This is the exact embedded text of the captured official document.
Snapshot 3a120d337ea8 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE DE LA VILLE DE RICHELIEU
POLITIQUE ADMINISTRATIVE CONCERNANT LES RÈGLES
DE GOUVERNANCE EN MATIÈRE DE PROTECTION DES
RENSEIGNEMENTS PERSONNELS DE LA MUNICIPALITÉ
AVRIL 2025
2
CHAPITRE I -- APPLICATION ET INTERPRÉTATION
1. DÉFINITIONS
Aux fins de la présente politique, les expressions ou les termes suivants ont la signification ci-dessous
énoncée :
CAI : Désigne la Commission d'accès à l'information créée en vertu de la Loi sur l'accès;
Comité AIPRP : Désigne le Comité sur l'accès à l'information et la protection des renseignements
personnels de la Municipalité, exigé en vertu de la Loi sur l'accès;
Cycle de vie : Désigne l'ensemble des étapes d'existence d'un renseignement détenu par la Municipalité
et plus précisément sa création, sa modification, son transfert, sa consultation, sa transmission, sa
conservation, son archivage, son anonymisation ou sa destruction ;
Loi sur l'accès : Désigne la Loi sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels, RLRQ c. A -2,1 ;
Personne concernée : Désigne toute personne physique pour laquelle la Municipalité collecte, détient,
communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels ;
Partie prenante : Désigne une personne physique en relation avec la Municipalité dans le cadre de ses
activités et, sans limiter la généralité de ce qui précède, un employé ou un fournisseur ;
Politique de gouvernance : Désigne la politique administrative concernant les règles de gouvernance en
matière de protection des renseignements personnels de la Municipalité ;
Renseignement personnel : Désigne toute information qui concerne une personne physique et qui permet
de l'identifier directement ou indirectement, comme : l'adresse postale, le numéro de téléphone, le
courriel ou le numéro de compte bancaire, que ce soit les données personnelles ou professionnelles de
l'individu ;
Renseignement personnel sensible : Désigne tout renseignement personnel qui suscite un haut degré
d'attente raisonnable en matière de vie privée de tout individu, notamment en raison du préjudice
potentiel à la personne en cas d'incident de confidentialité, comme l'information financière, les
informations médicales, les données biométriques, le numéro d'assurance sociale, le numéro de permis
de conduire ou l'orientation sexuelle ;
Responsable de l'accès aux documents et de la protection des renseignements personnels : Désigne la
personne qui, conformément à la Loi sur l'accès, exerce cette fonction et répond aux demandes d'accès
aux documents de la Municipalité et veille à la protection des renseignements personnels détenus par la
Municipalité.
3
OBJECTIFS
La présente politique vise les objectifs suivants :
− Énoncer les orientations et les principes directeurs destinés à assurer efficacement la protection
des renseignements personnels ;
− Protéger les renseignements personnels recueillis par la Municipalité tout au long de leur cycle de
vie ;
− Assurer la conformité aux exigences légales applicables à la protection des renseignements
personnels, dont la Loi sur l'accès, et aux meilleures pratiques en cette matière ;
− Assurer la confiance du public en la Municipalité, faire preuve de transparence concernant le
traitement des renseignements personnels et les mesures de protection des renseignements
personnels appliquées par la Municipalité et leur donner accès lorsque requis.
CHAPITRE II -- MESURES DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
2. COLLECTE DES RENSEIGNEMENTS PERSONNELS
La Municipalité ne collecte que les renseignements personnels nécessaires aux fins de ses activités.
Sous réserve des exceptions prévues à la Loi sur l'accès, la Municipalité ne procède pas à la collecte de
renseignements personnels sans avoir préalablement obtenu le consentement de la personne concernée.
Est entendu que le consentement doit être donné à des fins spécifiques, pour une durée nécessaire à la
réalisation des fins auxquelles il est demandé. Le consentement de la personne concernée doit être :
a) Manifeste : ce qui signifie qu'il est évident et certain ;
b) Libre : ce qui signifie qu'il doit être exempt de contraintes ;
c) Éclairé : ce qui signifie qu'il est pris en toute connaissance de cause.
Au moment de la collecte de tout renseignement personnel, la Municipalité s'assure d'obtenir de façon
expresse le consentement libre et éclairé de la personne concernée. La Municipalité doit notamment
indiquer :
− Les fins auxquelles tout renseignement personnel est requis ;
− Le caractère obligatoire ou facultatif de la demande de collecte de renseignements personnels ;
− Les conséquences, pour la personne concernée, d'un refus de répondre à la demande ;
− Les conséquences, pour la personne concernée, d'un retrait de son consentement à la
communication ou à l'utilisation des renseignements personnels suivant une demande
facultative ;
− Les droits d'accès et de rectification aux renseignements personnels collectés ;
− Les moyens par lesquels tout renseignement personnel est recueilli ;
4
− Les précisions nécessaires relativement (1) au recours par la Municipalité à une technologie afin
de recueillir tout renseignement personnel, comprenant des fonctions qui permettent
l'identification, la localisation ou le profilage de la personne concernée et (2) aux moyens offerts,
à la personne concernée, pour en activer ou désactiver les fonctions ;
− Les précisions relatives à la durée de conservation de tout renseignement personnel ;
− Les coordonnées de la personne responsable de la protection des renseignements personnels au
sein de la Municipalité.
3. CONSERVATION ET UTILISATION DES RENSEIGNEMENTS PERSONNELS
La Municipalité restreint l'utilisation de tout renseignement personnel aux fins pour lesquelles il a été
recueilli et pour lequel la Municipalité a obtenu le consentement exprès de la personne concernée, le tout
sous réserve des exceptions prévues par la Loi sur l'accès.
La Municipalité limite l'accès à tout renseignement personnel détenu aux seules personnes pour lesquelles
ledit accès est requis à l'exercice de leurs fonctions au sein de la Municipalité.
La Municipalité applique des mesures de sécurité équivalente, quelle que soit la sensibilité des
renseignements personnels détenus afin de prévenir les atteintes à leur confidentialité et à leur intégrité
sous réserve des exceptions prévues à la Loi sur l'accès.
la Municipalité conserve les données et documents comportant des renseignements personnels :
a)
pour la durée nécessaire à l'utilisation pour laquelle ils ont été obtenus
ou
b)
conformément aux délais prévus à son calendrier de conservation.
Lors de l'utilisation de tout renseignement personnel, la Municipalité s'assure de l'exactitude du
renseignement personnel. Pour ce faire, elle valide son exactitude auprès de la personne concernée de
façon régulière et, si nécessaire, au moment de son utilisation.
La Municipalité accorde le même haut taux d'attente raisonnable de protection, en matière de
confidentialité et d'intégrité envers tout renseignement personnel qu'elle collecte, conserve et utilise que
le renseignement personnel soit sensible ou non.
4. FICHIER DE RENSEIGNEMENTS PERSONNELS
La Municipalité établit et maintient à jour un inventaire de ses fichiers de renseignements personnels.
Cet inventaire doit contenir les indications suivantes :
a)
la désignation de chaque fichier, les catégories de renseignements qu'il contient, les fins pour
lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier ;
b)
la provenance des renseignements versés à chaque fichier ;
c)
les catégories de personnes concernées par les renseignements versés à chaque fichier ;
5
d)
les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions ;
e)
les mesures de sécurité prises pour assurer la protection des renseignements personnels.
Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des renseignements
dont la confirmation de l'existence peut être refusée en vertu des dispositions de la Loi sur l'accès.
5. COMMUNICATION À DES TIERS
La Municipalité ne peut communiquer à des tiers tout renseignement personnel sans un consentement
exprès de la personne concernée sauf exception prévue à la Loi sur l'accès.
La Municipalité indique, dans les registres exigés par la Loi sur l'accès, toutes les informations relatives à
la transmission de tout renseignement personnel à un tiers à quelques fins que ce soit.
6. DESTRUCTION OU ANONYMISATION
Lorsque des renseignements personnels ne sont plus nécessaires aux fins pour lesquelles ils ont été
recueillis et lorsque le délai prévu au calendrier de conservation est expiré, la Municipalité doit les détruire
de façon irréversible ou les rendre anonymes.
La procédure de destruction devra être approuvée par le greffier et responsable de la protection des
renseignements personnels afin de s'assurer notamment du respect des articles 87 et 88 de la Loi sur les
cités et villes.
L'anonymisation vise une fin sérieuse et légitime et la procédure est irréversible.
Toute procédure d'anonymisation doit être approuvée par le greffier et responsable de la protection des
renseignements personnels.
CHAPITRE III -- RÔLES ET RESPONSABILITÉS À L'ÉGARD DE LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS
7. CONSEIL
Le conseil approuve la présente Politique et veille à sa mise en œuvre, notamment en s'assurant :
a)
De prendre les décisions nécessaires relevant de sa compétence pour voir à la mise en œuvre et
au respect de la présente Politique ;
b)
Que la direction générale et les directeurs de service de la Municipalité fassent la promotion
d'une culture organisationnelle fondée sur la protection des renseignements personnels et des
comportements nécessaires afin d'éviter tout incident de confidentialité ;
c)
Que le Responsable de l'accès aux documents et de la protection des renseignements personnels
puisse exercer de manière autonome ses pouvoirs et responsabilités.
8. COMITÉ AIPRP
Notamment, le Comité AIPRP :
6
a) Approuve les règles de gouvernance de la Municipalité à l'égard des renseignements personnels ;
b) Assure le suivi de ses activités auprès de la direction générale ;
c) Définit et approuve les orientations en matière de protection des renseignements personnels ;
d) Soutient la Municipalité dans l'exercice de ses responsabilités et dans l'exécution de ses
obligations en vertu de la Loi;
e) S'assure de gérer les incidents de confidentialité selon les modalités prévues à la Loi et à la
présente politique;
f) Soutient et encadre les services sur l'application des mesures de protection des renseignements
personnels;
g) Identifie les principaux risques en matière de protection des renseignements personnels et avise
la direction générale, afin que des mesures correctives soient proposées;
h) Approuve toute dérogation aux principes généraux de protection des renseignements personnels
établis;
i)
Émet des directives et suggère des mesures de protection sur tout projet d'acquisition, de
développement et de refonte d'un système d'information ou d'une prestation électronique de
services impliquant des renseignements personnels, incluant la vidéosurveillance et l'instauration
d'une nouvelle technologie;
j)
Promeut les orientations, les directives et les décisions formulées par la CAI;
k) Exerce toute autre fonction permettant une meilleure gestion de l'accès et de la protection des
renseignements personnels qui lui est attribuée par la direction générale.
9. DIRECTION GÉNÉRALE
La direction générale est responsable de la qualité de la gestion de la protection des renseignements
personnels et de l'utilisation de toute infrastructure technologique de la Municipalité à cette fin.
Elle agit à titre de membre du Comité AIPRP.
Elle doit également mettre en œuvre la présente Politique en :
a)
Veillant à ce que le Responsable de l'accès aux documents et de la protection des
renseignements personnels puisse exercer de manière autonome ses pouvoirs et
responsabilités ;
b)
S'assurant que les valeurs et les orientations en matière de protection des renseignements
personnels soient partagées et véhiculées par tout gestionnaire et employé de la Municipalité ;
c)
Planifiant et assurant la réalisation des activités de formation des employés de la Municipalité
en matière de protection des renseignements personnels;
d)
Veillant à ce que la Municipalité connaisse les orientations, les directives et les décisions
formulées par la CAI en matière de protection des renseignements personnels ;
e)
Apportant les appuis financiers et logistiques nécessaires à la mise en œuvre et au respect de la
présente politique ;
f)
Exerçant son pouvoir d'enquête et appliquant les sanctions appropriées aux circonstances pour
le non-respect de la présente Politique.
7
10. RESPONSABLE DE L'ACCÈS À L'INFORMATION ET DE LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS
Le responsable de l'accès aux documents et de la protection des renseignements personnels contribue à
assurer une saine gestion de la protection des renseignements personnels au sein de la Municipalité. Il
soutient le conseil, la direction générale et l'ensemble du personnel de la Municipalité dans la mise en
œuvre de la présente Politique.
Notamment, le responsable de l'accès à l'information et la protection des renseignements personnels :
a)
Assure la protection des renseignements personnels tout au long de leur cycle de vie, de la
collecte à la destruction ;
b)
Agit à titre de conseiller en matière d'accès aux documents et d'accès et de protection des
renseignements personnels ;
c)
Agit à titre de membre du comité AIPRP ;
d)
Voit à l'application de la Loi ;
e)
Répond aux requérants de l'accès à des documents en fonction des prescriptions de la Loi sur
l'accès ;
f)
Supervise la tenue des registres requis par la Loi ;
g)
Agit à titre d'interlocuteur auprès de la CAI.
11. RESPONSABLE DES TECHNOLOGIES DE L'INFORMATION
a) Soumet tout projet d'acquisition, de développement ou de refonte de système d'information ou
de prestation électronique de services, incluant la vidéosurveillance et l'instauration d'une
nouvelle technologie, au comité AIPRP pour fin d'analyse;
b) Assure la sécurité des renseignements numériques tout au long de leur cycle de vie;
c) Agit à titre de membre du comité AIPRP.
12. DIRECTEUR DE SERVICE
Chaque directeur de service est responsable de veiller à la protection des renseignements personnels au
sein du service qu'il dirige ainsi que des infrastructures technologiques nécessaires à cette fin auxquelles
les employés du service et lui ont accès dans le cadre de leurs fonctions à la Municipalité.
À ce titre, chaque directeur de service doit :
a)
Faire connaître la présente politique en matière de protection des renseignements personnels aux
employés de son service et s'assurer de son application et de son respect par ceux-ci ;
b)
S'assurer que les mesures de sécurité déterminées et mises en place soient appliquées
systématiquement à l'occasion de son emploi et de celui des employés qu'il dirige dans le service
dont il est responsable ;
8
c)
Participer à la sensibilisation de chaque employé de son équipe aux enjeux de la protection des
renseignements personnels ;
d)
Désigner, au sein de son service, le ou les employés dont la tâche inclue spécifiquement les
fonctions de veiller à la collecte, la détention, la conservation ou la destruction des
renseignements personnels et leur protection ;
13. EMPLOYÉS
Chaque employé doit :
a)
Prendre toutes les mesures nécessaires afin de protéger les renseignements personnels ;
b)
Mettre tout en œuvre pour respecter le cadre légal applicable et les mesures prévues aux
différentes politiques et directives de la Municipalité en lien avec la protection des
renseignements personnels ;
c)
N'accéder qu'aux renseignements personnels nécessaires dans l'exercice de ses fonctions ;
d)
Signaler au responsable de la protection des renseignements personnels tout incident de
confidentialité ou traitement irrégulier des renseignements personnels ;
e)
Participer activement à toute activité de sensibilisation ou formation données en matière de
protection des renseignements personnels ;
f)
collaborer avec le responsable de l'accès aux documents et de la protection des renseignements
personnels.
14. FORMATION DU PERSONNEL DE LA MUNICIPALITÉ EN VUE DE LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
La direction générale établit le contenu et le choix des formations offertes à tous les employés de la
Municipalité et détermine la fréquence à laquelle les employés doivent suivre toute formation établie.
CHAPITRE IV -- MESURES ADMINISTRATIVES
15. SONDAGES
Avant d'effectuer, ou de permettre à une tierce partie d'effectuer un sondage auprès des personnes
concernées pour lesquelles la Municipalité détient, recueille ou utilise des renseignements personnels, le
Comité AIPRP devra préalablement faire une évaluation des points suivants :
− la nécessité de recourir au sondage ;
− l'aspect éthique du sondage compte tenu, notamment, de la sensibilité des renseignements
personnels recueillis et de la finalité de leur utilisation.
Suivant cette évaluation, le Comité AIPRP devra faire des recommandations au conseil et à la direction
générale.
9
16. ACQUISITION, DÉVELOPPEMENT OU REFONTE D'UN SYSTÈME D'INFORMATION OU DE
PRESTATION ÉLECTRONIQUE
Avant de procéder à l'acquisition, au développement ou à la refonte des systèmes de gestion des
renseignements personnels, le Comité AIPRP doit procéder à une évaluation des facteurs relatifs à la vie
privée.
Dans le cadre de la mise en œuvre du projet prévu au présent article, le Comité AIPRP peut, à toute étape,
suggérer des mesures de protection des renseignements personnels, dont notamment :
a) la nomination d'une personne chargée de la mise en œuvre des mesures de protection des
renseignements personnels ;
b) des mesures de protection des renseignements personnels dans tout document relatif au projet,
tel qu'un cahier des charges ou un contrat ;
c) une description des responsabilités des participants au projet en matière de protection des
renseignements personnels ;
d) la tenue d'activités de formation sur la protection des renseignements personnels pour les
participants au projet.
La Municipalité doit également s'assurer que dans le cadre du projet, le système de gestion des
renseignements personnels permet qu'un renseignement personnel informatisé recueilli auprès de la
personne concernée soit communiqué à cette dernière dans un format technologique structuré et
couramment utilisé.
La réalisation d'une évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité
des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur
support.
17. INCIDENTS DE CONFIDENTIALITÉ
L'accès, l'utilisation ou la communication non autorisés de tout renseignement personnel ou sa perte
constituent un incident de confidentialité au sens de la Loi sur l'accès.
Le Comité AIPRP assure la gestion de tout incident de confidentialité conformément à la procédure de
gestion des incidents de confidentialité dont font partie les règles suivantes :
−
Tout incident de confidentialité avéré ou potentiel doit être rapporté le plus rapidement possible
au responsable de la protection des renseignements personnels par toute personne qui s'en rend
compte ;
−
Le Comité AIPRP doit réviser l'information rapportée afin de déterminer s'il s'agit d'un incident de
confidentialité et dans l'affirmative :
-
Inscrire l'information pertinente au registre des incidents de confidentialité de la
Municipalité ;
-
Aviser la CAI et toute personne concernée par l'incident de confidentialité ;
10
-
Identifier et recommander l'application de mesures d'atténuation appropriées, le cas
échéant.
18. TRAITEMENT DES PLAINTES
Toute personne physique qui estime que la Municipalité n'assure pas la protection des renseignements
personnels de manière conforme à la Loi sur l'accès peut porter plainte de la manière suivante :
Une plainte ne peut être considérée uniquement que si elle est faite par écrit par une personne physique
qui s'identifie.
Telle demande est adressée au responsable de la protection des renseignements personnels de la
Municipalité.
Le responsable de la protection des renseignements personnels avise par écrit le requérant de la date de
la réception de sa plainte et indique les délais pour y donner suite.
Le responsable de la protection des renseignements personnels donne suite à une plainte avec diligence
et au plus tard dans les vingt jours suivant la date de sa réception.
Si le traitement de la plainte dans le délai prévu au présent article paraît impossible à respecter sans nuire
au déroulement normal des activités de la Municipalité, le responsable de la protection des
renseignements personnels peut, avant l'expiration de ce délai, le prolonger d'une période raisonnable et
en donne avis au requérant, par tout moyen de communication permettant de joindre ce dernier.
Dans le cadre du traitement de la plainte, le responsable de la protection des renseignements personnels
peut communiquer avec le plaignant et faire une enquête interne.
À l'issue de l'examen de la plainte, le responsable de la protection des renseignements personnels
transmet au plaignant une réponse finale écrite et motivée.
Si le plaignant n'est pas satisfait de la réponse obtenue ou du traitement de sa plainte, il peut s'adresser
par écrit à la CAI.
19. SANCTIONS
Tout employé de la Municipalité qui contrevient à la présente Politique ou aux lois et à la réglementation
en vigueur applicable en matière de protection des renseignements personnels s'expose, en plus des
pénalités prévues aux lois, à une mesure disciplinaire pouvant notamment mener à une mesure
disciplinaire et pouvant aller jusqu'au congédiement. La direction générale, de concert avec le Service des
Ressources humaines, est chargée de décider de l'opportunité d'appliquer la sanction appropriée, le cas
échéant. La Municipalité peut également transmettre à toute autorité judiciaire les informations colligées
sur tout employé, qui portent à croire qu'une infraction à l'une ou l'autre loi ou règlement en vigueur en
matière de protection des renseignements personnels a été commis.
20. DISPOSITION FINALE
La présente politique entre en vigueur dès son adoption par le conseil.