Politique-cadre sur la gouvernance en matière de protection des renseignements personnels
Saint-Hyacinthe, Quebec
· adopted 2025-10-01
This is the exact embedded text of the captured official document.
Snapshot d766684f9875 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
Politique-cadre sur la
gouvernance en
matière de protection
des renseignements
personnels
1er octobre 2025
Services du greffe et
de
la
gestion
documentaire
TABLE DES MATIÈRES
1.
PRÉAMBULE ................................................................................. 1
2.
TRAITEMENT DES RENSEIGNEMENTS PERSONNELS .... 1
3.
SONDAGES .................................................................................... 4
4.
DROITS DES PERSONNES CONCERNÉES ........................... 4
5.
TRAITEMENT DES PLAINTES ................................................... 5
6.
RÔLES ET RESPONSABILITÉS ................................................ 5
7.
ACTIVITÉS DE SENSIBILISATION ........................................... 8
8.
MISE À JOUR ................................................................................. 8
9.
ENTRÉE EN VIGUEUR ................................................................. 8
1
1.
PRÉAMBULE
La protection des renseignements personnels est une priorité pour la Ville de
Saint-Hyacinthe (ci-après « la Ville »). La présente Politique-cadre sur la gouvernance
en matière de protection des renseignements personnels (ci-après « la Politique »)
énonce les principes applicables à la protection des renseignements personnels que la
Ville détient tout au long de leur cycle de vie. Elle définit aussi les rôles et les
responsabilités du personnel de la Ville à l'égard des renseignements personnels et
décrit les activités de formation et de sensibilisation que la Ville offre à son personnel en
matière de protection des renseignements personnels. Finalement, cette politique
dresse les mesures à prendre à l'égard des renseignements personnels recueillis ou
utilisés dans le cadre d'un sondage.
La politique s'adresse à l'ensemble du personnel de la Ville, y compris les étudiants, les
stagiaires et les contractuels. Elle s'applique aussi à toute personne à qui la Ville confie
des renseignements personnels dans l'exécution d'un mandat ou d'un contrat de
service.
Cette politique s'applique à l'égard de tous les renseignements personnels détenus par
la Ville, incluant ceux dont la conservation est assurée par un tiers.
La protection des renseignements personnels détenus par la Ville incombe à toute
personne qui traite ces renseignements. Celle-ci doit comprendre et respecter les
principes de protection des renseignements personnels inhérents à l'exercice de ses
fonctions ou qui découlent de sa relation avec la Ville.
2.
TRAITEMENT DES RENSEIGNEMENTS PERSONNELS
La protection des renseignements personnels est assurée tout au long de leur cycle de
vie dans le respect des principes suivants, sauf exception prévue par la Loi sur l'accès
aux documents des organismes publics et sur la protection des renseignements
personnels. Un renseignement personnel est toute information concernant une personne
physique et qui permet de l'identifier directement, soit par le recours à cette seule
information, ou indirectement, soit par combinaison avec d'autres informations.
2.1
Collecte
2.1.1
La Ville collecte ces renseignements personnels, notamment pour offrir des
services aux citoyens, évaluer des candidatures pour des emplois à pourvoir
et pour obtenir le paiement de sommes qui lui sont dues. Avant de recueillir
des renseignements personnels, la Ville détermine les fins de leur traitement
et elle ne recueille que les renseignements strictement nécessaires aux fins
indiquées.
2.1.2
La collecte de renseignements personnels se fait auprès de la personne
concernée ou auprès d'autres organismes (par exemple, la médiathèque
Maskoutaine, les corporations de loisirs de quartiers et les organismes de
sport amateur).
2
2.1.3
Au moment de la collecte et par la suite sur demande, la Ville informe les
personnes concernées, notamment, des fins et des modalités de traitement
de leurs renseignements personnels et de leurs droits quant à ces
renseignements, par exemple, au moyen de sa Politique de confidentialité ou
d'un avis « juste à temps ».
2.1.4
Lorsque la loi exige l'obtention d'un consentement, celui-ci est manifeste, libre,
éclairé et donné à des fins spécifiques. Il est demandé à chacune des fins
préalablement identifiées, en termes simples et clairs. Ce consentement ne
vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a
été demandé.
2.2
Utilisation
2.2.1
La Ville n'utilise les renseignements personnels qu'aux fins pour lesquelles
ces renseignements ont été recueillis. Cependant, la Ville peut modifier ces
fins si la personne concernée y consent préalablement.
2.2.2
Elle peut également les utiliser à des fins secondaires, sans le consentement
de la personne concernée, dans l'un ou l'autre des cas suivants :
- lorsque l'utilisation est à des fins compatibles avec celles pour
lesquelles les renseignements ont été recueillis;
- lorsque l'utilisation est manifestement au bénéfice de la personne
concernée;
- lorsque l'utilisation est nécessaire à l'application d'une loi au Québec,
que cette utilisation soit ou non prévue expressément par la loi;
- lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou
de production de statistiques et que les renseignements sont
dépersonnalisés.
2.2.3
Lorsqu'elle utilise les renseignements personnels à des fins secondaires dans
l'un des trois premiers cas de figure énumérés à l'article 2.2.2 de la présente
politique, elle doit consigner une telle utilisation au registre prévu à cet effet.
2.2.4
Lorsque la loi le prévoit expressément ou lorsqu'un traitement de
renseignements personnels est jugé plus à risque pour les personnes
concernées, la Ville entreprend une évaluation de facteurs relatifs à la vie
privée (ci-après « ÉFVP »), afin de mitiger les risques identifiés. Une ÉFVP
est la démarche préventive qui vise à mieux protéger les renseignements
personnels et à respecter la vie privée des personnes physiques. Elle consiste
à considérer tous les facteurs qui entraîneraient des conséquences positives
et négatives sur le respect de la vie privée des personnes concernées.
3
2.2.5
La Ville établit et tient à jour un inventaire des fichiers de renseignements
personnels qu'elle recueille, utilise et communique. Cet inventaire contient
minimalement les éléments suivants :
- les catégories de renseignements qu'il contient, les fins pour lesquelles
les renseignements sont conservés et le mode de gestion de chaque
fichier;
- la provenance des renseignements versés à chaque fichier;
- les catégories de personnes concernées par les renseignements
versés à chaque fichier;
- les catégories de personnes qui ont accès à chaque fichier dans
l'exercice de leurs fonctions;
- les mesures de sécurité prises pour assurer la protection des
renseignements personnels.
2.3
Communication
2.3.1
Sous réserve des exceptions prévues par la loi, la Ville ne peut communiquer
des renseignements personnels sans le consentement de la personne
concernée.
2.3.2
Lorsque des renseignements personnels sont communiqués à un mandataire
ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de
service, la Ville doit, sauf dans le cas où le mandataire est membre d'un ordre
professionnel, conclure une entente avec le fournisseur de services ou le
mandataire qui prévoit l'obligation de protéger ces renseignements et de les
traiter conformément à la loi.
2.3.3
Lorsque les renseignements personnels sont communiqués à des tiers situés
hors du Québec, la Ville procède à une ÉFVP. Une communication à des tiers
est consignée au registre à prévu cet effet.
2.4
Conservation
2.4.1
La Ville prend toutes les mesures raisonnables afin que les renseignements
personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins
pour lesquelles ils sont recueillis ou utilisés.
2.4.2
La Ville conserve les renseignements personnels aussi longtemps que
nécessaire pour mener ses activités, sous réserve de délais prévus à son
calendrier de conservation.
4
2.5
Destruction et anonymisation
2.5.1
Lorsque sont atteintes les finalités pour lesquelles les renseignements
personnels ont été collectés, ces renseignements sont détruits ou anonymisés
de manière sécuritaire, sous réserve de la Loi sur les archives
(RLRQ, c. A-21.1), et suivant les délais prévus au calendrier de conservation
des documents de la Ville.
3.
SONDAGES
Lorsqu'un fonctionnaire œuvrant au sein d'une unité administrative de la Ville veut
procéder à la collecte de renseignements personnels par méthode de sondage ou
consultation, elle doit obtenir au préalable l'autorisation du Comité sur l'accès à
l'information et la protection des renseignements personnels de la Ville (ci-après
« le Comité »). En collaboration avec cette personne, le Comité procédera à l'analyse
de la nécessité de recourir à un tel sondage et de son aspect éthique. L'évaluation de
l'aspect éthique du sondage doit se faire de manière proportionnelle à la sensibilité des
renseignements personnels recueillis et de la finalité de leur utilisation. Le Comité
recommandera aussi les mesures de protection adéquates à prendre à l'égard des
renseignements personnels recueillis ou utilisés dans le cadre du sondage.
4.
DROITS DES PERSONNES CONCERNÉES
4.1
Sous réserve de ce que prévoient les lois applicables, toute personne concernée
dont les renseignements personnels sont détenus par la Ville dispose notamment
des droits suivants :
-
Accès :
Le droit d'accéder aux renseignements personnels détenus par la Ville et d'en
obtenir une copie, que ce soit en format électronique ou non électronique.
-
Portabilité :
Le droit d'obtenir la communication des renseignements personnels
informatisés recueillis auprès d'elle, et non ceux créés ou inférés à partir de
ses renseignements, et ce, à moins que cela ne soulève des difficultés
pratiques sérieuses. Ces renseignements lui sont communiqués dans un
format technologique (par exemple les formats ouverts de type : JSON, CSV,
XML, assortis de leurs métadonnées) structuré et couramment utilisé, à sa
demande (c'est-à-dire que des logiciels doivent pouvoir facilement reconnaître
et extraire les informations qui y sont contenues). Ces renseignements sont
aussi communiqués, à sa demande, à toute personne ou à tout organisme
autorisé par la loi à recueillir un tel renseignement. Les renseignements
recueillis en format papier ne sont pas visés.
-
Rectification :
Le droit de faire rectifier tout renseignement personnel incomplet ou inexact
détenu par la Ville.
5
-
Traitement automatisé :
Le droit d'être informée, le cas échéant, que des renseignements personnels
sont utilisés pour prendre une décision fondée sur un traitement automatisé.
-
Droit de retirer son consentement :
Le droit de pouvoir retirer son consentement à la communication ou à
l'utilisation des renseignements recueillis suivant une demande facultative. La
personne devra aussi être informée des conséquences pour elle de retirer ce
consentement.
4.2
Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents
contenant ces renseignements est assujetti à certaines exceptions identifiées dans
la loi.
4.3
Les documents contenant des renseignements personnels peuvent être consultés
sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais.
Le cas échéant, la Ville informe la personne concernée de l'obligation de payer
des frais avant de procéder au traitement de sa demande.
4.4
Les demandes d'accès ou de rectification ne peuvent être considérées que si elles
sont faites par écrit par une personne physique justifiant de son identité à titre de
personne pouvant faire cette demande en vertu de la loi.
4.5
Les demandes d'accès aux renseignements personnels doivent être suffisamment
précises pour permettre au responsable de la protection des renseignements
personnels (ci-après le « RPRP ») de les localiser. Le droit d'accès ne s'applique
qu'aux renseignements personnels existants.
5.
TRAITEMENT DES PLAINTES
Toute personne qui considère que ses renseignements personnels ont été traités de
façon inappropriée ou qui est d'avis que la Ville n'a pas respecté la loi peut déposer une
plainte écrite auprès du RPRP de la Ville. La plainte peut porter sur toute étape du cycle
de vie des renseignements personnels de la personne et est traitée de manière
confidentielle. Une plainte peut également être signifiée par écrit à la Commission
d'accès à l'information.
6.
RÔLES ET RESPONSABILITÉS
6.1
La protection des renseignements personnels que la Ville détient repose sur
l'engagement de tous ceux qui traitent ces renseignements et plus particulièrement
du RPRP, du Comité et de toute personne qui traite des renseignements
personnels.
6
6.2
Le RPRP :
-
s'assure de la protection des renseignements personnels tout au long de leur
cycle de vie, de la collecte à la destruction conformément à la loi;
-
siège au Comité;
-
se conforme aux exigences liées aux demandes d'accès ou de rectification,
sous réserve des responsabilités dévolues au responsable de l'accès aux
documents, y compris :
1. donner au requérant un avis de la date de réception de sa demande;
2. aviser le requérant des délais et de son droit à la révision;
3. répondre à la demande dans un délai de 20 jours, ou si le traitement
de la demande ne paraît pas possible sans nuire au déroulement
normal des activités de la Ville, dans un délai de 10 jours
supplémentaire, après avoir avisé le requérant par écrit;
4. prêter assistance au requérant pour identifier le document susceptible
de contenir les renseignements recherchés lorsque sa demande est
imprécise;
5. motiver tout refus d'acquiescer à une demande d'accès;
6. sur demande du requérant, lui prêter assistance pour l'aider à
comprendre la décision le concernant;
7. rendre sa décision par écrit et en transmettre une copie au requérant.
Elle doit être accompagnée du texte de la disposition sur laquelle le
refus s'appuie, le cas échéant, et d'un avis l'informant du recours en
révision et indiquant notamment le délai dans lequel il peut être exercé;
8. veiller à ce que le renseignement faisant l'objet de la demande soit
conservé le temps requis pour permettre au requérant d'épuiser les
recours prévus à la loi.
-
supervise la tenue des registres concernant les renseignements personnels
(ex. : registre des incidents, registre des plaintes, registre des utilisations et
des communications de renseignements personnels sans consentement);
-
participe à l'évaluation du risque de préjudice sérieux lié à un incident de
confidentialité, notamment eu égard à la sensibilité des renseignements visés,
aux conséquences anticipées de leur utilisation et à la probabilité que ces
renseignements soient utilisés à des fins malveillantes;
-
le cas échéant, effectue des vérifications des obligations de confidentialité en
lien avec la communication de renseignements personnels dans le cadre de
mandats ou de contrats de service confiés à des tiers, conformément à
l'article 2.3.2 de la présente politique.
6.3
Conformément à la loi et au Règlement numéro 664 concernant le Comité sur
l'accès à l'information et la protection des renseignements de la Ville de
Saint-Hyacinthe, le comité a pour mandat de :
a) répertorier les mesures appliquées en matière de protection des
renseignements personnels et de mettre en place des mesures de contrôle;
b) approuver les règles de gouvernance de la Ville à l'égard des renseignements
personnels;
7
c) donner son avis sur tout projet d'acquisition, de développement ou de refonte d'un
système d'information ou d'une prestation électronique de services impliquant des
renseignements personnels afin d'évaluer les facteurs relatifs à la vie privée;
d) contribuer à la promotion d'une culture organisationnelle qui renforce la
protection des renseignements personnels;
e) assurer le suivi des recommandations de tout audit concernant l'accès aux documents
municipaux et la protection des renseignements personnels et de tout plan d'action en
découlant;
f) exécuter tout mandat confié par le conseil municipal ou le directeur général;
g) exercer toute autre fonction qui lui est dévolue en vertu de la loi.
Tout autre sujet pertinent relatif à l'accès aux documents municipaux ou à la
protection des renseignements personnels peut aussi être abordé par le Comité.
6.4
Toute personne qui traite des renseignements personnels que la Ville détient :
a) agit avec précaution et intègre les principes énoncés à la présente Politique à
ses activités;
b) n'accède qu'aux renseignements nécessaires à l'exercice de ses fonctions;
c) n'intègre et ne conserve des renseignements que dans les dossiers destinés
à l'accomplissement de ses fonctions;
d) conserve ces dossiers de manière que seules les personnes autorisées y aient
accès;
e) protège l'accès aux renseignements personnels en sa possession ou auxquels
elle a accès par un mot de passe;
f)
s'abstient de communiquer les renseignements personnels dont elle prend
connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le
faire;
g) s'abstient de conserver, à la fin de son emploi ou de son contrat, les
renseignements personnels obtenus ou recueillis dans le cadre de ses
fonctions et maintient ses obligations de confidentialité;
h) détruit tout renseignement personnel conformément au calendrier de
conservation de la Ville;
i)
participe aux activités de sensibilisation et de formation en matière de
protection des renseignements personnels qui lui sont destinées;
j)
prend connaissance de la présente Politique et de toute politique de la Ville
relative à la protection des renseignements personnels;
k) signale tout manquement, incident de confidentialité ou toute autre situation ou
irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité,
l'intégrité ou la confidentialité de renseignements personnels conformément à
la procédure établie par la Ville.
8
7.
ACTIVITÉS DE SENSIBILISATION
La Ville offre des activités de formation et de sensibilisation aux membres de son
personnel en matière de protection des renseignements personnels, à tous ceux
pouvant avoir accès à de tels renseignements. Les formations sont dispensées par les
Services juridiques, la Direction des technologies de l'information ou des firmes externes
mandatées par ces derniers pour ce faire. Le recours à des capsules vidéo interactives
ou à des activités de sensibilisation est aussi possible.
8.
MISE À JOUR
De manière à suivre l'évolution du cadre normatif applicable en matière de protection
des renseignements personnels et à améliorer le programme de protection des
renseignements personnels de la Ville, la présente politique pourra être mise à jour au
besoin. Veuillez consulter la version sur le site Internet de la Ville pour consulter la
version la plus récente.
9.
ENTRÉE EN VIGUEUR
La présente politique entre en vigueur à la date indiquée en tête de page et qui reflète
son adoption par le Conseil de la Ville.
EXTRAIT DU PROCÈS-VERBAL
Services juridiques
Hôtel de ville, 700, av. de l'Hôtel-de-Ville, Saint-Hyacinthe (Québec) J2S 5B2
Tél. : 450 778.8300, poste 8317 / Téléc. : 450 778.2514
Séance ordinaire du Conseil de la Ville de Saint-Hyacinthe, tenue à la salle du Conseil de
l'hôtel de ville, le mercredi 1er octobre 2025, à 20 h 45, en reprise de la séance ordinaire
tenue le 1er octobre 2025, à 18 h 30.
Résolution 25-626
Protection des renseignements personnels - Politique-cadre sur la gouvernance en
matière de protection des renseignements personnels - Politique de confidentialité -
Politique
de
gestion
des
incidents
de
confidentialité
-
Abrogation
des
résolutions 23-37, 23-551 et 23-552
CONSIDÉRANT la résolution 23-37, adoptée le 16 janvier 2023, par laquelle le Conseil a
approuvé la Politique sur la gestion des incidents de confidentialités - Accès à l'information;
CONSIDÉRANT la résolution 23-551, adoptée le 5 septembre 2023, par laquelle le Conseil
a également approuvé la Politique-cadre sur la gouvernance en matière de protection des
renseignements personnels;
CONSIDÉRANT la résolution 23-552, adoptée le 5 septembre 2023, par laquelle le Conseil a
notamment procédé à l'adoption de la Politique de confidentialité, tel qu'imposé par la
Loi modernisant des dispositions législatives en matière de protection des renseignements
personnels (LQ 2021, c. 25);
CONSIDÉRANT que le gouvernement du Québec a par la suite adopté le Règlement sur les
politiques de confidentialité des organismes publics recueillant des renseignements
personnels par un moyen technologique (ci-après « le Règlement »);
CONSIDÉRANT que ce Règlement, entré en vigueur en date du 1er janvier 2024, impose de
nouvelles formalités obligatoires aux municipalités, lesquelles doivent inclure des éléments
supplémentaires à leur politique de confidentialité;
CONSIDÉRANT que la Politique de confidentialité de la Ville devait être revue au regard des
nouvelles formalités;
CONSIDÉRANT qu'il est également opportun de réviser notre Politique-cadre sur la
gouvernance en matière de protection des renseignements personnels et celle relative à la
gestion des incidents de confidentialité;
CONSIDÉRANT que ces nouvelles politiques ont été entérinées par le Comité sur l'accès à
l'information et la protection des renseignements personnels lors de sa réunion du
10 septembre 2025, tel que l'exige la loi;
CONSIDÉRANT que la mise en ligne de la Politique de confidentialité doit être précédée
d'un préavis de 15 jours sur le site internet de la Ville et que cette dernière sera en vigueur
à partir du 15 octobre 2025;
CONSIDÉRANT le rapport des Services juridiques en date du 15 septembre 2025;
EN CONSÉQUENCE, il est proposé par Mélanie Bédard
Appuyé par Annie Pelletier
Et résolu ce qui suit :
-
D'approuver la Politique-cadre sur la gouvernance en matière de protection des
renseignements personnels, la Politique de confidentialité et la Politique de gestion des
incidents de confidentialité, préparés par les Services du greffe et de la gestion
documentaire et datés du 1er octobre 2025, telles que soumises;
EXTRAIT DU PROCÈS-VERBAL
Services juridiques
Hôtel de ville, 700, av. de l'Hôtel-de-Ville, Saint-Hyacinthe (Québec) J2S 5B2
Tél. : 450 778.8300, poste 8317 / Téléc. : 450 778.2514
-
D'abroger, à toutes fins que de droit, les résolutions numéros 23-37, 23-551 et 23-552,
adoptées respectivement les 16 janvier 2023 et 5 septembre 2023, et de remplacer les
politiques découlant de cette dernière résolution par celles visées en l'espèce;
-
De publier les politiques sur le site Internet de la Ville de Saint-Hyacinthe;
Adoptée à l'unanimité
Copie certifiée conforme,
le 2 octobre 2025
......................................
Greffier par intérim de la Ville