Politique de protection des renseignements personnels

Saint-Alphonse-de-Granby, Quebec

This is the exact embedded text of the captured official document. Snapshot 79f048b72c5f · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

Page 1 sur 17 POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE LA MUNICIPALITÉ DE SAINT-ALPHONSE-DE-GRANBY Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 2 de 17 Table des matières 1. OBJET ET PORTÉE DE LA POLITIQUE ......................................................................................................... 4 2. DOCUMENTS DE RÉFÉRENCE .................................................................................................................... 4 2.1. LÉGISLATION PERTINENTE .............................................................................................................................. 4 2.2. CADRE NORMATIF ........................................................................................................................................ 4 3. DÉFINITIONS ............................................................................................................................................ 5 4. PRINCIPES GÉNÉRAUX .............................................................................................................................. 6 4.1. RESPONSABILISATION ET GOUVERNANCE .......................................................................................................... 6 4.2. CONSENTEMENT ......................................................................................................................................... 6 4.3. ÉQUITÉ ET LÉGALITÉ ..................................................................................................................................... 7 4.4. TRANSPARENCE ........................................................................................................................................... 7 4.5. DÉTERMINER LES FINS DE LA COLLECTE ET DE L'UTILISATION .................................................................................. 8 4.6. EXACTITUDE ET RECTIFICATION ....................................................................................................................... 8 4.7. CONSERVATION ET ANONYMISATION ............................................................................................................... 8 4.8. SÉCURITÉ ET CONFIDENTIALITÉ ....................................................................................................................... 8 5. FINS DE TRAITEMENT LÉGITIMES ............................................................................................................. 9 5.1. GESTION DES RESSOURCES HUMAINES ............................................................................................................. 9 5.2. AUTRES ACTIVITÉS ....................................................................................................................................... 9 5.3. CONFORMITÉ AVEC LA LOI ............................................................................................................................. 9 6. INTÉGRATION DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS AUX ACTIVITÉS ......................... 9 6.1. COLLECTE DE RENSEIGNEMENTS PERSONNELS ................................................................................................... 9 6.2. COLLECTE DE RENSEIGNEMENTS PERSONNELS DES EMPLOYÉS ............................................................................. 10 6.3. UTILISATION, CONSERVATION ET DESTRUCTION................................................................................................ 10 6.4. UTILISATION, CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS DES EMPLOYÉS ........................... 10 6.5. DIVULGATION À DES TIERS ........................................................................................................................... 11 6.6. DIVULGATION DANS LE CADRE D'UNE TRANSACTION ......................................................................................... 12 6.7. TRANSFERT À L'EXTÉRIEUR DU QUÉBEC .......................................................................................................... 12 6.8. DROIT D'ACCÈS ET RECTIFICATION ................................................................................................................. 12 6.9. DROIT À LA PORTABILITÉ ............................................................................................................................. 12 6.10. DROIT À LA DÉSINDEXATION (DROIT À L'OUBLI) ............................................................................................... 13 6.11. SONDAGE ................................................................................................................................................ 13 7. ORGANISATION ET GOUVERNANCE ....................................................................................................... 13 7.1. RÔLES ORGANISATIONNELS .......................................................................................................................... 13 7.2. REGISTRES................................................................................................................................................ 14 7.3. ACTIVITÉS DE SENSIBILISATION ...................................................................................................................... 15 8. SIGNALEMENT D'INCIDENTS DE CONFIDENTIALITÉ ET RÉPONSE AUX PLAINTES ..................................... 15 9. AUDIT..................................................................................................................................................... 15 10. SANCTIONS ............................................................................................................................................ 15 11. CONFLITS ............................................................................................................................................... 15 12. AUTRES MEMBRES DU PERSONNEL ........................................................................................................ 15 Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 3 de 17 13. GESTION DOCUMENTAIRE ..................................................................................................................... 16 14. VALIDITÉ ................................................................................................................................................ 17 Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 4 de 17 1. Objet et portée de la Politique La protection des Renseignements personnels est au cœur des préoccupations de la Municipalité de Saint- Alphonse-de-Granby (la « Municipalité »). C'est pourquoi nous nous engageons à respecter la vie privée de chacun conformément aux lois, règlements et normes applicables au Québec en matière de protection des Renseignements personnels. Dans la présente politique de protection des Renseignements personnels (la « Politique »), vous constaterez que nous adhérons à des principes et à des pratiques que nous mettons en œuvre lorsque nous recueillons, utilisons, communiquons, conservons, ou détruisons les Renseignements personnels de nos clients, fournisseurs, partenaires commerciaux, employés et autres personnes en relation avec nous, dans le cadre de nos activités. Cette Politique présente également les responsabilités qui incombent au Responsable de la protection des Renseignements personnels et vous indique la structure de gouvernance adoptée grâce à la création de divers comités. La présente Politique s'applique à tous ses employés, comités, fournisseurs de services, partenaires commerciaux et autres contractants qui travaillent pour le compte ou avec la Municipalité ainsi que les personnes visées par l'article 13 des présentes. 2. Documents de référence 2.1. Législation pertinente - Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1 (la « Loi sur l'accès »); - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, SQ 2021, c 25 (la « Loi 25 », sanctionnée le 22 septembre 2021); - Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, LC 2010, ch. 23; - Loi concernant le cadre juridique des technologies de l'information, RLRQ c C-1.1; - Charte des droits et libertés de la personne, RLRQ c C-12; - Code civil du Québec, RLRQ c CCQ-1991. (collectivement, les « Lois québécoises sur la protection de la vie privée ») 2.2. Cadre normatif Conformément à la Loi sur l'accès, la Présente politique est accessible via le site Internet de la Municipalité. Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 5 de 17 3. Définitions Les mots et expressions qui suivent, lorsqu'ils apparaissent avec une première lettre en majuscule dans la Politique, ont le sens qui leur est attribué ci-après, à moins d'une dérogation implicite ou explicite dans le texte : Activité de traitement ou Traitement : toute opération effectuée sur ou avec des renseignements personnels au cours de leur cycle de vie, que ce soit ou non par des moyens automatisés, en débutant par la collecte, puis l'utilisation, la communication, la conservation et finalement la destruction ainsi que toutes les activités en lien avec ces opérations. Anonymiser : signifie tout moyen permettant de faire en sorte qu'un renseignement concernant un individu ne permette plus, de façon irréversible, d'identifier directement ou indirectement cette personne, le tout selon les meilleures pratiques généralement reconnues. Dépersonnalisation : signifie toute méthode, incluant la suppression des noms et identifiants évidents, permettant de faire en sorte qu'un renseignement personnel ne permette plus d'identifier directement la personne concernée. Évaluation des facteurs relatifs à la vie privée ou ÉFVP : démarche conçue pour évaluer les Activités de traitement et leur nécessité, qui sont proportionnelles à la fin recherchée et s'assurer que le Traitement ne risque pas de porter atteinte à la vie privée d'un individu. Incident de confidentialité : désigne tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d'atteinte à sa protection ou à son caractère confidentiel. Pseudonymisation : signifie une mesure de sécurité réversible qui consiste à remplacer des renseignements facilement attribuables à une personne (par exemple, son nom et son prénom) par des renseignements qui ne permettent qu'une identification indirecte de la personne concernée (par exemple, un alias ou un numéro de référence). Renseignements personnels : désigne tout renseignement qui concerne une personne physique et permet de l'identifier directement ou indirectement, c'est-à-dire qui révèle de manière directe ou indirecte ou par référence, quelque chose sur l'identité, les caractéristiques, les activités, l'emplacement ou d'autre informations identifiables (ex.: habiletés, préférences, tendances psychologiques, prédispositions, capacités mentales, caractère et comportement, situation économique culturelle ou sociale) de cette personne, et ce quelle que soit la nature du support et quelle que soit la forme sous laquelle ces renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre) et inclus dans tous les cas, un Renseignement personnel sensible. Renseignements personnels sensibles : renseignement personnel qui, par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d'attente raisonnable de protection de la part de la personne concernée (par exemple, des renseignements médicaux, biométriques, génétiques ou financiers, Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 6 de 17 ou encore de renseignements sur la vie ou l'orientation sexuelle, les convictions religieuses ou philosophiques, l'appartenance syndicale ou bien l'origine ethnique). Responsable de la protection des renseignements personnels et de l'accès aux documents (Responsable de la PRP et de l'accès) : désigne l'individu qui veille à assurer le respect et la mise en œuvre des Lois québécoises sur la protection de la vie privée au sein de la Municipalité. 4. Principes généraux La Loi sur l'accès du Québec et la Loi 25 ainsi que certains contrats avec laquelle la Municipalité est liée obligent la Municipalité à se conformer aux principes généraux suivants : 4.1. Responsabilisation et gouvernance La Municipalité est responsable de la protection des Renseignements personnels qu'elle détient, utilise, traite, communique, conserve ou détruit. Elle doit notamment : - désigner un Responsable de la PRP et de l'accès; - établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l'égard des Renseignements personnels; - répondre aux demandes d'accès et de rectification qui lui sont transmises; - publier sur son site Web, son Programme de gouvernance de l'information relatant les politiques et pratiques en vigueur; - aviser la Commission d'accès à l'information et les personnes concernées de tout Incident de confidentialité. 4.2. Consentement Les Renseignements personnels ne doivent être collectés et traités qu'aux fins légitimes et nécessaires pour lesquelles ils ont été initialement recueillis. Aussi, avant de recueillir, d'utiliser ou de communiquer des Renseignements personnels, la Municipalité doit obtenir un consentement valable de la part de la personne concernée. C'est pourquoi nous recueillons ce consentement de manière explicite, sous réserve de situations où le consentement peut être implicite en vertu de la loi. Il doit cependant être donné de manière expresse s'il concerne des renseignements sensibles. Lorsque la collecte de Renseignements personnels concerne un enfant de moins de 14 ans, le Responsable de la PRP et de l'accès doit s'assurer que le consentement de l'autorité parentale ou du tuteur du mineur a été obtenu avant la collecte à l'aide du Formulaire de consentement parental. Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Pour utiliser les Renseignements personnels à une fin secondaire ou autre, il est nécessaire d'obtenir un consentement additionnel. Ce dernier sera énoncé ou rédigé de façon simple et claire et inclure : Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 7 de 17 - la fin initiale pour laquelle les renseignements ont été recueillis; - la ou les nouvelles fin(s) visée(s) (ou les fins secondaires); - la raison du changement de fin(s). Une preuve que le consentement a été valablement obtenu est conservée par la Municipalité. Le Responsable de la PRP et de l'accès est responsable du respect des règles concernant l'obtention du consentement de façon légale et appropriée. 4.3. Équité et légalité Les Renseignements personnels doivent être traités par des moyens équitables et légaux tout au long de leur cycle de vie. C'est pourquoi nous formons et sensibilisons de façon récurrente nos employés à l'égard des politiques et des pratiques de gestion des Renseignements personnels de la Municipalité. Elles sont rédigées en termes simples et clairs pour en faciliter la compréhension et sont faciles d'accès pour nos employés comme pour nos clients. 4.4. Transparence La Municipalité doit informer ses clients et ses employés des politiques et des pratiques de gestion des Renseignements personnels qu'elle met en œuvre dans le cadre de ses activités et opérations. Ces politiques et pratiques doivent être rédigées en termes simples et clairs et être faciles d'accès. Ainsi, avant de recueillir ou au moment de recueillir des Renseignements personnels, la Municipalité doit communiquer aux personnes concernées les informations minimales suivantes : - Les fins légitimes auxquelles ces renseignements sont recueillis; - Les moyens par lesquels les renseignements sont recueillis; - Les droits d'accès et de rectification prévus par la loi; - Le droit pour la personne concernée de retirer son consentement à la communication ou à l'utilisation de ses renseignements; - Le nom du tiers pour qui la collecte est faite, le cas échéant; - La possibilité que les renseignements soient communiqués à l'extérieur du Québec, le cas échéant; - La possibilité que les renseignements soient communiqués à des fournisseurs de services, incluant des organisations affiliées, le cas échéant, ou à d'autres tiers similaires; - La durée de conservation de ces renseignements (sur demande); - Les coordonnées du RPRP. Sur demande de sa part, la personne concernée doit également être informée des éléments suivants : - Les Renseignements personnels que vous nous avez communiqués; Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 8 de 17 - Les catégories de personnes qui ont accès à ces Renseignements personnels au sein de la Municipalité; 4.5. Déterminer les fins de la collecte et de l'utilisation Les Renseignements personnels doivent être recueillis et utilisés à des fins spécifiques, explicites et légitimes, c'est-à-dire directement liées et manifestement nécessaires à la réalisation des Activités de traitement pour lesquelles ils ont été communiqués. Ces fins sont établies avant la collecte et l'utilisation des Renseignements personnels, qui ne doivent pas être effectuées d'une manière incompatible avec ces fins établies, sous réserve du consentement obtenu. La Municipalité doit faire preuve d'honnêteté et de transparence au sujet des raisons pour lesquelles elle recueille des Renseignements personnels et il est important que tous comprennent bien ce que nous en ferons. 4.6. Exactitude et rectification Les Renseignements doivent être à jour et exacts au moment où nous les utilisons pour prendre une décision. Nous visons à sauvegarder l'intégrité de l'information, tant dans son fond que sa forme, et à nous assurer que personne ne subit de préjudice si un Renseignement devait être inexact ou désuet. Nous prenons des mesures raisonnables et adoptons les meilleures pratiques pour que les Renseignements personnels soient maintenus à jour et qu'ils soient ou rectifiés s'ils doivent l'être ou effacés lorsque devenus inutiles. 4.7. Conservation et anonymisation Les Renseignements personnels ne doivent être conservés que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis. Lorsque ces fins ont été accomplies, la Municipalité doit détruire les Renseignements personnels. La Municipalité peut également Anonymiser les Renseignements personnels, selon les meilleures pratiques généralement reconnues, pour les utiliser à des fins sérieuses et légitimes seulement. Il est possible que certaines lois spécifient une période de conservation, que la Municipalité sera tenue de respecter. 4.8. Sécurité et confidentialité La Municipalité a l'obligation de mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels qu'elle détient, utilise, communique, conserve ou détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif. Ces mesures de sécurité doivent tenir compte notamment du degré de sensibilité des Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur méthode de conservation, de leur support et de leur format ainsi que des risques liés au respect de la vie privée. Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 9 de 17 Des mesures de sécurité adéquates devraient comprendre plusieurs couches de sécurité qui incluent, sans s'y limiter, des moyens techniques, matériels, organisationnels et administratifs qui ont été implantées au sein de la Municipalité. 5. Fins de Traitement légitimes La Municipalité peut utiliser les Renseignements personnels de ses employés pour des fins légitimes, dont celles qui sont décrites ci-dessous : 5.1. Gestion des ressources humaines Pour nous permettre de gérer les ressources humaines, notamment en ce qui concerne de nombreux processus : recrutement, exécution d'un contrat de travail, cessation d'emploi, gestion des performances, formation des employés, rémunération et avantages sociaux, services divers aux employés, santé et sécurité au travail, invalidité et processus de retour au travail, ainsi que toute autre activité de ressources humaines. L'employé qui fournit des Renseignements personnels consent implicitement à leur collecte et à leur utilisation par l'employeur, soit la Municipalité. Celle-ci peut traiter les Renseignements personnels de ses employés sans renouveler ce consentement tant que l'employé est à son emploi, car à titre d'employeur, la Municipalité a une obligation légitime de recueillir les Renseignements personnels de ses employés pour gérer sainement et efficacement ses activités. Toutefois, les besoins d'information de la Municipalité doivent être compatibles au droit des employés à la protection de leurs Renseignements personnels. 5.2. Autres activités Pour permettre à la Municipalité de réaliser ses activités telles que la gestion des actifs de la Municipalité, la prestation de services informatiques ou web, la sécurité de l'information, la réalisation d'audits et d'enquêtes internes, le respect des obligations de ses contrats, obtenir des conseils juridiques, la préparation de litiges juridiques, etc. 5.3. Conformité avec la loi Pour permettre à la Municipalité de se conformer à ses obligations légales et à toute autre fin requise par la loi, incluant celle de divulguer des Renseignements personnels des employés aux autorités fiscales compétentes afin de se conformer aux lois fiscales applicables. 6. Intégration de la protection des Renseignements personnels aux activités En application principes généraux énoncés ci-dessus, la Municipalité intègre les pratiques décrites ci-dessous tout au long du cycle de vie des Renseignements personnels dans ses opérations et activités. 6.1. Collecte de Renseignements personnels Lorsque nous collectons des Renseignements personnels, c'est d'abord directement auprès de la personne concernée nous les recueillons, après avoir mentionné l'information prévue à l'article 4.5. Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 10 de 17 Cependant, si des Renseignements personnels sont recueillis auprès de tiers, le Responsable de la protection des renseignements personnels doit s'assurer que la collecte est autorisée par la loi et qu'elle respecte les politiques et pratiques de la Municipalité à ce sujet. En tout temps, la Municipalité limite sa collecte de Renseignements personnels à ce qui est nécessaire pour les fins déterminées et annoncées à la personne concernée. 6.2. Collecte de Renseignements personnels des employés Lorsque la Municipalité collecte des Renseignements personnels, c'est d'abord directement auprès de la personne concernée qu'elle les recueille, après avoir mentionné l'information prévue à l'article 4.5. Cependant, si des Renseignements personnels sont recueillis auprès de tiers, le Responsable de la protection des renseignements personnels doit s'assurer que la collecte est autorisée par la loi et qu'elle respecte les politiques et pratiques de la Municipalité à ce sujet. En tout temps, la Municipalité doit s'assurer que les collectes effectuées ou envisagées sont autorisées par la loi et qu'elles respectent les politiques et pratiques de la Municipalité à ce sujet. 6.3. Utilisation, conservation et destruction Les objectifs, les méthodes, la période de conservation et les limites de stockage des Renseignements personnels doivent être conformes aux informations contenues dans la Politique de confidentialité de la Municipalité et dans la Politique sur la gestion intégrée des documents. C'est le Responsable de la PRP et de l'accès qui doit procéder à une vérification annuellement des Renseignements personnels collectés et traités et construire un Registre des Renseignements personnels décrivant les renseignements utilisés au sein des documents produits par la Municipalité, les fins pour lesquelles ces renseignements ont été produits, les délais de conservation de ces documents et des renseignements qu'ils contiennent ainsi que les droits d'accès relatifs à chacun de ces documents. La Municipalité doit maintenir l'exactitude, l'intégrité, la confidentialité et la pertinence des Renseignements personnels en fonction de la finalité du Traitement et de plus, ne les conserver que pour le temps dont elle en a besoin à ces fins. La Municipalité a mis en place des mécanismes de sécurité raisonnables et adéquats pour empêcher le vol, l'utilisation abusive ou frauduleuse des Renseignements personnels et prévenir les Incidents de confidentialité. La Municipalité doit s'assurer de ne pas détruire ou modifier illégalement les Renseignements personnels qu'elle détient. La Municipalité doit également s'assurer de ne pas accéder, vendre ou fournir les Renseignements personnels qu'elle détient à un tiers de manière illégale ou sans autorisation. La Municipalité effectue des audits régulièrement pour s'en assurer. 6.4. Utilisation, conservation et destruction des Renseignements personnels des employés Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 11 de 17 Pour la presque totalité des Renseignements personnels des employés - y compris les dossiers relatifs à la paye et aux avantages sociaux, les dossiers personnels officiels et officieux, les enregistrements de navigation sur Internet, le courrier électronique et les pistes d'audit - les règles fondamentales suivantes doivent être respectées afin de maintenir un équilibre entre les droits de la Municipalité et ceux des employés : - La Municipalité doit traiter les Renseignements personnels des employés qu'aux seules fins pour lesquelles ceux-ci ont été recueillis et ne conserver ces derniers que pour le temps dont elle en a besoin à ces fins, sauf si elle a le consentement de l'employé concerné de les utiliser à d'autres fins ou s'il doit, en vertu des lois applicables, utiliser ou communiquer les Renseignements personnels de l'employé à d'autres fins. - La Municipalité doit mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels de ses employés qu'elle détient, utilise, communique, conserve ou détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif. Des mesures de sécurité adéquates devraient comprendre plusieurs couches de sécurité qui incluent, sans s'y limiter, des moyens techniques, matériels, organisationnels et administratifs permettant d'assurer la gestion des risques, des incidents et la continuité des activités. - La Municipalité doit s'assurer de ne pas détruire ou modifier illégalement les Renseignements personnels des employés. La Municipalité doit également s'assurer de ne pas accéder, vendre ou fournir les Renseignements personnels des employés à un tiers de manière illégale ou sans autorisation. 6.5. Divulgation à des tiers Avant de transférer des Renseignements personnels à un fournisseur de services, le Responsable de la PRP et de l'accès doit, à chaque fois, conclure un contrat écrit avec ce tiers, comme l'Entente relative à la sécurité de l'information concernant le Traitement des Renseignements personnels par un fournisseur de services. Certaines clauses doivent nécessairement se retrouver à ce contrat telles que: - La description des mesures prises par le fournisseur de services pour assurer la protection du caractère confidentiel des Renseignements personnels communiqués (ex. une description des mesures de sécurité); - L'engagement, par le fournisseur de services, de n'utiliser les Renseignements personnels qu'aux fins de la prestation des services et de ne pas conserver ces renseignements après l'expiration du contrat; et - L'obligation, pour le fournisseur de services, de nous informer sans délai de toute violation ou tentative de violation de la confidentialité des renseignements afin de nous permettre d'effectuer toute enquête ou vérification relative à cette violation. À cette fin, le « Questionnaire de conformité à l'attention des sous-traitants » doit être utilisé. Une fois le formulaire rempli et retourné à l'attention du Responsable de la protection des renseignements personnels, ce dernier analyse, avec le Comité de gouvernance, sécurité et protection des renseignements personnels ou, à défaut d'un tel comité, avec les personnes désignées et détenant l'expertise requise pour procéder à l'analyse, les risques relatifs à la divulgation de Renseignements personnels. Sur la base de cette analyse, le Comité ou Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 12 de 17 le groupe de personnes ayant procédé à l'analyse et le Responsable de la protection des renseignements personnels doivent entreprendre des discussions avec le fournisseur de services afin qu'il implante au sein de son entreprise un programme de gouvernance qui respectera le Programme de gouvernance en place au sein de la Municipalité et le tiers devra s'engager à conclure une Entente relative à la sécurité de l'information. 6.6. Divulgation dans le cadre d'une transaction Si la divulgation de Renseignements personnels est nécessaire dans le cadre d'une transaction, le Responsable de la protection des renseignements personnels doit, à chaque fois, conclure une entente écrite avec les parties à la transaction qui prévoit notamment que la partie recevant communication des Renseignements personnels s'engage à : - n'utiliser ces renseignements qu'aux seules fins de la conclusion de la transaction; - ne pas communiquer ces renseignements sans avoir obtenu le consentement des individus concernés; - prendre les mesures nécessaires pour assurer la protection du caractère confidentiel de ces Renseignements personnels; et - détruire ces Renseignements personnels si la transaction n'est pas conclue ou si leur utilisation n'est plus nécessaire aux fins de sa conclusion. À cette fin, le ou les cocontractants doivent conclure avec la Municipalité un Engagement de confidentialité. 6.7. Transfert à l'extérieur du Québec Si des Renseignements personnels sont communiqués à l'extérieur du Québec, une Évaluation des facteurs relatifs à la vie privée (ÉFVP) sera effectuée. Elle prendra en compte les éléments prévus à la loi pour nous assurer que les Renseignements bénéficieront d'une protection adéquate et suffisante chez le récipiendaire des Renseignements. 6.8. Droit d'accès et rectification En tout temps, toute personne bénéficie d'un accès gratuit (ou à un prix modique pour obtenir des reproductions) à ses Renseignements personnels. Elle peut également faire corriger ou mettre à jour les renseignements inexacts, sous réserve des exceptions prévues par la loi. Ces demandes sont traitées dans un délai de 30 jours et sont inscrites au Registre des demandes d'accès et de rectifications. Si une demande d'accès est refusée, le RPRP y répond par écrit et explique les raisons de ce refus. Lorsqu'elle répond à une demande d'accès, la Municipalité doit d'abord s'assurer de vérifier l'identité de la personne qui fait la demande avant de lui transmettre or de lui communiquer des Renseignements personnels. 6.9. Droit à la portabilité Toute personne demander que les Renseignements personnels recueillis à son sujet soient communiqués ou transférés à une autre organisation désignée, dans un format technologique et couramment utilisé. Ceci exclut Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 13 de 17 les renseignements créés ou inférés par la Municipalité à partir de l'analyse de vos Renseignements personnels. Après le transfert, nous ne sommes pas tenus de détruire les Renseignements personnels traités dans cette demande. 6.10. Droit à la désindexation (Droit à l'oubli) Les personnes concernées peuvent demander à la Municipalité, sous réserve de certaines conditions, de cesser de diffuser leurs Renseignements personnels et de désindexer tout hyperlien rattaché à leur nom qui donne accès à ces Renseignements personnels si cette diffusion leur cause un préjudice ou contrevient à la loi ou à une ordonnance judiciaire. Le Responsable de la protection des renseignements personnels doit prendre les mesures nécessaires pour respecter ce droit à la désindexation et informer les tiers qui utilisent ou traitent ces Renseignements personnels afin de se conformer à la demande. 6.11. Sondage Toute personne, organisme ou autre organisation qui souhaite effectuer un sondage auprès des personnes physiques à qui se rapportent les Renseignements personnels que détient la Municipalité doit le faire conformément à la Politique de la Municipalité sur les sondages. 7. Organisation et gouvernance La responsabilité de garantir la protection et le Traitement adéquat des Renseignements personnels incombe à la Municipalité et à toute personne qui travaille avec ou pour le compte de la Municipalité et qui a accès aux Renseignements personnels de la Municipalité. 7.1. Rôles organisationnels Les principales responsabilités en matière de gouvernance et de gestion des Renseignements personnels relèvent des rôles organisationnels suivants : Le Responsable de la protection des Renseignements personnels est responsable des tâches suivantes, tel que défini dans le document intitulé « Description du poste de Responsable de la protection des renseignements personnels » : - Gérer et mettre en œuvre le Programme de gouvernance de l'information; - Développer et promouvoir les politiques et les pratiques de la Municipalité en matière de protection des Renseignements personnels; - Surveiller et analyser les lois sur la vie privée applicables ainsi que les changements qui sont envisagés ou apportés par le législateur; - Élaborer et maintenir à jour les exigences de conformité que la Municipalité doit respecter et aider celle- ci à atteindre ses objectifs en matière de protection des Renseignements personnels; - Siéger sur le Comité sur l'accès à l'information et la protection des renseignements personnels; - Superviser la tenue des registres énumérés à l'article 8.2 de la présente Politique. Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 14 de 17 Toute personne qui traite des Renseignements personnels que la Municipalité détient doit : - Agir avec précaution et intègre les principes énoncés à la présente Politique à ses activités; - N'accéder qu'aux renseignements nécessaires à l'exercice de ses fonctions; - N'intégrer et ne conserver des renseignements que dans les dossiers destinés à l'accomplissement de ses fonctions; - Participer aux activités de sensibilisation et de formation en matière de protection des Renseignements personnels qui lui sont destinées ; - Signaler tout manquement, Incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la confidentialité de Renseignements personnels conformément à la procédure établie par la Municipalité. 7.2. Registres Conformément à la Loi sur l'accès, la Municipalité tient à jours les registres suivants : - Registre des communications des Renseignements personnels sans le consentement d'une personne concernée dans les cas suivants : o Lorsque la Municipalité communique l'identité d'une Personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers; o lorsque la Municipalité communique des Renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi; o lorsque la Municipalité communique des Renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail; o lorsque la Municipalité communique des Renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services; o lorsque la Municipalité communique des Renseignements personnels à des fins d'étude, de recherche ou de statistique; o après avoir effectué une ÉFVP, lorsque la Municipalité communique des Renseignements personnels dans les cas visés par l'article 68. - Registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la Municipalité collabore pour la prestation de services ou la réalisation d'une mission commune. - Registre des utilisations de Renseignements personnels au sein de la Municipalité à d'autres fins et sans le consentement de la Personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la Personne concernée ou qu'elle est nécessaire à l'application d'une loi au Québec. - Registre des communications d'information concernant un Incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un Incident de confidentialité. - Registre des incidents de confidentialité. Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 15 de 17 7.3. Activités de sensibilisation La Municipalité offre des activités de formation et de sensibilisation à son personnel en matière de protection des Renseignements personnels. Les activités de formation inclus notamment : - Formation à tous les employés sur la mise en œuvre de la présente politique; - Formation sur l'importance de la PRP et les actions à prendre dans son travail 8. Signalement d'incidents de confidentialité et réponse aux plaintes Toute personne physique dont les renseignements personnels sont concernés par un Incident de confidentialité réel ou appréhendé peut formuler une plainte au Responsable de la PRP et de l'accès, laquelle sera traitée conformément à la Procédure de réponse - plaintes et incidents de confidentialité. La Municipalité doit aviser la Commission d'accès à l'information et les personnes concernées de tout Incident de confidentialité qui présente un risque de préjudice sérieux compte tenu de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables. 9. Audit Le Responsable de la PRP et de l'accès est chargé d'auditer la manière dont la Municipalité met en œuvre la présente Politique. 10. Sanctions Toute personne qui enfreint cette Politique fera l'objet d'une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables. 11. Conflits La présente Politique vise à se conformer aux lois et règlements et aux ententes qui s'appliquent à la Municipalité dans le cadre de ses opérations et activités commerciales. En cas de conflit entre la présente Politique et les lois et règlements applicables, ces derniers prévaudront. 12. Autres membres du personnel La Municipalité doit également respecter et mettre en application la présente Politique lorsqu'elle exerce une Activité de traitement des Renseignements personnels des autres membres de son personnel, ce qui comprend notamment: (i) les personnes qui postulent auprès de la Municipalité ou qui prenne part au processus de recrutement de la Municipalité, (ii) les anciens employés de la Municipalité ainsi que (iii) les personnes non- Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 16 de 17 employés qui travaillent dans les bureaux de la Municipalité, dont les travailleurs autonomes, consultants, bénévoles et stagiaires. 13. Gestion documentaire Nom du registre Lieu de conservation Personne responsable de la conservation Mesures de protection en place Période de rétention Registre des consentements de la personne concernée Règlements, Politiques, Directives et Procédures du système d'information Responsable de la protection des Renseignements Seules les personnes autorisées peuvent accéder au registre et aux formulaires 10 ans Registre des Activités de traitement Règlements, Politiques, Directives et Procédures du système d'information Responsable de la protection des Renseignements Seules les personnes autorisées peuvent accéder au registre Permanent Registre des droits de la personne concernée Règlements, Politiques, Directives et Procédures du système d'information Responsable de la protection des Renseignements Seules les personnes autorisées peuvent accéder au registre Permanent Registre des Renseignements personnels Règlements, Politiques, Directives et Procédures du système d'information Responsable de la protection des Renseignements Seules les personnes autorisées peuvent accéder au registre Permanent Registre des communications Règlements, Politiques, Directives et Procédures du système d'information Responsable de la protection des Renseignements Seules les personnes autorisées peuvent accéder au registre Permanent Politique de protection des renseignements personnels Version 1.0, 31 Janvier 2024 Page 17 de 17 Registre des avis de confidentialité Règlements, Politiques, Directives et Procédures du système d'information Responsable de la protection des Renseignements Seules les personnes autorisées peuvent accéder au registre Permanent 14. Validité Ce document entre en vigueur à compter du 13 mars, 2024. Le propriétaire du présent document est La municipalité de Saint-Alphonse-de-Granby et son Responsable de la PRP et de l'accès doit le vérifier et le mettre à jour au moins une fois par an. ____________________________________ Monsieur Marcel Gaudreau Par : Maire