saint-Hilaire (la « Ville ») est engagée à respecter la vie privée de chacun conformément aux lois, règlements et normes applicables au Québec en matière de protection des Renseignements personnels. La présente Politique de protection des Renseignements personnels (la « Politique ») a pour objectif : - D'énoncer les principes généraux auxquels la Ville adhère ainsi que les pratiques que nous mettons en œuvre lorsque nous recueillons, utilisons, communiquons, conservons, détruisons les Renseignements personnels de nos clients, fournisseurs, partenaires commerciaux, employés et autres personnes concernées, dans le cadre de nos activités; - De prévoir le processus de traitement des plaintes relatives à la protection des Renseignements personnels; - De présenter les rôles et responsabilités en matière de protection des Renseignements personnels; - De décrire les activités de formation et de sensibilisation que la Ville offre à son personnel. La présente Politique s'applique à tous ses employés, comités, fournisseurs de services, partenaires commerciaux et autres contractants qui travaillent pour le compte ou avec la Ville. 2. Documents de référence La présente Politique s'inscrit dans un contexte régi par la Loi sur l'accès aux documents des organismes publics et sur la protection des Renseignements personnels, RLRQ c A-2.1 (la « Loi sur l'accès » ou « la Loi »). Outre cette Loi, d'autres législations sont pertinentes dont : - Règlement excluant certains organismes publics de l'obligation de former un comité sur l'accès à l'information et la protection des Renseignements personnels, RLRQ c A-2.1, r ; - Loi modernisant des dispositions législatives en matière de protection des Renseignements personnels, SQ 2021, c 25 (la « Loi 25 », sanctionnée le 22 septembre 2021); - Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des Renseignements personnels et les documents électroniques et la Loi sur les télécommunications, LC 2010, ch 23; - Loi concernant le cadre juridique des technologies de l'information, RLRQ c C-1.1; Politique de protection des renseignements personnels Page 5 de 22 - Charte des droits et libertés de la personne, RLRQ c C-12; - Code civil du Québec, RLRQ c CCQ-1991. (collectivement, les « Lois québécoises sur la protection de la vie privée ») 3. Définitions Les mots et expressions qui suivent, lorsqu'ils apparaissent avec une première lettre en majuscule dans la Politique, ont le sens qui leur est attribué ci-après, à moins d'une dérogation implicite ou explicite dans le texte : Activité de traitement ou Traitement : désigne toute opération ou ensemble d'opérations effectuées sur des Renseignements personnels ou des ensembles de Renseignements personnels, que ce soit ou non par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction. Anonymiser : signifie tout moyen permettant de faire en sorte qu'un renseignement concernant un individu ne permette plus, de façon irréversible, d'identifier directement ou indirectement cette personne, le tout selon les meilleures pratiques généralement reconnues. CAI : désigne la Commission d'accès à l'information du Québec Comité : désigne le comité sur l'accès à l'information et la protection des Renseignements personnels de la Ville de Mont-Saint-Hilaire. Évaluation des facteurs relatifs à la vie privée ou ÉFVP : désigne le processus conçu pour décrire les Activités de traitement, évaluer la nécessité et la proportionnalité d'un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement de données à caractère personnel. Incident de confidentialité : désigne toute consultation, utilisation ou communication non autorisée d'un renseignement personnel, la perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement ou à son caractère confidentiel. Loi : désigne la Loi sur l'accès aux documents des organismes publics et sur la protection des Renseignements personnels, RLRQ, c. A-2.1 Personne concernée : désigne une personne physique à qui se rapporte les Renseignements personnels. Politique de protection des renseignements personnels Page 6 de 22 Renseignements personnels : désigne tout renseignement qui concerne une personne physique et permet de l'identifier, c'est-à-dire qui révèle de manière directe ou indirecte ou par référence, quelque chose sur l'identité, les caractéristiques, les activités, l'emplacement ou d'autres informations identifiables de cette personne, et ce, quelle que soit la nature du support et quelle que soit la forme sous laquelle ces Renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre) et inclus dans tous les cas, un Renseignement personnel sensible. Voici quelques catégories de Renseignements personnels : Renseignements d'identification : adresse, numéro de téléphone, sexe, âge, numéro d'assurance sociale, numéro d'assurance maladie, numéro de permis de conduire, identifiant numérique, etc. Renseignements de santé : Dossier médical, diagnostic, consultation d'une professionnelle ou d'un professionnel de la santé, médicament, ordonnance, renseignements sur la cause d'un décès, etc. Renseignements financiers : Revenu d'une personne, renseignements relatifs à l'impôt, numéro de compte bancaire, biens possédés, numéros de carte de crédit, etc. Renseignements relatifs au travail : Dossier disciplinaire, motifs d'absence, dates de vacances, salaire, évaluation du rendement, heures d'entrée et de sortie liées au lieu de travail, etc. Renseignements scolaires et relatifs à la formation : Inscription à des cours, choix de cours, résultats scolaires, diplôme, curriculum vitae, etc. Renseignements relatifs à la situation sociale ou familiale : Documents qui attestent de l'état civil, du fait qu'une personne ait ou non des enfants ou qu'elle reçoive des prestations d'aide sociale ou de chômage, etc. Renseignements relatifs à la justice : Documents reliés à la cour municipale (constats d'infraction, dénonciation, antécédents judiciaires, etc.), ou à différents tribunaux. Renseignements personnels sensibles : un renseignement personnel est considéré comme sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de respect de la vie privée. Il peut s'agir, par exemple, de renseignements médicaux, biométriques, génétiques ou financiers, ou encore de renseignements sur la vie ou l'orientation sexuelle, les convictions religieuses ou philosophiques, l'appartenance syndicale ou bien l'origine ethnique Responsable de l'accès aux documents ou RAD : désigne la personne qui, au sein de la Ville, exerce cette fonction et qui doit répondre aux demandes d'accès aux documents conformément à la Loi. Responsable de la protection des Renseignements personnels et de l'accès aux documents ou Responsable de la PRP et de l'accès ou RPRP: désigne la personne au sein de la Ville qui veille à assurer le respect et la mise en œuvre des Lois québécoises sur la protection des Renseignements personnels. Politique de protection des renseignements personnels Page 7 de 22 4. Principes généraux La Loi et la Loi 25 ainsi que certains contrats avec lesquels la Ville est liée obligent la Ville à se conformer aux principes généraux suivants : 4.1. Responsabilisation et gouvernance La Ville est responsable de la protection des Renseignements personnels qu'elle détient, utilise, traite, communique, conserve ou détruit. Elle doit notamment : - Désigner une personne chargée d'assurer le respect et la mise en œuvre des Lois québécoises sur la protection de la vie privée, incluant les principes énoncés ci-dessous; - Établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l'égard des Renseignements personnels; - Répondre aux demandes d'accès et de rectification qui lui sont transmises; - Publier sur son site Web ses règles de gouvernance en cette matière (politiques et pratiques en vigueur); - Lorsque requis, aviser la Commission d'accès à l'information et les personnes concernées de tout Incident de confidentialité. 4.2. Consentement La protection des Renseignements personnels est assurée tout au long de leur cycle de vie. Avant de recueillir, d'utiliser ou de communiquer des Renseignements personnels, la Ville doit obtenir un consentement valable de la Personne concernée compte tenu du caractère sensible des Renseignements personnels en cause. Ce consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il doit être demandé pour chacune de ces fins en termes simples et clairs, distinctement de toute autre information communiquée à la Personne concernée. En principe, le consentement explicite est la règle tandis que le consentement implicite est l'exception. Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Ainsi, la Ville n'utilise les Renseignements personnels qu'aux fins pour lesquelles ces Renseignements ont été recueillis. Cependant, la Ville peut modifier ces fins si la Personne concernée y consent préalablement. La Ville peut cependant utiliser à des fins secondaires les Renseignements personnels sans le consentement de la Personne concernée dans l'un ou l'autre des cas suivants : Politique de protection des renseignements personnels Page 8 de 22 - Lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les Renseignements ont été recueillis; - Lorsque l'utilisation est manifestement au bénéfice de la Personne concernée; - Lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi; - Lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les Renseignements sont dépersonnalisés. Lorsque la Ville utilise les Renseignements personnels à des fins secondaires dans l'un des trois premiers cas énoncés ci-dessus, elle doit consigner cette utilisation au registre prévu à cette fin (voir article 8). 4.3. Transparence La Ville doit informer ses clients et ses employés des politiques et des pratiques de gestion des Renseignements personnels qu'elle met en œuvre dans le cadre de ses activités et opérations. Ces politiques et pratiques doivent être rédigées en termes simples et clairs et être faciles d'accès. Ainsi, avant de recueillir ou au moment de recueillir des Renseignements personnels, la Ville doit communiquer aux Personnes concernées les informations minimales suivantes : - Les fins légitimes auxquelles ces Renseignements sont recueillis; - Les moyens par lesquels les Renseignements sont recueillis; - Les droits d'accès et de rectification prévus par la loi; - Le droit pour la Personne concernée de retirer son consentement à la communication ou à l'utilisation de ses Renseignements; - Le nom du tiers pour qui la collecte est faite, le cas échéant; - La possibilité que les Renseignements soient communiqués à l'extérieur du Québec, le cas échéant. 4.4. Déterminer les fins de la collecte et de l'utilisation Les Renseignements personnels doivent être recueillis et utilisés à des fins spécifiques, explicites et légitimes, c'est-à-dire directement liées et manifestement nécessaires à la réalisation des Activités de traitement pour lesquelles ils ont été recueillis. Ces fins doivent être établies avant la collecte et l'utilisation des Renseignements personnels. La Ville doit faire preuve d'honnêteté et de transparence au sujet des raisons pour lesquelles elle recueille des Renseignements personnels. Politique de protection des renseignements personnels Page 9 de 22 4.5. Limitation de la collecte et de l'utilisation La Ville doit recueillir uniquement des Renseignements personnels nécessaires à la réalisation des fins explicites et légitimes établies, et ne doit pas traiter ces Renseignements personnels ultérieurement d'une manière incompatible avec ces fins déterminées, à moins d'obtenir le consentement de la Personne concernée pour utiliser ces Renseignements personnels à une autre fin légitime. 4.6. Exactitude et rectification La Ville doit veiller à ce que les Renseignements personnels qu'elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la Personne concernée. Cette obligation vise à sauvegarder l'intégrité de l'information, tant dans son fond que sa forme, et à s'assurer que la Personne concernée ne subit pas un préjudice basé sur un renseignement qui est inexact ou désuet à son égard. Des mesures raisonnables doivent être prises pour que les Renseignements personnels soient effacés ou rectifiés en temps opportun. 4.7. Conservation et anonymisation Les Renseignements personnels ne doivent être conservés que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis. Lorsque ces fins ont été accomplies, la Ville doit détruire les Renseignements personnels, sous réserve des délais prévus à son calendrier de conservation. La Ville peut également anonymiser les Renseignements personnels, selon les meilleures pratiques généralement reconnues, pour les utiliser à des fins sérieuses et légitimes seulement. Il est possible que certaines lois spécifient une période de conservation que la Ville sera tenue de respecter. 4.8. Sécurité et confidentialité La Ville a l'obligation de mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels qu'elle détient, utilise, communique, conserve ou détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisée ou abusive. Politique de protection des renseignements personnels Page 10 de 22 Ces mesures de sécurité doivent tenir compte notamment du degré de sensibilité des Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur méthode de conservation, de leur support et de leur format ainsi que des risques liés au respect de la vie privée. Des mesures de sécurité adéquates devraient comprendre plusieurs couches de sécurité qui incluent, sans s'y limiter, des moyens techniques, matériels, organisationnels et administratifs. 5. Intégration de la protection des Renseignements personnels aux activités commerciales Pour pouvoir se conformer aux principes généraux énoncés ci-dessus, la Ville doit intégrer les pratiques décrites ci-dessous dans ses opérations et pratiques. 5.1. Droit d'être informé des Personnes concernées Avant de recueillir ou au moment de recueillir des Renseignements personnels, les informations suivantes doivent être communiquées aux Personnes concernées : - Les fins légitimes auxquelles ces Renseignements sont recueillis; - Les moyens par lesquels les Renseignements sont recueillis; - Les droits d'accès et de rectification prévus par la loi; - Le droit pour la Personne concernée de retirer son consentement à la communication ou à l'utilisation de ses Renseignements en tout temps; - Le nom du tiers pour qui la collecte est faite, le cas échéant; - La possibilité que les Renseignements soient communiqués à l'extérieur du Québec, le cas échéant; - La possibilité que les Renseignements soient communiqués à des fournisseurs de services, incluant des organisations affiliées, le cas échéant, ou à d'autres tiers similaires; - La durée de conservation de ces Renseignements; - Les coordonnées du Responsable de la PRP et de l'accès. Ces informations sont fournies par le biais d'une politique ou d'un avis de confidentialité. Lorsque plusieurs Activités de traitement sont effectuées avec ces Renseignements personnels, la Ville doit indiquer toutes les Activités de traitement dans cette politique ou avis et indiquer les catégories de Renseignements personnels recueillis en cause. Le Responsable de la PRP et de l'accès est responsable de créer et de maintenir un registre des avis de confidentialité (voir article 8). Lorsque des Renseignements personnels sont transférés à l'extérieur du Québec, la politique ou l'avis de confidentialité doit le refléter et indiquer clairement où et à quelle entité les Renseignements personnels sont transférés. Politique de protection des renseignements personnels Page 11 de 22 Lorsque des Renseignements personnels sensibles sont recueillis, le Responsable de la PRP et de l'accès doit s'assurer que la Politique de confidentialité ou l'avis indique explicitement la raison pour laquelle ces Renseignements personnels sensibles sont recueillis. 5.2. Collecte de Renseignements personnels La collecte des Renseignements personnels doit être faite directement auprès de la Personne concernée. Cette dernière doit être informée des éléments mentionnés à l'article 5.1 de la présente Politique au plus tard au moment de la collecte de leurs Renseignements. Si des Renseignements personnels sont recueillis auprès de tiers, le Responsable de la PRP et de l'accès doit s'assurer que la collecte est autorisée par la loi et qu'elle respecte les politiques et pratiques de la Ville à ce sujet. 5.3. Choix et consentement de la Personne concernée Lorsque le Traitement est fondé sur le consentement de la Personne concernée, le Responsable de la PRP et de l'accès est tenu de conserver une preuve que le consentement a été valablement obtenu. Le Responsable de la PRP et de l'accès doit également informer les Personnes concernées de leur droit de retirer leur consentement et veiller à ce que leur consentement (lorsque celui-ci est utilisé comme fondement légitime du Traitement) puisse être retiré en tout temps. Lorsque la collecte de Renseignements personnels concerne un enfant de moins de 14 ans, le Responsable de la PRP et de l'accès doit s'assurer que le consentement de l'autorité parentale ou du tuteur du mineur a été obtenu avant la collecte à l'aide du Formulaire de consentement parental. Les Renseignements personnels ne doivent être traités qu'aux fins légitimes et nécessaires pour lesquelles ils ont été initialement recueillis. Si la Ville souhaite utiliser les Renseignements personnels recueillis à une autre fin, elle doit demander le consentement des Personnes concernées par écrit, de manière claire et concise. Toute demande de ce type doit inclure les éléments suivants : - La fin initiale pour laquelle les Renseignements ont été recueillis; - La ou les nouvelles fin(s) visée(s) (ou les fins secondaires); - La raison du changement de fin(s). Le Responsable de la PRP et de l'accès est responsable du respect des règles énoncées au présent paragraphe. Politique de protection des renseignements personnels Page 12 de 22 5.4. Utilisation, conservation et destruction Les objectifs, les méthodes, la période de conservation doivent être conformes aux informations contenues dans le calendrier des délais de conservation de la Ville et aux lois en vigueur. La Ville doit maintenir l'exactitude, l'intégrité, la confidentialité et la pertinence des Renseignements personnels en fonction de la finalité du traitement. Des mécanismes de sécurité raisonnables et adéquats doivent être utilisés pour empêcher le vol, l'utilisation abusive ou frauduleuse des Renseignements personnels et prévenir les Incidents de confidentialité. Le Responsable de la PRP et de l'accès est responsable du respect des exigences énumérées dans la présente section. Pour ce faire, le RPRP doit procéder à une vérification trimestrielle des Renseignements personnels collectés et traités et modifier, le cas échéant, le fichier des Renseignements personnels. 5.5. Fichier des Renseignements personnels La Ville établit et tient à jour un inventaire des fichiers de Renseignements personnels qu'elle recueille, utilise et communique. Cet inventaire contient minimalement : - Les catégories de Renseignements qu'il contient, les fins pour lesquelles les Renseignements sont conservés et le mode de gestion de chaque fichier; - La provenance des Renseignements versés à chaque fichier; - Les catégories de Personnes concernées par les Renseignements versés à chaque fichier; - Les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions; - Les mesures de sécurité prises pour assurer la protection des Renseignements personnels. Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des Renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la Loi. 5.6. Divulgation à des tiers Avant de transférer des Renseignements personnels à un fournisseur de services ou un partenaire commercial, le Responsable de la PRP et de l'accès doit, à chaque fois, conclure un contrat écrit avec ce tiers (Entente relative à la sécurité de l'information concernant le Traitement des Renseignements personnels) lequel doit prévoir au minimum : Politique de protection des renseignements personnels Page 13 de 22 - Une description des mesures prises par le fournisseur de services pour assurer la protection du caractère confidentiel des Renseignements personnels communiqués (exemple : une description des mesures de sécurité); - Une obligation pour le fournisseur de services de n'utiliser les Renseignements personnels qu'aux fins de la prestation des services et de ne pas conserver ces Renseignements après l'expiration du contrat; et - Une obligation pour le fournisseur de services d'informer sans délai le Responsable de la PRP et de l'accès de toute violation ou tentative de violation d'une obligation relative à la confidentialité des Renseignements et de permettre au Responsable de la PRP et de l'accès d'effectuer toute vérification relative aux exigences de confidentialité. 5.7. Divulgation dans le cadre d'une transaction commerciale Si la divulgation de Renseignements personnels est nécessaire dans le cadre d'une transaction commerciale, le Responsable de la PRP et de l'accès doit, à chaque fois, conclure une entente écrite avec les parties à la transaction qui prévoit notamment que la partie recevant communication des Renseignements personnels s'engage à : - N'utiliser ces Renseignements qu'aux seules fins de la conclusion de la transaction; - Ne pas communiquer ces Renseignements sans avoir obtenu le consentement des individus concernés; - Prendre les mesures nécessaires pour assurer la protection du caractère confidentiel de ces Renseignements personnels; et - Détruire ces Renseignements personnels si la transaction n'est pas conclue ou si leur utilisation n'est plus nécessaire aux fins de sa conclusion. À cette fin, le ou les cocontractants doivent conclure avec la Ville un Engagement de confidentialité. 5.8. Droit d'accès et rectification La Ville doit fournir, aux Personnes concernées qui en font la demande, un accès gratuit (ou à un prix modique pour obtenir des reproductions) à leurs Renseignements personnels et leur accorder la possibilité de les corriger, de les mettre à jour, de les rectifier ou de les effacer s'ils ne sont pas exhaustifs ou exacts, sous réserve des exceptions prévues par la loi. Le Responsable de PRP et de l'accès est chargé de veiller à ce que ces demandes soient traitées dans un délai de 30 jours, qu'elles ne soient pas excessives et n'affectent pas les droits à la vie privée de tiers. De plus, le Responsable de la PRP et de l'accès doit également tenir et maintenir un registre de ces demandes. Lorsqu'une demande d'accès est refusée, le Responsable de la PRP et de l'accès doit répondre par écrit et expliquer les raisons de ce refus à la Personne concernée. Politique de protection des renseignements personnels Page 14 de 22 La procédure et les modalités du droit d'accès sont détaillées dans le document intitulé : « Procédure de demande d'accès ». 5.9. Droit à la désindexation (Droit à l'oubli) Les Personnes concernées peuvent demander à la Ville, sous réserve de certaines conditions, de cesser de diffuser leurs Renseignements personnels et de désindexer tout hyperlien rattaché à leur nom qui donne accès à ces Renseignements personnels si cette diffusion leur cause un préjudice ou contrevient à la loi ou à une ordonnance judiciaire. Le Responsable de la PRP et de l'accès doit prendre les mesures nécessaires pour respecter ce droit à la désindexation et informer les tiers qui utilisent ou traitent ces Renseignements personnels afin de se conformer à la demande. 6. Évaluation des facteurs relatifs à la vie privée 6.1. Réalisation d'une Évaluation des facteurs relatifs à la vie privée Outre lorsque la loi le prévoit expressément ou lorsqu'un traitement de Renseignements personnels est jugé plus à risques pour les Personnes concernées, la Ville réalise une ÉFVP, notamment dans le contexte des traitements suivants de Renseignements personnels : - Avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des Renseignements personnels; - Avant de recueillir des Renseignements personnels nécessaires à l'exercice des attributions ou à la mise en oeuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; - Avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à une personne ou à un organisme qui souhaite utiliser ces Renseignements à des fins d'étude, de recherche ou de production de statistiques; - Lorsqu'elle entend communiquer des Renseignements personnels, sans consentement des Personnes concernées, conformément à l'article 68 de la Loi; - Lorsqu'elle entend communiquer des Renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels Renseignements pour son compte. Politique de protection des renseignements personnels Page 15 de 22 6.2. Facteurs à prendre en compte pour l'ÉFVP En effectuant une ÉFVP, la Ville tient compte de la sensibilité des Renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les Renseignements personnels. 6.3. Renseignements communiqués à l'extérieur du Québec De plus, lorsque les Renseignements personnels sont communiqués à l'extérieur du Québec, la Ville s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des Renseignements personnels généralement reconnus. 6.4. Utilité de l'ÉFVP La réalisation d'une ÉFVP sert à démontrer que la Ville a respecté toutes les obligations en matière de protection des Renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces Renseignements. 7. Rôles et responsabilités La responsabilité de garantir la protection et le Traitement adéquat des Renseignements personnels incombe à la Ville et à toute personne qui travaille avec ou pour le compte de la Ville et qui a accès aux Renseignements personnels de la Ville. Les principales responsabilités en matière de gouvernance et de gestion des Renseignements personnels relèvent des rôles organisationnels suivants : 7.1. Le Responsable à la protection des Renseignements personnels - S'assure de la protection des Renseignements personnels tout au long de leur Cycle de vie, de la collecte à la destruction; - Siège au Comité; - Se conforme aux exigences liées aux demandes d'accès ou de rectification des renseignements personnels, sous réserve des responsabilités dévolues au RAD, y compris : - Donne au requérant un avis de la date de réception de sa demande; - Avise le requérant des délais et de son droit à la révision; Politique de protection des renseignements personnels Page 16 de 22 - Répond à la demande dans un délai de 20 jours, ou si le traitement de la demande ne paraît pas possible sans nuire au déroulement normal des activités de la Ville, dans un délai de 10 jours supplémentaires, après avoir avisé le requérant par écrit; - Prête assistance au requérant pour identifier le document susceptible de contenir les Renseignements recherchés lorsque sa demande est imprécise; - Motive tout refus d'acquiescer à une demande d'accès; - À la demande du requérant, lui prête assistance pour l'aider à comprendre la décision le concernant; - Rend sa décision par écrit et en transmettre une copie au requérant. Elle doit être accompagnée du texte de la disposition sur laquelle le refus s'appuie, le cas échéant, et d'un avis l'informant du recours en révision et indiquant notamment le délai dans lequel il peut être exercé. - Veille à ce que le renseignement faisant l'objet de la demande soit conservé le temps requis pour permettre au requérant d'épuiser les recours prévus à la Loi. - Supervise la tenue des registres énumérés à l'article 8 de la présente Politique. - Participe à l'évaluation du risque de préjudice sérieux lié à un Incident de confidentialité, notamment eu égard à la sensibilité des Renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces Renseignements soient utilisés à des fins malveillantes; - Le cas échéant, effectue des vérifications des obligations de confidentialité en lien avec la communication de Renseignements personnels dans le cadre de mandats ou de contrats de service confiés à des tiers conformément à l'article 5.6 de la présente politique. 7.2. Le Comité - Veille à la mise en place de mesures visant la sensibilisation et la formation des membres du personnel et des membres de la direction de la Ville sur les obligations et les pratiques en matière d'accès à l'information et de protection des Renseignements personnels; - Élabore les principes de diffusion de l'information; - Approuve la présente Politique de protection des Renseignements personnels; - Émet des directives sur l'utilisation d'outils informatiques marketing impliquant la communication de données ou le profilage; - Identifie les principaux risques en matière de protection de Renseignements personnels et en avise la direction afin que des mesures correctives soient proposées; Politique de protection des renseignements personnels Page 17 de 22 - Approuve toute dérogation aux principes généraux de protection des Renseignements personnels qui auront été établis; - Émet des directives sur l'utilisation d'outils informatiques marketing impliquant la communication de données ou le profilage; - Identifie les principaux risques en matière de protection de Renseignements personnels et en avise la direction et les services afin que des mesures correctives soient proposées; - Approuve toute dérogation aux principes généraux de protection des Renseignements personnels qui auront été établis; - Émet des directives pour la protection des Renseignements personnels, notamment pour la conservation de ceux-ci par des tiers et à l'extérieur du Québec; - Est consulté, dès le début d'un projet et aux fins de l'ÉFVP, pour tous les projets d'acquisition, de développement et de refonte des systèmes d'information ou de prestation électronique de services impliquant des Renseignements personnels; - Veille à ce que la réalisation de l'ÉFVP soit proportionnée à la sensibilité des Renseignements concernés, aux fins auxquelles ils sont utilisés, à la quantité et à la distribution des Renseignements et au support sur lequel ils seront hébergés; - Le cas échéant, s'assure que le projet permet de communiquer à la Personne concernée les Renseignements personnels informatisés recueillis auprès d'elle dans un format technologique structuré et couramment utilisé; - Escalade les recommandations qui ne sont pas suivies au RPRP; - Doit être avisé de tout Incident de confidentialité impliquant les Renseignements personnels et les analyse afin de conseiller la Ville quant aux suites à y donner; - Revoit le Plan de réponse aux incidents de confidentialité dans l'éventualité d'un Incident de confidentialité; - Revoit toute question d'intérêt touchant la protection des Renseignements personnels; - Revoit les mesures relatives à la vidéosurveillance et s'assure du respect de la vie privée dans le cadre de son utilisation. Politique de protection des renseignements personnels Page 18 de 22 7.3. Toute personne qui traite des Renseignements personnels que la Ville détient - Agit avec précaution et intègre les principes énoncés à la présente Politique à ses activités; - N'accède qu'aux Renseignements nécessaires à l'exercice de ses fonctions; - N'intègre et ne conserve des Renseignements que dans les dossiers destinés à l'accomplissement de ses fonctions; - Conserve les dossiers de manière à ce que seules les personnes autorisées y aient accès; - Protège l'accès aux Renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe (lorsque support informatique); - S'abstient de communiquer les Renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire; - S'abstient de conserver, à la fin de son emploi ou de son contrat, les Renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité; - Détruit tout Renseignement personnel conformément aux procédures en vigueur; - Participe aux activités de sensibilisation et de formation en matière de protection des Renseignements personnels qui lui sont destinées; - Signale tout manquement, Incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la confidentialité de Renseignements personnels. 8. Registres Conformément à la Loi, la Ville tient à jour les registres suivants : 8.1 Registre des communications de Renseignements personnels sans le consentement d'une Personne concernée dans les cas suivants : - Lorsque la Ville communique l'identité d'une Personne concernée à une personne ou à un organisme privé afin de recueillir des Renseignements déjà colligés par ces derniers; Politique de protection des renseignements personnels Page 19 de 22 - Lorsque la Ville communique des Renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi; - Lorsque la Ville communique des Renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail; - Lorsque la Ville communique des Renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service; - Lorsque la Ville communique des Renseignements personnels à des fins d'étude, de recherche ou de statistique; - Après avoir effectué une ÉFVP, lorsque la Ville communique des Renseignements personnels dans les cas visés par l'article 68 de la LAI. - Dans les cas énumérés ci-dessus, le registre comprend : - La nature ou le type de renseignement communiqué; - La personne ou l'organisme qui reçoit cette communication; - La fin pour laquelle ce renseignement est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication de Renseignements personnels à l'extérieur du Québec; - La raison justifiant cette communication. 8.2 Registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou de la mise en oeuvre d'un programme d'un organisme public avec lequel la Ville collabore pour la prestation de services ou la réalisation d'une mission commune. Un tel registre comprend : - Le nom de l'organisme pour lequel les Renseignements sont recueillis; - L'identification du programme ou de l'attribution pour lequel les Renseignements sont nécessaires; - La nature ou le type de la prestation de service ou de la mission; - La nature ou le type de Renseignements recueillis; - La fin pour laquelle ces Renseignements sont recueillis; - La catégorie de personnes, au sein de l'organisme, qui recueille les Renseignements et au sein de l'organisme receveur, qui a accès aux Renseignements. Politique de protection des renseignements personnels Page 20 de 22 8.3 Registre des utilisations de Renseignements personnels au sein de la Municipalité à d'autres fins et sans le consentement de la Personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la Personne concernée ou qu'elle est nécessaire à l'application d'une loi au Québec. Un tel registre comprend : - La mention du paragraphe du deuxième alinéa de l'article 65.1 de la Loi permettant l'utilisation, c'est-à-dire la base juridique applicable; - Dans le cas visé au paragraphe 3° du deuxième alinéa de l'article 65.1 de la Loi, la disposition législative qui rend nécessaire l'utilisation du renseignement; - La catégorie de personnes qui a accès au renseignement aux fins de l'utilisation indiquée. 8.4 Registre des communications d'information concernant un Incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un Incident de confidentialité ; 8.5 Registre des incidents de confidentialité. Un tel registre comprend : - Une description des Renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison justifiant l'impossibilité de fournir une telle description; - Une brève description des circonstances de l'incident; - La date ou la période où l'incident a eu lieu ou, si cette dernière n'est pas connue, une approximation de cette période; - La date ou la période au cours de laquelle l'organisation a pris connaissance de l'incident; - Le nombre de Personnes concernées par l'incident ou, s'il n'est pas connu, une approximation de ce nombre; - Une description des éléments qui amènent l'organisation à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux Personnes concernées, telle que la sensibilité des Renseignements personnels concernés, les utilisations malveillantes possibles de ces Renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables; - Si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux Personnes concernées, en application du deuxième alinéa de l'article 63.8 de la LAI ou du deuxième alinéa de l'article 3.5 de la Loi sur la protection des Renseignements personnels dans le secteur privé, de même qu'une mention indiquant si des avis publics ont été donnés par l'organisation et la raison pour laquelle ils l'ont été, le cas échéant; Politique de protection des renseignements personnels Page 21 de 22 - Une brève description des mesures prises à la suite de la survenance de l'incident afin de diminuer les risques qu'un préjudice soit causé. 9. Activité de formation et de sensibilisation La Ville offre des activités de formation et de sensibilisation à son personnel en matière de protection des Renseignements personnels. Notamment, des fiches informatives, des directives et des formations seront effectuées auprès du personnel de la Ville. 10. Traitement des plaintes Toute plainte relative aux pratiques de protection des Renseignements personnels de la Ville ou de sa conformité aux exigences de la Loi doit être transmise au RPRP, lequel doit y répondre dans un délai de 20 jours. 11. Signalement et réponse aux incidents de confidentialité La Ville doit aviser la CAI et les personnes concernées de tout Incident de confidentialité qui présente un risque de préjudice sérieux compte tenu de la sensibilité des Renseignements concernés, des conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables. Le signalement des Incidents de confidentialité doit être effectué dans un délai raisonnable et avec diligence, conformément à la Procédure de gestion des incidents de confidentialité. 12. Audit Le Responsable de la PRP et de l'accès est chargé d'auditer la manière dont la Ville met en œuvre la présente Politique. 13. Sanctions Toute personne qui enfreint cette Politique fera l'objet d'une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables. Politique de protection des renseignements personnels Page 22 de 22 14. Conflits La présente Politique vise à se conformer aux lois et règlements et aux ententes d'affaires qui s'appliquent à la Ville dans le cadre de ses opérations. En cas de conflit entre la présente Politique et les lois et règlements applicables, ces derniers prévaudront. 15. Mise à jour De manière à suivre l'évolution de la législation applicable en matière de protection des Renseignements personnels et à améliorer le cadre de protection des Renseignements personnels de la Ville, la présente Politique pourra être mise à jour au besoin. La version présente sur le site Web de la Ville devra être la plus récente. 16. Entrée en vigueur La présente politique entre en vigueur à compter de son adoption par le Comité sur l'accès à l'information et la protection des renseignements personnels. ____________________________________ Ville de Mont-Saint-Hilaire