Règles de gouvernance pour la protection des renseignements personnels (art. 63.3 LAI)
Pierre-De Saurel, Quebec
This is the exact embedded text of the captured official document.
Snapshot bb983e783553 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE ENCADRANT LA
GOUVERNANCE EN MATIÈRE DE
RENSEIGNEMENTS PERSONNELS
Septembre 2023
(Résolution 2023-09-244)
2
Rédaction :
Me Jessica St-Pierre, directrice des affaires juridiques et greffière
Comité d'accès à l'information et protection des renseignements personnels (révision) :
M. Denis Boisvert, directeur général
M. Sébastien Demers, directeur général adjoint et directeur des finances
Me Jessica St-Pierre, directrice des affaires juridiques et greffière
Mme Sonia Dumont, directrice des ressources humaines et du développement social
Révision du texte :
Mme Chantal Chapdelaine, secrétaire-réceptionniste
Entrée en vigueur le : 22 septembre 2023
Mise(s) à jour :
3
TABLE DES MATIÈRES
1.
INTRODUCTION ..................................................................................................................................................................... 5
2.
OBJET ET PORTÉE ................................................................................................................................................................. 5
3.
DÉFINITIONS ........................................................................................................................................................................... 6
4.
QUELS RENSEIGNEMENTS PERSONNELS RECUEILLONS-NOUS? .................................................................. 8
5.
QUI PEUT CONSULTER VOS RENSEIGNEMENTS PERSONNELS?...................................................................... 9
5.1. Communication sans le consentement de la personne concernée .............................................. 10
5.2. Communication de renseignements personnels en vue de prévenir un acte de violence,
dont un suicide .................................................................................................................................................................. 11
6.
COMMENT PROTÉGEONS-NOUS VOS RENSEIGNEMENTS PERSONNELS? .............................................. 12
7.
NOS RÔLES ET RESPONSABILITÉS .............................................................................................................................. 12
7.1.Membres du personnel ........................................................................................................................................ 13
7.2.Cadres ........................................................................................................................................................................... 14
7.3.Responsable de la protection des renseignements personnels de la MRC ............................. 15
8.
CONSENTEMENT ................................................................................................................................................................. 16
9.
GESTION DES INCIDENTS DE CONFIDENTIALITÉ .................................................................................................. 16
10. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS .............................................. 17
11.
ACCÈS AUX RENSEIGNEMENTS PERSONNELS ET CORRECTION ................................................................... 19
12.
ACTIVITÉS DE FORMATION ET DE SENSIBILISATION .......................................................................................... 20
13. SONDAGE ............................................................................................................................................................................... 21
14. QUESTIONS OU PLAINTES .............................................................................................................................................. 21
14.1.Fonctions de la personne responsable de la protection des renseignements
personnels ........................................................................................................................................................................ 22
14.2.Notion de « plainte » ......................................................................................................................................... 23
4
14.3.Transmission des plaintes .............................................................................................................................. 23
14.4.Traitement des plaintes ................................................................................................................................... 24
14.4.1. Accusé de réception......................................................................................................................... 24
14.4.2. Création du dossier de plainte .................................................................................................. 24
14.4.3. Délai de traitement des plaintes ............................................................................................. 22
14.5.Recours à la Commission d'accès à l'information du Québec ..................................................... 25
15. ENTRÉE EN VIGUEUR ET RÉVISIONS ........................................................................................................................ 25
RÉFÉRENCES......................................................................................................................................................
..........24
ANNEXES -
FORMULAIRES.........................................................................................................................................25
5
1. Introduction
À compter du 22 septembre 2023, les organismes publics doivent publier sur leur site
Internet des règles encadrant leur gouvernance à l'égard des renseignements
personnels1. En effet, les nouvelles dispositions de la Loi sur l'accès aux documents des
organismes publics et la protection des renseignements personnels (chapitre A-2.1) (ci-
après « la LAI ») visent à permettre à la population québécoise d'acquérir un meilleur
contrôle de ses renseignements personnels tout en responsabilisant davantage les
organismes publics quant aux informations personnelles qu'elles détiennent.
La MRC de Pierre-De Saurel (ci-après « la MRC ») a saisi l'opportunité de ces nouvelles
dispositions
législatives afin
d'entreprendre
une
analyse
complète de son
fonctionnement interne quant au cycle de vie des renseignements personnels qu'elle
détient ainsi que des mesures mises en place à chacune de ces étapes. La présente
Politique encadrant la gouvernance en matière de renseignements personnels (ci-après
« la Politique ») est le résultat de cette analyse.
2. Objet et portée
Sauf dans les cas prévus par la loi, les renseignements personnels sont confidentiels2 et,
par conséquent, ils doivent être protégés. En tant qu'organisme public, la MRC est
responsable de la protection des renseignements personnels qu'elle détient3. Ainsi, la
Politique a pour objectif de permettre aux membres du personnel de la MRC de connaître
et de comprendre les exigences légales ainsi que les principes de protection des
renseignements personnels qui sont inhérents à l'exercice de leurs fonctions.
La Politique a également pour objectif de renseigner la population des renseignements
personnels pouvant être détenus par la MRC ainsi que de leurs droits vis-à-vis les
renseignements personnels qui les concernent.
La Politique s'applique à tous les renseignements personnels détenus par la MRC,
incluant ceux visant son personnel.
Elle s'applique également à toute personne qui collabore ou est impliquée auprès de la
MRC et qui aurait accès à des renseignements personnels dans le cadre de cette
implication ou collaboration, ce qui inclut, sans s'y limiter, les membres du conseil de la
MRC et les contractants.
1 Article 63.3 de la Loi sur l'accès aux documents des organismes publics et la protection des renseignements personnels
(chapitre A-2.1)
2 Idem, art. 53
3 Idem, art. 52.2
6
La présente politique n'a pas pour effet de remplacer les documents suivants qui
demeurent en vigueur:
➢ Règlement relatif au code d'éthique et de déontologie des employés de la
MRC de Pierre-De Saurel;
➢ Règlement édictant la politique globale de sécurité de l'information de la MRC de
Pierre-De Saurel;
➢ Règlement concernant l'utilisation et la gestion des actifs informationnels de la
MRC de Pierre-De Saurel;
➢ Politique de confidentialité;
➢ Directive sur la communication de renseignements personnels en vue de prévenir
un acte de violence contre la personne (DIR-AIPRP-01).
En cas de divergence entre la Politique et la LAI, la LAI prévaut.
En cas de divergence entre les modalités contenues aux règlements, politiques ou
directives de la MRC concernant les renseignements personnels, les règles de la Politique
prévalent.
3. Définitions
Cadre : S'entend de la personne nommée à la direction générale, à la direction générale
adjointe, à la direction des finances, à la direction des affaires juridiques et greffe, à la
direction des ressources humaines et du développement social ou de la direction de la
gestion du territoire.
CAIPRP : Comité sur l'accès à l'information et la protection des renseignements
personnels.
Consentement : Le consentement est l'autorisation de la personne titulaire des
renseignements personnels à recueillir et/ou utiliser ses renseignements personnels. Le
consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des
fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des
fins auxquelles il a été demandé.
Divulgation : S'entend de donner accès ou communiquer un renseignement personnel,
que cette divulgation soit verbale ou écrite et peu importe le mode utilisé pour donner
accès ou communiquer un tel renseignement.
Évaluation éthique : Démarche de réflexion qui suppose une conscientisation des risques
éthiques, potentiels et réels du sondage. Elle implique d'identifier les risques réels et
potentiels, d'apprécier leur probabilité et l'ampleur des inconvénients.
7
Incident de confidentialité :
-
L'accès, l'utilisation ou la communication d'un renseignement personnel non
autorisés par la LAI; et/ou
-
La perte d'un renseignement personnel ou toute autre atteinte à la protection
d'un tel renseignement.
Membre du personnel : Toute personne physique ayant un contrat de travail le liant à la
MRC. Aux fins de la présente politique, une telle personne est réputée membre du
personnel dès son entrée en fonction.
Préjudice sérieux : Un préjudice sérieux correspond à un acte ou à un événement
susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses
intérêts de manière non négligeable. Il peut conduire, par exemple :
-
À l'humiliation;
-
À une atteinte à la réputation;
-
À une perte financière;
-
À un vol d'identité;
-
À des conséquences négatives sur un dossier de crédit;
-
À une perte d'emploi.
Renseignement personnel : Toute information, peu importe la nature du support sur
lequel elle se trouve et le format qu'elle prend, portant sur une personne physique et qui
permet, directement ou indirectement, de l'identifier.
Renseignement personnel sensible : Un renseignement personnel est sensible lorsque,
par sa nature ou en raison du contexte de son utilisation ou de sa communication, il
suscite un haut degré d'attente raisonnable en matière de vie privée. Sont, notamment,
considérés comme sensibles les renseignements suivants : des renseignements
médicaux, biométriques, génétiques ou financiers, ou encore, des renseignements sur la
vie ou l'orientation sexuelle, les convictions religieuses ou bien l'origine ethnique.
Sondage : Instrument d'observation mis au point à partir de deux techniques
(l'échantillonnage et le questionnaire) et qui vise à donner une indication quantitative
des opinions, des comportements ou toute autre situation de faits, dans une population
donnée. Il est entendu qu'une consultation publique exigée par une loi ou un règlement
n'est pas soumise aux exigences de la présente politique.
8
4. Quels renseignements personnels recueillons-nous?
Dans le cadre de leurs fonctions, les membres du personnel de la MRC ainsi que les
membres du conseil de la MRC sont appelés à travailler avec plusieurs types de
renseignements personnels, notamment :
➢ Renseignements d'identification : nom, date de naissance, adresse, numéro de
téléphone, sexe, âge, numéro d'assurance sociale, religion, adresse de courriel,
etc.;
➢ Renseignements de santé : dossier médical, diagnostic, consultation d'un
professionnel de la santé, etc.;
➢ Renseignements financiers : revenu d'une personne, numéro de compte bancaire,
biens possédés, etc.;
➢ Renseignements relatifs au travail : dossier disciplinaire, motifs d'absence, dates
de vacances, salaire, évaluation du rendement, heures d'entrée et de sortie,
numéro d'employé, etc.;
➢ Renseignements scolaires et relatifs à la formation : diplômes, curriculum vitae,
etc.
Ces renseignements personnels peuvent se retrouver à divers emplacements, comme
dans les échanges par courriels, en format papier ou en format électronique sur le réseau
de la MRC.
Ces renseignements personnels proviennent de plusieurs sources, notamment :
➢ Autorisations diverses;
➢ Billets de courtoisie;
➢ Contrats;
➢ Courriels;
➢ Courrier;
➢ Curriculum vitae;
➢ Demandes d'accès à
l'information;
➢ Demandes de nettoyage;
➢ Demandes de permis divers;
➢ Documents relatifs à des
autorisations environnementales
émises par le ministère de
l'Environnement, de la Lutte
contre les changements
climatiques, de la Faune et des
Parcs;
➢ Dossiers de la Société
d'habitation du Québec;
➢ Dossiers des employés;
➢ Dossiers en lien avec le
Règlement de contrôle
intérimaire ;
➢ Dossiers judiciarisés;
➢ Dossiers de vente pour non-
paiement de taxes foncières;
➢ Factures;
➢ Formulaires d'engagement
d'utilisation de données;
➢ Matrice d'évaluation;
➢ Programme Secours adaptés;
9
➢ Plaintes;
➢ Site Web de la MRC.
La MRC ne recueille que des renseignements personnels qui sont liés directement à ses
activités professionnelles. Dans la mesure du possible, ces renseignements seront
recueillis directement auprès de la personne en cause. La quantité et le type de
renseignements recueillis se limiteront à ce qui est nécessaire aux fins déterminées.
Par exemple, il est possible que la MRC prenne note du nom et des coordonnées d'une
personne et qu'elle recueille l'opinion de celle-ci dans le cadre d'une consultation
publique. La MRC peut également recueillir l'adresse IP d'une personne, si cette dernière
visite le site Internet de la MRC.
Il arrive que nous obtenions plus d'information que nécessaire. Par exemple, certaines
personnes indiquent plus d'informations qu'il est demandé sur nos formulaires. La MRC
encourage fortement à toute personne de ne pas fournir d'information au-delà de ce qui
est demandé.
Nous pouvons également recueillir des renseignements personnels d'autres sources, au
besoin, y compris des témoins, des employeurs, du gouvernement ou à partir de dossiers
et registres organisationnels.
La MRC peut également recueillir un renseignement personnel si celui-ci est nécessaire
à l'exercice des attributions ou à la mise en œuvre d'un programme de l'organisme public
avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une
mission commune. Dans un tel cas, la collecte doit être précédée d'une évaluation des
facteurs relatifs à la vie privée et s'effectuer dans le cadre d'une entente écrite transmise
à la Commission d'accès à l'information du Québec conformément à la LAI4.
5. Qui peut consulter vos renseignements personnels?
La MRC s'engage à ne pas communiquer ni donner accès à aucun renseignement
personnel sans le consentement de la personne concernée, à moins que les dispositions
de la LAI ne l'autorisent. Dans le cas d'une communication autorisée, la MRC ne
communiquera que les renseignements précis qui sont nécessaires dans les
circonstances et, dans la mesure du possible, nous informerons la personne de la
communication.
La MRC s'engage à ce que l'accès aux renseignements personnels au sein de la MRC soit
limité aux membres du personnel qui ont besoin de l'information pour s'acquitter de leurs
tâches5. Ces personnes traiteront les renseignements de façon strictement confidentielle
et ne donneront accès à ces renseignements à aucune personne non autorisée. Le niveau
d'accès aux renseignements personnels sera accordé aux membres du personnel selon le
principe de « la nécessité de savoir ».
4 Idem, art. 64
5 Idem, art. 62
10
Toute violation de la présente politique peut entraîner des mesures disciplinaires ou la
résiliation du contrat octroyé, selon le cas.
5.1. Communication sans le consentement de la personne concernée
La MRC peut divulguer certains renseignements personnels qu'elle détient aux personnes
ou organismes suivants6 :
-
Le procureur qui la représente, si le renseignement est nécessaire aux fins d'une
poursuite pour une infraction à une loi que la MRC est chargée d'appliquer ou
nécessaire aux fins d'une procédure judiciaire autre;
-
Un directeur des poursuites criminelles et pénales, si le renseignement est
nécessaire aux fins d'une poursuite pour infraction à une loi applicable au Québec;
-
Un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer
le crime ou les infractions aux lois, si le renseignement est nécessaire aux fins
d'une poursuite pour infraction à une loi applicable au Québec;
-
Une personne à qui cette communication doit être faite en raison d'une situation
d'urgence mettant en danger la vie, la santé ou la sécurité de la personne
concernée;
-
Un organisme public ou un organisme d'un autre gouvernement, lorsque cette
communication est nécessaire à l'exercice des attributions de l'organisme
receveur ou à la mise en œuvre d'un programme dont cet organisme a la gestion;
-
Un organisme public ou un organisme d'un autre gouvernement, lorsque la
communication est manifestement au bénéfice de la personne concernée;
-
Une personne ou un organisme, lorsque des circonstances exceptionnelles le
justifient;
-
Si la communication est nécessaire dans le cadre de la prestation d'un service à
rendre à la personne concernée par un organisme public, notamment aux fins de
l'identification de cette personne;
-
Une personne impliquée dans un événement ayant fait l'objet d'un rapport par un
corps de police ou par une personne ou un organisme agissant en application
d'une loi qui exige un rapport de même nature, lorsqu'il s'agit d'un renseignement
sur l'identité de toute autre personne qui a été impliquée dans cet événement,
sauf s'il s'agit d'un témoin, d'un dénonciateur ou d'une personne dont la santé ou
la sécurité serait susceptible d'être mise en péril par la communication d'un tel
renseignement.
La MRC peut partager les renseignements personnels qu'elle détient à des fournisseurs
de services et à d'autres tiers qui la soutiennent. Dans ce contexte, la MRC prévoit
6 Idem, art. 59
11
intégrer dans les contrats à intervenir une obligation de ces tiers de respecter la présente
politique. Par conséquent, ces derniers seront contractuellement tenus de garder les
renseignements personnels confidentiels, de les utiliser uniquement aux fins pour
lesquelles la MRC les divulgue et de traiter les renseignements personnels selon les
normes énoncées dans la présente politique et dans le respect des lois applicables.
La MRC peut communiquer certains renseignements personnels à des fins d'étude, de
recherche ou de production de statistiques, sous réserve des conditions prévues par la
LAI, dont notamment, l'évaluation des facteurs relatifs à la vie privée et la transmission
de l'entente à la Commission d'accès à l'information trente (30) jours avant son entrée
en vigueur7.
La MRC peut communiquer un renseignement sur l'identité d'une personne afin de
recueillir des renseignements personnels déjà colligés par une personne ou un organisme
privé. La MRC en informe la Commission au préalable8.
La MRC peut communiquer un renseignement personnel à toute personne ou tout
organisme si cette communication est nécessaire à l'application d'une loi au Québec, que
cette communication soit ou non prévue expressément par la loi9.
La MRC peut communiquer un renseignement personnel à toute personne ou tout
organisme si cette communication est nécessaire à l'application d'une convention
collective, d'un décret, d'un arrêté, d'une directive ou d'un règlement qui établissent des
conditions de travail10.
Dans certaines situations, la personne responsable de la protection des renseignements
personnels, ou une personne qu'elle désigne, doit inscrire la communication dans le
registre de communication des renseignements personnels11. Dans d'autres situations, la
communication doit être effectuée dans le cadre d'une entente écrite12.
5.2. Communication de renseignements personnels en vue de prévenir un
acte de violence, dont un suicide
Conformément aux dispositions de l'article 59.1 de la LAI, les membres du personnel de
la MRC peuvent, dans le but de prévenir un acte de violence (incluant un suicide) et dans
les circonstances et aux conditions mentionnées ci-dessous, communiquer des
renseignements personnels sans le consentement des personnes concernées.
Pour l'application de l'article 59.1 LAI, les membres du personnel sont soumis à la
Directive sur la communication de renseignements personnels en vue de prévenir un acte
de violence contre la personne (DIR-AIPRP-01).
7 Idem, art. 67.2.1
8 Idem, art. 66
9 Idem, art. 67
10 Idem, art. 67.1
11 Idem, art. 41.3
12 Idem, art. 68
12
6. Comment protégeons-nous les renseignements personnels? 13
La MRC travaille actuellement à améliorer ses mesures de sécurité physiques,
organisationnelles, contractuelles et technologiques afin de protéger les renseignements
personnels contre la perte ou le vol, et contre l'accès, la divulgation, la copie, l'utilisation
ou la modification non autorisés par la loi.
La MRC s'engage à prendre des mesures pour faire en sorte que seuls les membres du
personnel qui doivent absolument avoir accès à des renseignements personnels dans le
cadre de leurs fonctions soient autorisés à y accéder. Par exemple, certains documents
du réseau seront cryptés.
Les personnes qui travaillent pour ou en collaboration avec la MRC doivent, notamment
et sans s'y limiter :
-
Fournir des efforts raisonnables pour minimiser le risque de divulgation non
intentionnelle de renseignements personnels;
-
Prendre des précautions particulières pour s'assurer que les renseignements
personnels ne sont pas surveillés, entendus, consultés ou perdus, lorsqu'elles
travaillent dans des locaux autres que les bureaux de la MRC;
-
Prendre des mesures raisonnables pour protéger les renseignements personnels
lorsqu'elles se déplacent d'un endroit à l'autre.
Les renseignements personnels détenus par la MRC sont traités et stockés au Québec.
Dans les cas où des renseignements personnels devront être stockés ou transférés à
l'extérieur du Québec, ce transfert n'a lieu que s'il est évalué que les renseignements
personnels recevront une protection équivalente à ce que prévoit la LAI14.
7. Nos rôles et responsabilités
La MRC est responsable des renseignements personnels qu'elle détient, et ce, tout au
long du cycle de vie de ces renseignements personnels15.
Le cycle de vie d'un renseignement personnel fait référence aux cinq (5) étapes
suivantes16 :
1) Collecte;
2) Utilisation;
13 Idem, art. 63.1
14 Idem, art. 70.1
15 Idem, art. 52.2
16 Commission d'accès à l'information - Protection des renseignements personnels :
https://www.cai.gouv.qc.ca/organismes/protection-des-renseignements-personnels/
13
3) Communication;
4) Conservation;
5) Destruction.
Dans cette optique, les membres du personnel de la MRC ont des rôles et responsabilités
à respecter, et ce, tout au long du cycle de vie des renseignements personnels.
7.1. Membres du personnel
La première étape du cycle de vie d'un renseignement personnel est la collecte. Il s'agit
du moment où le renseignement personnel est recueilli, créé ou inféré, c'est-à-dire déduit
à partir d'autres renseignements. À cette première étape, tout membre du personnel de
la MRC doit :
➢ Se nommer et informer la personne concernée (lors de la collecte et, par la suite,
sur demande)17 :
-
Du nom et de l'adresse de la MRC;
-
Des fins pour lesquelles le renseignement est recueilli;
-
Des catégories de personnes qui auront accès à ce
renseignement;
-
Du caractère obligatoire ou facultatif de la demande;
-
Des conséquences pour la personne concernée ou, selon le
cas, pour le tiers, d'un refus de répondre à la demande;
-
Des droits d'accès et de rectification prévus par la LAI.
➢ Limiter la collecte de renseignements personnels à ceux qui sont nécessaires :
o À l'exercice de ses attributions ou à la mise en œuvre d'un programme
dont il a la gestion; ou
o À l'exercice des attributions ou à la mise en œuvre d'un programme de
l'organisme public avec lequel il collabore pour la prestation de services
ou pour la réalisation d'une mission commune.
L'utilisation de renseignements personnels dans le cadre des fonctions doit être faite
dans le respect de la confidentialité de ces informations. Les renseignements doivent
être traités avec diligence. L'utilisation de renseignements personnels à des fins autres
que l'accomplissement des fonctions est strictement interdite.
17 Art. 65 de la Loi sur l'accès aux documents des organismes publics et la protection des renseignements personnels
(chapitre A-2.1).
14
La communication est la période où le renseignement personnel est communiqué, par
exemple, par courriel. Lors de la communication, il est nécessaire de :
➢ Obtenir le consentement des personnes concernées pour communiquer leurs
renseignements à un tiers (ex. demande d'accès à l'information), à moins d'une
exception prévue par la loi. Ce consentement peut être obtenu, notamment, via le
formulaire de consentement en annexe au présent document;
➢ Respecter les obligations prévues par la LAI lorsqu'elle communique des
renseignements personnels sans le consentement de la personne concernée;
➢ Respecter les obligations particulières applicables à la communication de
renseignements personnels à l'extérieur du Québec, le cas échéant.
Il est entendu que la diligence est également de mise lors des discussions entre les
membres du personnel. Des renseignements personnels ne peuvent être divulgués entre
membres du personnel si la divulgation ne vise pas un objectif commun et lié aux
fonctions des membres visés.
La conservation est la période durant laquelle la MRC garde des renseignements
personnels sous quelle que forme que ce soit, et ce, peu importe que les renseignements
soient activement utilisés ou non.
À cette étape, la MRC doit respecter les obligations suivantes :
➢ Assurer la qualité des renseignements personnels en veillant à ce que les
renseignements personnels qu'elle détient soient à jour et exacts au moment où
elle les utilise pour prendre une décision relative à la personne concernée
(ex. délivrance de permis divers);
➢ Prendre des mesures de sécurité propres à assurer la sécurité des
renseignements personnels, incluant l'anonymisation, s'il y a lieu.
Le cycle de vie du renseignement personnel se termine lors de sa destruction. À cette
étape, sauf exception, la MRC doit détruire les renseignements personnels de manière
sécuritaire, et ce, lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont
accomplies, sous réserve des dispositions contraires prévues dans certaines lois et
notamment, la Loi sur les archives (chapitre A-21.1).
Les employés doivent signaler toute violation de la présente politique ou de la loi à leur
gestionnaire immédiat ou à la personne responsable de la protection des
renseignements personnels de la MRC.
Il incombe à chaque membre du personnel de la MRC de s'informer au sujet de ses
obligations en vertu de la présente politique
15
7.2. Cadres
En plus des responsabilités susmentionnées, les cadres doivent informer leurs membres
du personnel de l'obligation de respecter la Politique et la LAI.
Ils doivent également examiner toute question portée à leur attention au sujet de la
Politique ou de la loi ou faire enquête à ce sujet lorsque jugé nécessaire.
Au besoin, les cadres doivent aviser la personne responsable de la protection des
renseignements personnels de la MRC, travailler de concert avec cette dernière ou lui
transmettre certaines questions.
7.3. Responsable de la protection des renseignements personnels de la
MRC
La personne responsable de la protection des renseignements personnels est celle
nommée à la direction des affaires juridiques. Elle est également responsable de l'accès
aux documents de la MRC.
Sur demande ou au besoin, la personne responsable de la protection des renseignements
personnels de la MRC fournira des conseils et des directives à tout le personnel de la
MRC en ce qui concerne le traitement par la MRC des renseignements personnels.
Cette personne servira également de premier point de contact pour les personnes
cherchant à obtenir de l'information sur le traitement de leurs renseignements
personnels par la MRC ou ayant des inquiétudes à cet égard.
En collaboration avec le CAIPRP, la personne responsable de la protection des
renseignements personnels de la MRC est chargée de surveiller l'application de la
Politique pour en assurer le respect. Afin de satisfaire à ces exigences, ces personnes
seront appelées à mettre en place les éléments suivants, sans s'y limiter :
-
En fournissant une première formation de base à tout le personnel actuellement
en poste à la MRC;
-
En assurant une communication ouverte, complète et opportune avec les
membres du personnel et les autres personnes avec qui elle est appelée à
collaborer au sujet des politiques, des pratiques et des attentes de la MRC
relativement au traitement des renseignements personnels;
-
En établissant des normes pour la classification de la sensibilité des
renseignements personnels afin de déterminer le niveau de protection approprié
pour ces renseignements;
-
En s'assurant que les renseignements personnels soient à l'abri de toute perte
ainsi que de l'accès, de l'utilisation, de la communication ou de la destruction
inappropriés, notamment :
16
o
En mettant en application des systèmes qui garantissent que seuls les
membres du personnel dont les fonctions exigent l'accès aux
renseignements personnels sont autorisés à avoir accès à l'information en
question;
o
En incluant des dispositions particulières dans les contrats ou les autres
arrangements conclus avec des tierces parties, qui exigent le respect de
la Politique;
-
En veillant à ce que des procédures soient en place pour que les personnes
puissent solliciter l'accès à leurs renseignements personnels et demander que
des corrections y soient apportées, et déposer des plaintes concernant la gestion
de leurs renseignements personnels;
-
En mettant en place des procédures pour aviser les personnes de toute collecte,
conservation, utilisation, communication ou destruction inappropriées de leurs
renseignements personnels;
-
En surveillant le degré de conformité à la Politique et, au besoin, en prenant des
mesures pour corriger toute lacune.
En plus de toutes les responsabilités susmentionnées, la personne responsable de la
protection des renseignements personnels est tenue d'appliquer de manière appropriée
la LAI.
Toute violation de la présente politique, commise intentionnellement ou par négligence,
peut entraîner des mesures disciplinaires ou des sanctions contractuelles, selon le cas.
Ces mesures pourront aller jusqu'au renvoi ou la résiliation du contrat, selon le cas. Des
sanctions légales peuvent également être prises, au besoin.
8. Consentement
Dans les situations qui le requièrent, la MRC devra obtenir un consentement à la
cueillette, à l'utilisation ou à la divulgation des renseignements personnels de la part
des personnes concernées.
Pour être valable, le consentement devra être manifeste, libre, éclairé, être donné à des
fins spécifiques et pour une durée déterminée, ne dépassant pas un (1) an.
La forme du consentement peut varier selon les circonstances et le type de
renseignements recherchés. Le consentement peut être explicite ou implicite et peut être
fourni directement par la personne ou par son représentant autorisé.
Nous préférons obtenir un consentement explicite, que ce soit verbalement, par voie
électronique ou par écrit. Le consentement implicite peut être raisonnablement déduit
de l'action ou l'inaction d'une personne, par exemple, le fait de fournir un nom et une
adresse pour recevoir une publication ou un nom et un numéro de téléphone pour obtenir
une réponse à une question.
17
Pour déterminer le type de consentement approprié, nous tenons compte de la sensibilité
des renseignements personnels en cause, des fins auxquelles ils sont recueillis et des
attentes raisonnables de la personne. Si nous voulons utiliser les renseignements
personnels à une nouvelle fin, nous décrirons l'utilisation prévue et demanderons à
nouveau le consentement.
Lorsqu'une personne a donné son consentement à la collecte, à l'utilisation et à la
communication de ses renseignements personnels, elle peut le retirer à tout moment.
Pour retirer son consentement, elle peut communiquer avec la personne responsable de
la protection des renseignements personnels de la MRC.
Un formulaire de consentement est joint en annexe à la présente Politique.
9. Gestion des incidents de confidentialité
Lorsque la MRC a des motifs de croire qu'il s'est produit un incident de confidentialité
impliquant un renseignement personnel qu'elle possède, elle doit prendre les mesures
raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de
nouveaux incidents de même nature ne se produisent.
La personne responsable de la protection des renseignements personnels doit tenir un
registre des incidents de confidentialité18.
Qu'est-ce qu'un incident de confidentialité?
-
L'accès non autorisé par la loi à un renseignement personnel;
-
L'utilisation non autorisée par la loi d'un renseignement personnel;
-
La communication non autorisée par la loi d'un renseignement personnel;
-
La perte d'un renseignement personnel ou toute autre atteinte à la protection
d'un tel renseignement.
Par exemple, un courriel est acheminé par accident à une personne avec un document
PDF qui contient des renseignements personnels visant une autre personne.
L'incident de confidentialité peut viser toute personne et sans s'y limiter, un citoyen ou
citoyenne, un membre du conseil de la MRC, un membre du personnel.
Formulaire d'évaluation du risque d'un préjudice
Dès qu'un membre du personnel de la MRC a connaissance d'un incident de
confidentialité dans le cadre de ses fonctions, il doit le déclarer à la personne
responsable de la protection des renseignements personnels, et ce, en remplissant le
18 Idem, art. 63.11
18
Formulaire d'évaluation du risque d'un préjudice, en annexe à la Politique. En effet, tout
incident de confidentialité présente un risque de préjudice.
Afin d'évaluer le risque qu'un préjudice soit causé à une personne dont un renseignement
personnel est concerné par un incident de confidentialité, la MRC doit considérer,
notamment19 :
-
La sensibilité du renseignement concerné, tels un renseignement financier ou un
renseignement d'identité;
-
Les conséquences appréhendées de son utilisation, telles qu'un vol d'identité, une
fraude financière ou une atteinte importante à la vie privée;
-
La probabilité qu'il soit utilisé à des fins préjudiciables.
Qu'est-ce qu'un risque de préjudice sérieux?
Un risque de préjudice sérieux correspond à un acte ou à un événement susceptible de
porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de
manière non négligeable. Il peut conduire, par exemple :
-
À l'humiliation;
-
À une atteinte à la réputation;
-
À une perte financière;
-
À un vol d'identité;
-
À des conséquences négatives sur un dossier de crédit;
-
À une perte d'emploi.
En cas de doute, il vous est suggéré de vous référer à la personne responsable de la
protection des renseignements personnels.
Si l'incident de confidentialité présente un risque qu'un préjudice sérieux soit causé, la
MRC doit, avec diligence, en aviser la Commission d'accès à l'information20. Elle doit
également aviser toute personne dont un renseignement personnel est concerné par
l'incident21.
En présence d'un risque de préjudice sérieux, la MRC peut aviser toute personne ou tout
organisme susceptible de diminuer ce risque en ne lui communiquant que les
renseignements personnels nécessaires à cette fin, sans le consentement de la personne
19 Idem, art. 63.10
20 Référence utile : Guide UMQ - Réforme de la Loi sur l'accès - Guide d'application pour les municipalités (juin 2022),
Annexe 3-A Modèle de signalement à la CAI d'un incident de confidentialité.
21 Idem, Annexe 3-B Modèle de signalement aux personnes concernées d'un incident de confidentialité.
19
concernée. Dans ce dernier cas, la personne responsable de la protection des
renseignements personnels, ou une personne qu'elle désigne, doit enregistrer la
communication22.
10. Conservation et destruction des renseignements personnels
En collaboration avec la personne assignée au poste de technique documentaire, la MRC
s'engage à conserver les renseignements personnels qu'elle détient que pour le temps
nécessaire pour atteindre les fins pour lesquelles elle les a recueillis et conformément à
son calendrier de conservation, à moins d'autorisation, ou d'exigence des lois, ou de la
réglementation applicable23.
En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été
recueilli ou utilisé sont accomplies, la MRC doit le détruire.
La MRC peut également anonymiser le document, mais uniquement à des fins d'intérêt
public. Un renseignement concernant une personne physique est anonymisé lorsqu'il est,
en tout temps, raisonnable de prévoir dans les circonstances qu'il ne permet plus, de
façon irréversible, d'identifier directement ou indirectement cette personne. Il convient
de préciser que l'anonymisation est un processus complexe qui devra suivre les
meilleures pratiques généralement reconnues et selon les critères et modalités
déterminés par un règlement du gouvernement à être adopté24.
Il convient de noter une exception à la règle générale : s'il s'agit de renseignements
personnels contenus dans un document visé par le calendrier de conservation de la MRC,
celui-ci doit respecter les règles qui y sont prévues en matière de conservation et de
destruction de ces documents.
Lorsque la MRC procède à la destruction de documents contenant des renseignements
personnels, elle s'assure de prendre les mesures de protection nécessaires visant à
assurer la confidentialité de ceux-ci. La méthode de destruction utilisée doit être
déterminée en fonction de la sensibilité des renseignements, de la finalité de leur
utilisation, de leur quantité, de leur répartition et de leur support.
11. Accès aux renseignements personnels et correction
Sous réserve des dispositions de la LAI à l'effet contraire, à titre de propriétaire de vos
22 Art. 63.8 de la Loi sur l'accès aux documents des organismes publics et la protection des renseignements personnels
(chapitre A-2.1).
23 Idem, art. 73
24 Commission d'accès à l'information - Distinguer anonymisation et dépersonnalisation :
https://www.cai.gouv.qc.ca/organismes/distinguer-anonymisation-et-depersonnalisation/
20
renseignements personnels, vous avez le droit d'obtenir l'accès à ceux-ci ou de demander
qu'ils soient corrigés.
Cela étant, l'article 94 de la LAI prévoit la procédure à suivre :
« Une demande de communication ou de rectification ne peut être
considérée que si elle est faite par écrit par une personne physique
justifiant de son identité à titre de personne concernée, à titre de
représentant, d'héritier ou de successible de cette dernière, à titre de
liquidateur de la succession, à titre de bénéficiaire d'assurance-vie ou
d'indemnité de décès ou à titre de titulaire de l'autorité parentale même si
l'enfant mineur est décédé.
Elle est adressée au responsable de la protection des renseignements
personnels au sein de l'organisme public.
Si la demande est adressée à la personne ayant la plus haute autorité au
sein de l'organisme public, cette personne doit la transmettre avec diligence
au responsable à qui cette fonction a été déléguée en vertu de l'article 8, le
cas échéant.
Le présent article ne restreint pas la communication à une personne d'un
renseignement personnel la concernant ou sa correction par une personne
autre que le responsable de la protection des renseignements personnels
et résultant de la prestation d'un service à lui rendre. »
À cet effet, il convient de noter que seules les demandes écrites vous donnent le droit de
faire une plainte à la Commission d'accès à l'information du Québec, si vous n'êtes pas
satisfait de la décision rendue par la MRC.
Le personnel de la MRC doit apporter son soutien aux personnes qui souhaitent
officiellement accéder à leurs renseignements personnels ou les corriger. Autrement, les
membres du personnel doivent diriger ces personnes vers la personne responsable de
l'accès à l'information et de la protection des renseignements personnels, soit la
personne nommée à la direction des affaires juridiques de la MRC.
12. Activités de formation et de sensibilisation
La protection des renseignements personnels repose principalement sur la
standardisation des conduites et la responsabilisation individuelle.
À cet égard, les membres du personnel de la MRC doivent être sensibilisés :
21
-
À la protection des renseignements personnels, la confidentialité et la sécurité
de l'information et des systèmes d'information de la MRC;
-
Aux conséquences d'un incident de confidentialité;
-
À leur rôle et à leurs responsabilités en la matière.
À ces fins, des outils de sensibilisation, sous forme de capsules ou de courriels
d'information, seront transmis à tous les membres du personnel au moins annuellement.
Une formation en présentiel et obligatoire pour tous les membres du personnel de la
MRC sera donnée dès que possible par la personne responsable de la protection des
renseignements personnels, à la suite de l'entrée en vigueur de la Politique. Par la suite,
le document informatif utilisé pour les fins de cette formation sera rendu disponible à
tout le personnel de la MRC.
À titre d'exemples, voici quelques bonnes pratiques que tous les membres du personnel
de la MRC devraient se prévaloir :
-
Avant d'acheminer un courriel contenant des renseignements personnels, vérifier
les adresses courriel des destinataires;
-
Avant d'ouvrir une pièce jointe, s'assurer que l'expéditeur est connu et fiable;
-
Ne pas partager ses mots de passe, sauf avec la personne nommée à la direction
générale ou à la direction générale adjointe et de la façon requise par ces
derniers;
-
Lors de la destruction d'un document papier contenant des renseignements
personnels, utiliser un moyen sécuritaire, tel que le déchiquetage;
-
Détruire, dès que possible, tout renseignement personnel en sa possession.
Annuellement, la personne responsable de la protection des renseignements personnels
effectuera un rappel à tout le personnel afin que ce dernier détruise les renseignements
personnels dont la conservation par la MRC n'est plus nécessaire.
13. Sondage
La présente section s'applique à tous les sondages pouvant viser des renseignements
personnels réalisés par la MRC, peu importe le sujet ou l'objet visé par ce dernier.
Avant de procéder à un sondage pouvant viser des renseignements personnels, tout
membre du personnel de la MRC doit prendre des mesures de protection à l'égard de ces
renseignements recueillis ou utilisés dans le cadre de ce sondage25.
25 Idem, art. 63.3
22
Ainsi, il est nécessaire que la personne qui désire recourir au sondage documente et
s'interroge sur les deux (2) éléments suivants :
1) La nécessité de recourir au sondage pour la MRC;
2) L'aspect éthique du sondage, compte tenu, notamment, de la sensibilité des
renseignements personnels recueillis et de la finalité de leur utilisation.
Nécessité de recourir au sondage :
-
Quel est l'objet du sondage?
-
Quels sont les objectifs recherchés par la réalisation du sondage?
-
Quels sont les avantages de recourir au sondage pour la MRC et sa population?
-
Est-il possible d'obtenir une fin similaire sans recourir au sondage? Si oui, par quel
moyen?
Évaluation éthique :
-
Le sondage vise-t-il des renseignements ou des sujets sensibles? Si oui, lesquels?
-
Quel type de clientèle sera visée par le sondage?
-
Quelle sera la complexité des questions posées?
-
En quoi ces renseignements sont-ils nécessaires à la réalisation du sondage?
-
Quels sont les risques associés à la participation au sondage?
-
Quelle utilisation sera faite des résultats obtenus?
Une évaluation écrite, indiquant les réponses aux questions susmentionnées, doit être
soumise à la personne responsable de la protection des renseignements personnels pour
approbation avant de réaliser le sondage.
14. Questions ou plaintes
La présente section vise à assurer un traitement adéquat, uniforme et diligent des
plaintes en lien avec la protection des renseignements personnels. Elle s'adresse à toute
personne insatisfaite dans le traitement de ses renseignements personnels.
Par conséquent, la présente section a pour objectif d'encadrer la réception des plaintes,
la transmission de l'accusé de réception et la création du dossier de plainte.
14.1. Fonctions de la personne responsable de la protection des
renseignements personnels
23
Dans le cadre du traitement d'une plainte relative à vos renseignements personnels, la
personne responsable de la protection des renseignements personnels a principalement
pour fonction de :
➢ Veiller à l'application de la présente section de la Politique;
➢ S'assurer de l'envoi d'un accusé de réception au plaignant;
➢ Enquêter sur les prétentions exposées par le plaignant;
➢ S'enquérir des attentes du plaignant;
➢ Répondre au plaignant en lui faisant part de ses conclusions et des mesures à
appliquer, le cas échéant.
14.2.
Notion de « plainte »
Pour les fins de la présente section, constitue une plainte :
➢ Une insatisfaction à l'égard de la correction de vos renseignements personnels;
➢ Une insatisfaction dans le traitement de vos renseignements personnels au cours
de leur cycle de vie (collecte, utilisation, communication, conservation ou
destruction);
➢ Un préjudice subi en lien avec le traitement de vos renseignements personnels.
14.3. Transmission des plaintes
Les questions ou plaintes relativement à vos renseignements personnels doivent être
portées à l'attention de la responsable de l'accès à l'information et de la protection des
renseignements personnels aux coordonnées suivantes :
Me Jessica St-Pierre
Directrice des affaires juridiques, greffière et responsable de l'accès aux
documents et de la protection des renseignements personnels
450 743-2703, poste 240
[email protected]
Des réponses aux questions seront transmises de façon ponctuelle et verbale. Les
plaintes doivent être formulées par écrit et indiquer les éléments suivants :
➢ Nom du plaignant;
➢ Coordonnées nécessaires pour être contacté;
➢ Motif(s);
➢ Mesures attendues de la part de la MRC.
24
14.4.
Traitement des plaintes
Toute plainte sera traitée de façon confidentielle.
Selon les circonstances, la personne responsable peut consulter d'autres membres de la
direction afin d'enquêter sur la situation ou de trouver des solutions.
Tout membre du personnel saisi d'une plainte doit la transmettre, dès sa réception, à la
personne responsable.
Tout membre du personnel qui reçoit une plainte verbale doit informer le plaignant de la
Politique et l'inviter à faire parvenir sa plainte par écrit à la personne responsable.
14.4.1. Accusé de réception
La personne responsable doit accuser réception de la plainte dans les dix (10) jours
ouvrables suivant la réception.
L'accusé de réception doit contenir les renseignements suivants :
➢ Description de la plainte reçue, précisant le préjudice ou les attentes, le cas
échéant;
➢ Dans le cas d'une plainte jugée incomplète, un avis comportant une demande de
complément d'information à laquelle le plaignant doit répondre dans un délai
fixé, à défaut de quoi la plainte pourra être réputée abandonnée;
➢ Le délai dans lequel la plainte sera traitée et les conclusions écrites acheminées
au plaignant;
➢ Copie de la présente section de la Politique (section 14).
14.4.2. Création du dossier de plainte
Afin d'assurer un traitement équitable et transparent, chaque plainte fait l'objet d'un
dossier distinct. Le dossier comporte les éléments suivants :
➢ L'accusé de réception écrit et adressé au plaignant;
➢ La plainte écrite du plaignant;
➢ Documents afférents au traitement de la plainte;
➢ La lettre de conclusion au plaignant, écrite et motivée.
14.4.3. Délai de traitement des plaintes
Le traitement de la plainte doit être effectué dans les vingt (20) jours ouvrables de la
réception de la plainte par la personne responsable ou de la réception de tous les
25
documents nécessaires à son étude (avis de demande de complément d'information), le
cas échéant.
Dans l'éventualité où une plainte ne peut être traitée dans le délai prévu, le plaignant
doit être informé par écrit et dans un délai raisonnable avant l'expiration du délai de
vingt (20) jours ouvrables, que la personne responsable se prévaudra d'un délai
additionnel de dix (10) jours ouvrables pour lui transmettre la lettre de conclusion.
Une fois la plainte examinée et l'analyse complétée, la personne responsable doit
transmettre au plaignant une réponse finale, écrite et motivée.
14.5. Recours à la Commission d'accès à l'information du Québec
Lorsqu'une personne est insatisfaite des mesures pouvant avoir été prises par la MRC
pour corriger la situation ou des explications fournies, elle est informée de son droit de
s'adresser à la Commission d'accès à l'information du Québec pour déposer une plainte
en vertu de la LAI.
Dans une telle situation, le formulaire à remplir est le suivant :
https://www.cai.gouv.qc.ca/documents/CAI_FO_plainte.docx.
Ce dernier formulaire peut être retrouvé à l'adresse suivante :
https://www.cai.gouv.qc.ca/diffusion-de-linformation/services-et-formulaires/.
15. Entrée en vigueur
La présente directive entre en vigueur le 15 septembre 2023.
Dès son entrée en vigueur, la MRC la rend accessible en la publiant sur son site Web.
À compter de son entrée en vigueur, la personne responsable de la protection des
renseignements personnels, en collaboration avec le CAIPRP, est responsable de la
révision annuelle de la Politique pour les trois (3) premières années. Par la suite, la
Politique devra être révisée tous les trois (3) ans ou au besoin.
26
Références
Cégep de Rivière-du-Loup : www.cegeprdl.ca/media/10907016/1126-05-25-directive-en-
matie-re-de-prp-vf.pdf
Commissariat à la protection de la vie privée du Canada :
https://www.priv.gc.ca/fr/protection-de-la-vie-privee-et-transparence-au-
commissariat/pp/
Commission d'accès à l'information du Québec - services et formulaires :
https://www.cai.gouv.qc.ca/diffusion-de-linformation/services-et-formulaires/
Commission d'accès à l'information du Québec - Ministères et organismes :
https://www.cai.gouv.qc.ca/organismes/
Gouvernement du Québec - Présentation des concepts-clés liés aux renseignements
personnels :
https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-
publique/services-employes-etat/conformite/protection-des-renseignements-
personnels/definitions-
concepts/concepts#:~:text=Exemples%20de%20cat%C3%A9gories%20de%20renseignem
ents%20personnels&text=Adresse%2C%20num%C3%A9ro%20de%20t%C3%A9l%C3%A9p
hone%2C%20sexe,maladie%2C%20identifiant%20num%C3%A9rique%2C%20etc
Gouvernement du Québec - Incident de confidentialité :
https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-
publique/services-employes-etat/conformite/protection-des-renseignements-
personnels/incident-de-confidentialite
Therrien Couture Joli-Cœur, S.E.N.C.R.L. (document PDF) : Protection des renseignements
personnels et Loi 25 - Ce que vous devez savoir aujourd'hui pour vous conformer à la Loi
(2023), 46 pages.
Union des municipalités du Québec (document PDF) : Réforme de la Loi sur l'accès -
Guide d'application pour les municipalités (juin 2022), 65 pages.
27
Formulaire de consentement à la
communication de renseignements personnels à un tiers
(Article 53 de la Loi sur l'accès aux documents des organismes publics et sur la
protection des renseignements personnels)
Section 1 - Renseignements sur l'identité
Section 2 - Consentement à la communication
Je, _______________________________________, consens à ce que la MRC de
Pierre-De Saurel communique à la personne désignée à la section 3 les renseignements
qu'elle détient relativement à ce qui suit : (Précisez le ou les documents visés)
Section 3 - Renseignements sur l'identité de la personne désignée pour recevoir la
communication
Nom et prénom
Adresse complète
No de téléphone
Nom et prénom
Adresse complète
No de téléphone
28
Section 4 - Caractère de la demande de consentement (réservé à l'administration)
O Facultative
O Obligatoire
Section 5 - Conséquence(s) du refus de donner son consentement (réservé à
l'administration
Section 6 - Protection des renseignements personnels
Les renseignements personnels recueillis par la MRC de Pierre-De Saurel sont
nécessaires à l'exercice de ses attributions. Ils seront traités confidentiellement. La MRC
ne communiquera ces renseignements qu'à son personnel ou ses mandataires autorisés
pour l'application de ce consentement. Toute consultation ou rectification de ces
renseignements est possible en s'adressant à la personne responsable de l'accès aux
documents et de la protection des renseignements personnels au sein de la MRC.
Section 7 - Durée du consentement
Ce consentement est valide pour une durée de _____________________ après la
signature du présent document, à moins qu'il ne soit révoqué.
Section 8 - Signature
J'atteste avoir lu et compris la portée du présent document.
____________________________ _____________________________
Signature
Date
Section
9
-
Renseignements
ou
documents
communiqués
(réservé
à
l'administration)
__________________________
____________________________
Date de la communication
Signature du responsable au sein de la MRC
29
Formulaire d'évaluation du risque de préjudice sérieux
(Articles 63.8 et suivant de la Loi sur l'accès aux documents des organismes publics et sur
la protection des renseignements personnels)
Numéro d'incident : ___________________
Nom de l'employé : _______________________________________________________
Date ou période visée par l'incident : _________________________________________
Date ou période de la prise de connaissance de l'incident : ________________________
Renseignement(s) personnel(s) visé(s) par l'incident :
Nombre de personne(s) concernée(s) : _______________________________________
Description des circonstances de l'incident :
Section réservée à l'usage du responsable de la protection des renseignements personnels
Y a-t-il un risque de sérieux préjudice?26 Oui Non Si oui, pourquoi?
S'il y a un risque de préjudice sérieux, un avis a-t-il été envoyé à :
Commission
Date :
Personne(s) visée(s)
Date :
Autre organisme ou personne27
Date :
26 Référence utile : Guide UMQ - Réforme de la Loi sur l'accès - Guide d'application pour les municipalités (juin 2022), p. 24.
27 Dans ce cas, la personne responsable de la protection des renseignements personnels doit enregistrer la communication (art. 63.8, al. 2 LAI, chapitre A-2.1).
30
Un avis public a-t-il été fait? Si oui, spécifiez les raisons.
Description des mesures prises par la MRC afin de diminuer les risques et d'éviter qu'une
situation similaire ne se reproduise :
______________________________
Signature du responsable de la protection des
renseignements personnels
_____________________________
Date