Politique-cadre concernant les règles de gouvernance en matière de protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 943d3fda5ea1 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

1 PROVINCE DE QUÉBEC MUNICIPALITÉ RÉGIONALE DE COMTÉ LE VAL-SAINT-FRANÇOIS MUNICIPALITÉ DE SAINT-DENIS-DE-BROMPTON POLITIQUE- CADRE CONCERNANT LES RÈGLES DE GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS ATTENDU QUE la Municipalité de Saint-Denis-de-Brompton (ci-après la « Municipalité ») est un organisme public assujetti à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A -2. ; ATTENDU QUE la Municipalité reconnait l'importance de protéger les Renseignements personnels qu'elle collecte et traite dans le cadre de ses activités dans le respect des lois et règlements applicables ; ATTENDU QU'en 2023, la Municipalité employait, en moyenne, 50 salariés ou moins, et qu'elle n'est donc pas assujettie à l'obligation de constituer un comité sur l'accès à l'information et la protection des Renseignements personnels conformément au Règlement excluant certains organismes publics de l'obligation de former un comité sur l'accès à l'information et la protection des renseignements personnels ; ATTENDU QUE pour s'acquitter des obligations prévues à la Loi, est instituée la présente politique administrative concernant les règles de gouvernance en matière de protection des Renseignements personnels. EN CONSÉQUENCE, CHAPITRE I -- APPLICATION ET INTERPRÉTATION ARTICLE 1 PRÉAMBULE Le préambule fait partie intégrante de la présente Politique ARTICLE 2 OBJET La Politique vise les objectifs suivants : - énoncer les principes encadrant la gouvernance de la Municipalité à l'égard des Renseignements personnels tout au long de leur Cycle de vie et de l'exercice des droits des Personnes concernées ; - prévoir le processus de traitement des plaintes relatives à la protection des Renseignements personnels ; - définir les rôles et responsabilités en matière de protection des Renseignements personnels à la Municipalité ; - décrire les activités de formation et de sensibilisation que la Municipalité offre à son personnel. ARTICLE 3 DÉFINITIONS Aux fins de la présente politique, les expressions ou les termes suivants ont la signification ci-dessous énoncée : « CAI » : Désigne la Commission d'accès à l'information créée en vertu de la Loi ; « Conseil » : Désigne le conseil municipal de la Municipalité de Saint-Denis-de- Brompton ; « Cycle de vie » : Désigne l'ensemble des étapes visant le traitement d'un Renseignement personnel soit la collecte, l'utilisation, la communication, la conservation et la destruction de celui-ci ; « Évaluation des facteurs relatifs à la vie privée »: démarche préventive qui vise à mieux protéger les Renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des Personnes concernées ; « Incident de confidentialité » : désigne toute consultation, utilisation ou communication non autorisées par la Loi d'un Renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement ; « Loi » : Désigne la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A -2,1 ; « Personne concernée » : Désigne toute personne physique à qui se rapportent les Renseignements personnels ; « Politique » : Désigne la présente politique-cadre concernant les règles de gouvernance en matière de protection des renseignements personnels de la Municipalité ; « Renseignement personnel » : désigne toute information qui concerne une personne physique et qui permet de l'identifier directement, soit par le recours à cette seule information, ou indirectement, soit par combinaison avec d'autres informations. ; « Renseignement personnel sensible » : désigne tout Renseignement personnel qui, de par sa nature, suscite un haut degré d'attente raisonnable en matière de vie privée ; « Responsable de l'accès aux documents » : Désigne la personne qui, conformément à la Loi, exerce cette fonction et répond aux demandes d'accès aux documents de la Municipalité ; « Responsable de la protection des renseignements personnels » : Désigne la personne qui, conformément à la Loi, exerce cette fonction et veille à la protection des renseignements personnels détenus par la Municipalité. ARTICLE 4 CHAMP D'APPLICATION La présente Politique s'applique aux Renseignements personnels détenus par la Municipalité et à toute personne qui traite des Renseignements personnels que la Municipalité détient. CHAPITRE II -- TRAITEMENT DES RENSEIGNEMENTS PERSONNELS ARTICLE 5 COLLECTE DES RENSEIGNEMENTS PERSONNELS 5.1. La Municipalité ne recueille que les Renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des Renseignements personnels, la Municipalité détermine les fins de leur traitement. La Municipalité ne recueille que les Renseignements personnels strictement nécessaires aux fins indiquées. 5.2. La collecte de Renseignements personnels se fait auprès de la Personne concernée ou de son mandataire autorisé. 5.3. Au moment de la collecte, et par la suite, sur demande, la Municipalité informe les Personnes concernées, notamment, des fins et des modalités de traitement de leurs Renseignements personnels et de leurs droits quant à ces renseignements, par exemple, au moyen d'une Politique de confidentialité ou d'un avis au moment de la collecte. 5.4. Lorsque la Loi exige l'obtention d'un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. ARTICLE 6 UTILISATION DES RENSEIGNEMENTS PERSONNELS 6.1. La Municipalité n'utilise les Renseignements personnels qu'aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, la Municipalité peut modifier ces fins si la Personne concernée y consent préalablement. 6.2. Elle peut également les utiliser à des fins secondaires sans le consentement de la Personne concernée, dans l'un ou l'autre des cas suivants : a) lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis ; b) lorsque l'utilisation est manifestement au bénéfice de la Personne concernée ; c) lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la Loi ; d) lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés. 6.3. Lorsqu'elle utilise les Renseignements personnels à des fins secondaires dans l'un des trois premiers cas de figure énumérés au point 6.2 ci-dessus, elle doit consigner une telle utilisation au registre prévu à cet effet. 6.4. Lorsque la Loi le prévoit expressément ou lorsqu'un traitement de Renseignements personnels est jugé plus à risque pour les Personnes concernées, la Municipalité entreprend une Évaluation des facteurs relatifs à la vie privée en vertu du Chapitre IV des présentes afin de mitiger les risques identifiés. 6.5. La Municipalité établit et tient à jour un inventaire des fichiers de Renseignements personnels qu'elle recueille, utilise et communique. Cet inventaire contient minimalement : a) les catégories de renseignements qu'il contient, les fins pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier ; b) la provenance des renseignements versés à chaque fichier ; c) les catégories de Personnes concernées par les renseignements versés à chaque fichier ; d) les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions ; e) les mesures de sécurité prises pour assurer la protection des Renseignements personnels. 6.6. Toute personne qui en fait la demande a le droit d'accès à cet inventaire, sauf à l'égard des renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la Loi. ARTICLE 7 COMMUNICATION À DES TIERS 7.1. Sous réserve des exceptions prévues par la Loi, la Municipalité ne peut communiquer des Renseignements personnels sans le consentement de la Personne concernée. Le consentement doit être donné expressément lorsque des Renseignements personnels sensibles sont en cause. 7.2. Lorsque des Renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service ou pour l'exécution d'un mandat, la Municipalité doit conclure une entente avec le fournisseur de services ou le mandataire qui comprend les dispositions contractuelles types de la Municipalité. 7.3. Lorsque les Renseignements personnels sont communiqués à des tiers hors Québec, la Municipalité procède à une Évaluation des facteurs relatifs à la vie privée conformément au Chapitre IV des présentes. Une communication à des tiers est consignée au registre à prévu cet effet. ARTICLE 8 CONSERVATION DES RENSEIGNEMENTS PERSONNELS 8.1. La Municipalité prend toutes les mesures raisonnables afin que les Renseignements personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés. 8.2. La Municipalité conserve les Renseignements personnels, aussi longtemps que nécessaire, pour mener ses activités sous réserve de délais prévus à son calendrier de conservation. ARTICLE 9 DESTRUCTION OU ANONYMISATION 9.1. Lorsque sont atteintes les finalités pour lesquelles les Renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives, RLRQ, c. A- 21.1, et suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de la Municipalité. CHAPITRE III -- LES REGISTRES ARTICLE 10 REGISTRE DES COMMUNICATIONS 10.1. La Municipalité tient à jour un Registre des communications de Renseignements personnels sans le consentement d'une Personne concernée dans les cas suivants : a) lorsque la Municipalité communique l'identité d'une Personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers ; b) lorsque la Municipalité communique des Renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la Loi ; c) lorsque la Municipalité communique des Renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail ; d) lorsque la Municipalité communique des Renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service ; e) lorsque la Municipalité communique des Renseignements personnels à des fins d'étude, de recherche ou de statistique ; f) après avoir effectué une Évaluation relative à la vie privée, lorsque la Municipalité communique des Renseignements personnels dans les cas visés par l'article 68 de la Loi. 10.2. Le registre comprend : a) la nature ou le type de renseignement communiqué ; b) la personne ou l'organisme qui reçoit cette communication ; c) la fin pour laquelle ce renseignement est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication de Renseignements personnels à l'extérieur du Québec ; d) la raison justifiant cette communication. ARTICLE 11 REGISTRE DES ENTENTES DE COLLECTE La Municipalité tient à jour un Registre des ententes de collecte conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la Municipalité collabore pour la prestation de services ou la réalisation d'une mission commune. Un tel registre comprend : a) le nom de l'organisme pour lequel les renseignements sont recueillis ; b) l'identification du programme ou de l'attribution pour lequel les renseignements sont nécessaires ; c) la nature ou le type de la prestation de service ou de la mission ; d) la nature ou le type de renseignements recueillis ; e) la fin pour laquelle ces renseignements sont recueillis ; f) la catégorie de personnes, au sein de l'organisme qui recueille les renseignements et au sein de l'organisme receveur, qui a accès aux renseignements. ARTICLE 12 REGISTRE DES UTILISATIONS DE RENSEIGNEMENTS PERSONNELS SANS LE CONSENTEMENT La Municipalité tient à jour un Registre des utilisations de Renseignements personnels au sein de la Municipalité à d'autres fins et sans le consentement de la Personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la Personne concernée ou qu'elle est nécessaire à l'application d'une loi au Québec. Un tel registre comprend : a) la mention du paragraphe du deuxième alinéa de l'article 65.1 de la Loi permettant l'utilisation, c'est-à-dire la base juridique applicable ; b) dans le cas visé au paragraphe 3° du deuxième alinéa de l'article 65.1 de la Loi, la disposition législative qui rend nécessaire l'utilisation du renseignement ; c) la catégorie de personnes qui a accès au renseignement aux fins de l'utilisation indiquée. ARTICLE 13 REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ La Municipalité tient à jour un Registre des incidents de confidentialité. Un tel registre comprend : a) une description des Renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison justifiant l'impossibilité de fournir une telle description ; b) une brève description des circonstances de l'incident ; c) la date ou la période où l'incident a eu lieu ou, si cette dernière n'est pas connue, une approximation de cette période ; d) la date ou la période au cours de laquelle l'organisation a pris connaissance de l'incident ; e) le nombre de Personnes concernées par l'incident ou, s'il n'est pas connu, une approximation de ce nombre ; f) une description des éléments qui amènent l'organisation à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux Personnes concernées, tels que la sensibilité des Renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables ; g) si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux Personnes concernées, en application du deuxième alinéa de l'article 63.8 de la Loi, de même qu'une mention indiquant si des avis publics ont été donnés par l'organisation et la raison pour laquelle ils l'ont été, le cas échéant ; h) une brève description des mesures prises par l'organisation, à la suite de la survenance de l'incident, afin de diminuer les risques qu'un préjudice soit causé ; i) si l'information concernant l'Incident de confidentialité a été communiquée à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un Incident de confidentialité, le nom et la date de communication. CHAPITRE IV - ÉVALUATIONS DES FACTEURS RELATIFS À LA VIE PRIVÉE ARTICLE 14 RÉALISATION La Municipalité réalise une évaluation des facteurs relatifs à la vie privée, notamment dans le contexte des traitements suivants de Renseignements personnels : a) avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des Renseignements personnels ; b) avant de recueillir des Renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune ; c) avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques ; d) lorsqu'elle entend communiquer des Renseignements personnels, sans consentement des Personnes concernées, conformément à l'article 68 de la Loi ; e) lorsqu'elle entend communiquer des Renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels renseignements pour son compte. ARTICLE 15 FACTEURS En effectuant une évaluation des facteurs relatifs à la vie privée, la Municipalité tient compte de la sensibilité des Renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les Renseignements personnels. ARTICLE 16 COMMUNICATION HORS QUÉBEC De plus, lorsque les Renseignements personnels sont communiqués à l'extérieur du Québec, la Municipalité s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des Renseignements personnels généralement reconnus. ARTICLE 17 FINS DE L'ÉVALUATION La réalisation d'une évaluation des facteurs relatifs à la vie privée sert à démontrer que la Municipalité a respecté toutes les obligations en matière de protection des Renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. CHAPITRE V - ACTIVITÉ DE RECHERCHE, SONDAGES ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS ARTICLE 18 DEMANDE Des chercheurs peuvent demander l'accès à des Renseignements personnels à des fins de recherche. Une telle demande doit être soumise au Responsable de la protection des renseignements personnels de la Municipalité ; ARTICLE 19 ENTENTE Lorsque l'Évaluation des facteurs relatifs à la vie privée conclut que des Renseignements personnels peuvent être communiqués à cette fin, la Municipalité doit conclure une entente avec les chercheurs qui contient les dispositions contractuelles types de la Municipalité et toute mesure supplémentaire identifiée dans l'évaluation des facteurs relatifs à la vie privée. ARTICLE 20 SONDAGE Toute personne, organisme ou autre organisation qui souhaite effectuer un sondage auprès de Personnes concernées au moyen de Renseignements personnels que détient la Municipalité doit en faire la demande au Responsable de la protection des renseignements personnels. Avant d'effectuer, ou de permettre à une tierce partie d'effectuer un sondage auprès des personnes concernées pour lesquelles la Municipalité détient, recueille ou utilise des Renseignements personnels, le Responsable de la protection des Renseignements personnels devra préalablement faire une évaluation des points suivants : − la nécessité de recourir au sondage ; − l'aspect éthique du sondage compte tenu, notamment, de la sensibilité des Renseignements personnels recueillis et de la finalité de leur utilisation. Suivant cette évaluation, le Responsable de la protection des renseignements personnels fait ses recommandations à la direction générale. CHAPITRE VI - DROITS DES PERSONNES CONCERNÉES ARTICLE 21 LES DROITS Sous réserve de ce que prévoit la Loi, toute Personne concernée dont les Renseignements personnels sont détenus par la Municipalité dispose notamment des droits suivants : a) le droit d'accéder aux Renseignements personnels détenus par la Municipalité et d'en obtenir une copie, que ce soit en format électronique ou non électronique ; - à moins que cela ne soulève des difficultés pratiques sérieuses, un Renseignement personnel informatisé recueilli auprès d'une Personne concernée, et non pas créé ou inféré à partir d'un Renseignement personnel la concernant lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la Loi à recueillir un tel renseignement. b) le droit de faire rectifier tout Renseignement personnel incomplet ou inexact détenu par la Municipalité ; c) le droit d'être informée, le cas échéant, que des Renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé. ARTICLE 22 EXCEPTIONS Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la Loi. ARTICLE 23 DEMANDES Les demandes d'accès aux Renseignements personnels par les Personnes concernées peuvent être faites verbalement ou par écrit. Les demandes verbales seront traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. Les demandes d'accès aux Renseignements personnels sensibles doivent être faites par écrit et recevront une réponse écrite. Les demandes d'accès aux Renseignements personnels doivent être suffisamment précises pour permettre au Responsable de la protection des renseignements personnels de localiser lesdits Renseignements personnels. Le droit d'accès ne s'applique qu'aux Renseignements personnels existants. ARTICLE 24 CONSULTATION Les documents contenant des Renseignements personnels peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la Municipalité informe la Personne concernée de l'obligation de payer des frais avant de traiter sa demande. ARTICLE 25 TRAITEMENT DES PLAINTES 25.1. Toute plainte relative aux pratiques de protection des Renseignements personnels de la Municipalité ou de sa conformité aux exigences de la Loi qui concernent les Renseignements personnels doit être transmise au Responsable de la protection des renseignements personnels, lequel doit y répondre dans un délai de 20 jours. Ce délai peut être prolongé d'une période n'excédant pas 10 jours par avis écrit au plaignant. 25.2. Toute personne physique qui estime que la Municipalité n'assure pas la protection des RP de manière conforme à la Loi peut porter plainte de la manière suivante : a) Une plainte ne peut être considérée uniquement que si elle est faite par écrit par une personne physique qui s'identifie. b) elle demande est adressée au Responsable de la protection des renseignements personnels de la Municipalité. c) Le Responsable de la protection des renseignements personnels avise par écrit le requérant de la date de la réception de sa plainte et indique les délais pour y donner suite. d) Dans le cadre du traitement de la plainte, le Responsable de la protection des renseignements personnels peut communiquer avec le plaignant et faire une enquête interne. e) À l'issue de l'examen de la plainte, le Responsable de la protection des renseignements personnels transmet au plaignant une réponse finale écrite et motivée. f) Si le plaignant n'est pas satisfait de la réponse obtenue ou du traitement de sa plainte, il peut s'adresser par écrit à la CAI. CHAPITRE VII - INCIDENTS DE CONFIDENTIALITÉ ARTICLE 26 SIGNALEMENT Tout évènement pour lequel une personne a des motifs de croire qu'il s'agit d'un Incident de confidentialité est signalé le plus rapidement possible au Responsable de la protection des renseignements personnels. ARTICLE 27 GESTION Tout Incident de confidentialité est pris en charge par le Responsable de la protection des renseignements personnels. Le Responsable de la protection des renseignements personnels assure la gestion de tout Incident de confidentialité conformément à la procédure de gestion des incidents de confidentialité suivante : - Le Responsable de la protection des renseignements personnels doit réviser l'information rapportée afin de déterminer s'il s'agit d'un Incident de confidentialité et dans l'affirmative, il doit : o Inscrire l'information pertinente au registre des incidents de confidentialité de la Municipalité ; o Identifier et recommander au directeur général l'application de mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent ; o Déterminer, après consultation auprès du directeur général, si l'incident présente un risque de préjudice sérieux ; o Si l'Incident de confidentialité présente un risque de préjudice sérieux pour les Personnes concernées, aviser celles-ci avec diligence ainsi que la CAI. ARTICLE 28 MISE À JOUR La Municipalité met à jour son programme de protection des Renseignements personnels, le cas échéant. CHAPITRE VIII - RÔLES ET RESPONSABILITÉS À L'ÉGARD DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ARTICLE 29 SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS La Municipalité met en place des mesures de sécurité raisonnables afin d'assurer la confidentialité, l'intégrité et la disponibilité des Renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des Renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support. La Municipalité gère les droits d'accès des membres de son personnel afin que seuls ceux soumis à un engagement de confidentialité et ayant besoin d'y accéder dans le cadre de leurs fonctions aient accès aux Renseignements personnels. ARTICLE 30 PROTECTION DES RENSEIGNEMENTS PERSONNELS La protection des Renseignements personnels que la Municipalité détient repose sur l'engagement de tous ceux qui traitent ces renseignements de : - les traiter selon les directives émises pour chaque type de renseignement ; - les utiliser qu'aux fins pour lesquelles les renseignements ont été fournis. ARTICLE 31 RÔLE DE DU DIRECTEUR GÉNÉRAL Le directeur général est responsable de la qualité de la gestion de la protection des Renseignements personnels et de l'utilisation de toute infrastructure technologique de la Municipalité à cette fin. Conformément au Règlement excluant certains organismes publics de l'obligation de former un comité sur l'accès à l'information et la protection des renseignements personnels (Décret 744-2023, 3 mai 2023), le Directeur général assume les tâches qui sont dévolues au Comité sur l'accès à l'information et la protection des Renseignements personnels prévu à l'article 8.1 de la Loi ainsi que les obligations qui en découlent. À cet égard, le directeur général : a) veille à la mise en place de mesures visant la sensibilisation et la formation des membres du personnel et des membres de la direction de la Municipalité sur les obligations et les pratiques en matière d'accès à l'information et de protection des Renseignements personnels ; b) élabore les principes de diffusion de l'information ; c) approuve la présente Politique-cadre sur la gouvernance en matière de protection des Renseignements personnels ; d) approuve les directives destinées à toute personne qui traite les Renseignements personnels détenus par la Municipalité ; e) émet des directives sur l'utilisation d'outils informatiques marketing impliquant la communication de données ou le profilage ; f) identifie les principaux risques en matière de protection de Renseignements personnels afin que des mesures correctives soient proposées ; g) approuve toute dérogation aux principes généraux de protection des Renseignements personnels qui auront été établis ; h) émet des directives pour la protection des Renseignements personnels, notamment pour la conservation de ceux-ci par des tiers et à l'extérieur du Québec ; i) est consulté, dès le début d'un projet et aux fins de l'Évaluation des facteurs relatifs à la vie privée, pour tous les projets d'acquisition, de développement et de refonte des systèmes d'information ou de prestation électronique de services impliquant des Renseignements personnels : - veille à ce que la réalisation de l'Évaluation des facteurs relatifs à la vie privée soit proportionnée à la sensibilité des renseignements concernés, aux fins auxquelles ils sont utilisés, à la quantité et à la distribution des Renseignements et au support sur lequel ils seront hébergés ; - le cas échéant, s'assure que le projet permet de communiquer à la Personne concernée les Renseignements personnels informatisés recueillis auprès d'elle dans un format technologique structuré et couramment utilisé ; j) escalade les recommandations qui ne sont pas suivies au Responsable de la protection des renseignements personnels; k) doit être avisé de tout Incident de confidentialité impliquant les Renseignements personnels et conseiller la Municipalité quant aux suites à y donner ; l) revoit la réponse aux incidents de confidentialité dans l'éventualité de la survenance d'un Incident de confidentialité ; m) revoit les règles pour la collecte et la conservation des Renseignements personnels provenant de sondage ; n) revoit toute question d'intérêt touchant la protection des Renseignements personnels ; o) revoit les mesures relatives à la vidéosurveillance et s'assure du respect de la vie privée dans le cadre de son utilisation. ARTICLE 32 RÔLE DU RESPONSABLE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS Le responsable de la protection des renseignements personnels contribue à assurer une saine gestion de la protection des Renseignements personnels au sein de la Municipalité. Il soutient la direction générale et l'ensemble du personnel de la Municipalité dans la mise en œuvre de la présente Politique. Notamment, le Responsable de la protection des renseignements personnels : a) s'assure de la protection des Renseignements personnels tout au long de leur Cycle de vie, de la collecte à la destruction ; b) se conforme aux exigences liées aux demandes d'accès ou de rectification, sous réserve des responsabilités dévolues au Responsable de l'accès aux documents, y compris : − donner au requérant un avis de la date de réception de sa demande ; − aviser le requérant des délais et de son droit à la révision ; − répondre à la demande dans un délai de 20 jours, ou si le traitement de la demande ne paraît pas possible sans nuire au déroulement normal des activités de la Municipalité, dans un délai de 10 jours supplémentaires, après avoir avisé le requérant par écrit ; − prêter assistance au requérant pour identifier le document susceptible de contenir les renseignements recherchés lorsque sa demande est imprécise ; − motiver tout refus d'acquiescer à une demande d'accès ; − à la demande du requérant, lui prêter assistance pour l'aider à comprendre la décision le concernant ; − rendre sa décision par écrit et en transmettre une copie au requérant. Elle doit être accompagnée du texte de la disposition sur laquelle le refus s'appuie, le cas échéant, et d'un avis l'informant du recours en révision et indiquant notamment le délai dans lequel il peut être exercé. − veiller à ce que le renseignement faisant l'objet de la demande soit conservé le temps requis pour permettre au requérant d'épuiser les recours prévus à la Loi. c) supervise la tenue des registres énumérés à la présente Politique. d) participe à l'évaluation du risque de préjudice sérieux lié à un Incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes ; e) Déterminer la nature des Renseignements personnels devant être collectés par les différents services de la Municipalité ; f) Participe à l'élaboration et la mise à jour de directives destinée à toute personne qui traite les Renseignements personnels détenus par la Municipalité ; g) planifie et assure la réalisation des activités de formation des employés de la Municipalité en matière de Protection des renseignements personnels ; h) formule des avis concernant l'application, la mise à jour ou la modification de la présente Politique ; i) le cas échéant, effectue des vérifications des obligations de confidentialité en lien avec la communication de Renseignements personnels dans le cadre de mandats ou de contrats de service confiés à des tiers conformément à la présente Politique. ARTICLE 33 PERSONNE QUI TRAITE DES RENSEIGNEMENTS PERSONNELS La personne qui traite des Renseignements personnels que la Municipalité détient à l'une ou l'autre des étapes du Cycle de vie de ces renseignements : a) agit avec précaution et intègre les principes énoncés à la présente Politique à ses activités ; b) n'accède qu'aux renseignements nécessaires à l'exercice de ses fonctions ; c) n'intègre et ne conserve des renseignements que dans les dossiers destinés à l'accomplissement de ses fonctions ; d) conserve ces dossiers de manière à ce que seules les personnes autorisées y aient accès ; e) protège l'accès aux Renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe ; f) s'abstient de communiquer les Renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire ; g) s'abstient de conserver, à la fin de son emploi ou de son contrat, les Renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité ; h) détruit tout Renseignement personnel conformément aux directives de traitement des Renseignements personnels de la Municipalité ; i) participe aux activités de sensibilisation et de formation en matière de protection des Renseignements personnels qui lui sont destinées ; j) signale tout manquement, Incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la confidentialité de Renseignements personnels conformément à la procédure établie par la Municipalité. ARTICLE 34 FORMATION DU PERSONNEL DE LA MUNICIPALITÉ EN VUE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS La Municipalité offre des activités de formation et de sensibilisation à son personnel en matière de protection des Renseignements personnels. Les activités de formation ou de sensibilisation incluent notamment : − Formation à l'embauche sur l'importance de la protection des Renseignements personnels et les actions à prendre dans son travail ; − Formation sur les mises à jour de la présente Politique ou des mesures de sécurité des Renseignements personnels, le cas échéant ; − Formation ciblée sur les directives émises conformément à la présente Politique ; − Formation sur demande d'un membre du personnel sur un ou plusieurs aspects de la présente Politique ou d'une directive émise conformément à celle-ci. CHAPITRE IV -- MESURES ADMINISTRATIVES ARTICLE 35 SANCTIONS Tout employé de la Municipalité qui contrevient à la présente Politique ou aux lois et à la réglementation en vigueur applicable en matière de protection des Renseignements personnels s'expose, en plus des pénalités prévues aux lois, à des mesures disciplinaires pouvant notamment mener à une suspension ou au congédiement. La direction générale est chargée de décider de l'opportunité d'appliquer la sanction appropriée, le cas échéant. La Municipalité peut également transmettre à toute autorité judiciaire les informations colligées sur tout employé, qui portent à croire qu'une infraction à l'une ou l'autre loi ou règlement en vigueur en matière de protection des Renseignements personnels a été commis. ARTICLE 36 DISPOSITION FINALE La présente Politique entre en vigueur lors de son adoption par le Conseil de la Municipalité. Approuvé par le directeur général, le ________________2024 à Saint-Denis-de- Brompton. Pascal Blais Adoptée le 5 février 2024 par la résolution no