Politique sur la gouvernance de la protection des renseignements personnels
Saint-Jérôme, Quebec
· adopted 2023-11-23
This is the exact embedded text of the captured official document.
Snapshot 2d636059cbba · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE SUR LA
GOUVERNANCE
DE LA PROTECTION DES
RENSEIGNEMENTS
PERSONNELS
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Table des matières
Section I : Dispositions générales .......................................................................................... 3
Section II : Rôles et responsabilités des acteurs municipaux ........................................ 4
Section III : Cycle de vie des renseignements personnels .............................................. 6
Section IV : Incident de confidentialité ............................................................................... 7
Section V : Évaluation des facteurs ...................................................................................... 8
Section VI : Ententes ............................................................................................................... 11
Section VII : Activités de formation et de sensibilisation ............................................ 12
Section VIII : Renseignements recueillis dans le cadre d'un sondage ....................... 13
Section IX : Processus de traitement des plaintes ......................................................... 14
Annexe A : Formulaire en cas d'incident de confidentialité ........................................ 15
Annexe B : Grille d'évaluation du préjudice ..................................................................... 17
Annexe C : Avis aux personnes concernées ..................................................................... 19
Annexe D : Schéma de traitement d'un incident de confidentialité impliquant
un renseignement personnel ......................................................................... 20
Annexe E : Formulaire de plainte ........................................................................................ 21
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
3
Section I : Dispositions générales
1. La présente politique encadre la gouvernance de la Ville de Saint-Jérôme à l'égard des
renseignements personnels qu'elle détient.
2. Cette politique s'applique tout au long du cycle de vie des renseignements personnels et
vise tout usage de ceux-ci, notamment leur collecte, leur transmission, leur
communication, leur conservation, leur anonymisation et leur destruction.
3. Aux fins des présentes, les mots ont le sens qui leur est donné dans la Loi sur l'accès aux
documents des organismes publics et sur la protection des renseignements personnels,
RLRQ, c. A-2.1 (ci-après la Loi).
4. Le terme « Comité » désigne le Comité sur l'accès à l'information et la protection des
renseignements personnels.
5. Le terme « CAI » désigne la Commission d'accès à l'information.
6. Le terme « Ville » désigne la Ville de Saint-Jérôme.
7. Le terme « responsable de la protection des renseignements personnels » désigne toute
personne nommée à ce titre par le maire.
8. Cette politique est accessible sur le site Web de la Ville.
9. La présente politique entre en vigueur le 23 novembre 2023
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
4
Section II : Rôles et responsabilités des
acteurs municipaux
10. La présente section définit les rôles et les responsabilités des différents acteurs
municipaux en matière de protection des renseignements personnels.
S'ajoutent aux rôles prévus par la présente section des rôles spécifiques prévus dans les
sections subséquentes.
11. Le conseil municipal est responsable d'adopter les règles et les politiques de la Ville en
matière de renseignements personnels.
12. Le maire doit nommer au moins une personne à titre de responsable de la protection des
renseignements personnels. Il a également le pouvoir de substituer une autre personne
à ce responsable.
13. Tout employé de la Ville se doit de protéger les renseignements personnels obtenus
dans le cadre des activités municipales.
Tout employé se doit également de respecter les règles de gouvernance contenues dans
le présent document ainsi que la Politique de confidentialité des renseignements
personnels.
En cas d'incident de confidentialité, il doit le rapporter dans les plus brefs délais au
responsable de la protection des renseignements personnels au moyen du formulaire
prévu à l'annexe A.
Il doit aussi collaborer à la gestion de l'incident, fournir toutes les informations
pertinentes et appliquer toutes les mesures de sécurité nécessaires afin de contenir
l'événement ou de prévenir tout nouvel incident de confidentialité.
14. Les employés et les élus de la Ville ne peuvent utiliser les renseignements personnels
auxquels ils ont accès en vertu de leurs fonctions que pour l'exercice de celles-ci.
Ils ne peuvent en aucun cas s'en servir à d'autres fins.
15. Le directeur général et le personnel de direction donnent des directives claires et
attribuent des fonctions spécifiques et explicites à des intervenants afin d'assurer la
protection des renseignements personnels et la mise en application de la présente
politique.
Le conseil municipal peut désigner des membres du Comité.
16. Le responsable de la protection des renseignements personnels est chargé de
l'application de la présente politique ainsi que du processus de traitement des plaintes
énoncé à la section IX.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
5
Il participe à l'évaluation du risque de préjudice sérieux relié à un incident de
confidentialité. Il tient le Registre des incidents de confidentialité. Il s'assure que des
mesures de sécurité sont mises en place afin d'éviter un autre incident de confidentialité
et il effectue le suivi desdites mesures.
Il préside également les travaux du Comité.
17. Le responsable de l'accès aux documents s'assure que les renseignements personnels
sont bien protégés dans le traitement des demandes d'accès à l'information.
Il s'assure notamment que les renseignements personnels qui n'ont pas un caractère
public sont dûment anonymisés.
De plus, il doit s'assurer que l'anonymisation des documents est opaque et qu'elle ne
peut pas être retirée par une manipulation informatique.
Il siège également au Comité. Les fonctions de responsable de la protection des
renseignements personnels et de responsable de l'accès aux documents peuvent être
exercées par la même personne.
18. Le responsable de la sécurité de l'information doit s'assurer que les outils informatiques
de la Ville sont sécuritaires et protègent adéquatement les renseignements personnels.
Il doit sensibiliser les employés et les élus municipaux aux meilleures pratiques en
matière de sécurité de l'information.
Il participe à l'évaluation du risque de préjudice sérieux relié à un incident de
confidentialité pour les volets informatiques et technologiques.
Il s'assure de prendre toutes les mesures raisonnables pour contenir un incident de
confidentialité et, si possible, le fait cesser dans les plus brefs délais.
Il a également pour rôle de s'assurer que les seules personnes qui ont accès à des
renseignements personnels sous format numérique sont celles qui en ont besoin dans le
cadre de leurs fonctions.
En outre, il siège au Comité.
19. Le responsable de la gestion documentaire s'assure que les renseignements personnels
qui ne sont pas versés dans les archives sont détruits ou anonymisés à la fin de leur
période de conservation.
Il siège également au Comité.
20. La Ville s'assure d'inclure dans tous ses contrats et toutes ses ententes avec ses
fournisseurs, ses consultants, ses professionnels, ou toute autre entreprise à qui elle
transmet des renseignements personnels, une clause selon laquelle ils s'engagent à
respecter la présente politique de même que la Politique de confidentialité des
renseignements personnels et les dispositions applicables de la Loi ainsi que de ses
règlements.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
6
Section III : Cycle de vie des renseignements
personnels
21. Les présentes règles s'appliquent à l'ensemble du cycle de vie des renseignements
personnels.
22. La Ville ne collecte des renseignements personnels que dans la mesure où ceux-ci sont
nécessaires au bon déroulement de ses activités.
23. À moins qu'il ne s'agisse de renseignements personnels à caractère public, l'accès à des
renseignements personnels est limité aux seuls employés qui doivent, dans le cadre de
leurs fonctions, utiliser ces renseignements.
En ce qui concerne les renseignements personnels contenus dans des dossiers
physiques, la personne qui en a la garde s'assure que seuls les employés ayant
réellement besoin desdits renseignements ont accès à ces dossiers.
24. Lorsque la Ville a besoin de transmettre des renseignements personnels ou d'y donner
accès à des tiers, qu'il s'agisse d'autres organismes publics ou de fournisseurs, le
responsable de la protection des renseignements personnels s'assure que les ententes
écrites prévues par la Loi sont conclues. Le directeur du service concerné est
responsable de la négociation d'une telle entente.
Il s'assure également que la communication de renseignements personnels est
consignée conformément aux exigences de la Loi.
25. Sous réserve de la Loi sur les archives (RLRQ, c. A-21.1), lorsqu'un renseignement
personnel cesse d'avoir une utilité, il doit être détruit.
Toutefois, si le renseignement conserve une utilité à des fins statistiques, il peut plutôt
faire l'objet d'une anonymisation.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
7
Section IV : Incident de confidentialité
26. Pour l'application de la présente politique, on entend par « incident de confidentialité »
les événements suivants :
1° L'accès non autorisé par la Loi à un renseignement personnel;
2° L'utilisation non autorisée par la Loi d'un renseignement personnel;
3° La communication non autorisée par la Loi d'un renseignement personnel;
4° La perte d'un renseignement personnel ou toute autre atteinte à la protection
d'un tel renseignement.
27. Lorsque survient un incident de confidentialité ou qu'il existe des motifs de croire qu'un
tel incident est survenu, l'employé qui le constate doit remplir le formulaire prévu à
l'annexe A et le transmettre au responsable de la protection des renseignements
personnels. Il doit également prévenir sans délai son supérieur hiérarchique.
28. Le responsable de la protection des renseignements personnels inscrit l'incident de
confidentialité dans le Registre des incidents de confidentialité.
Il doit également s'assurer que les mesures immédiates sont prises pour éviter que
l'incident ne cause un préjudice, notamment en contactant toutes les personnes-
ressources nécessaires pour traiter cet incident et déployer un plan de réponse, le cas
échéant.
29. Le responsable de la protection des renseignements personnels procède à une
évaluation de l'incident de confidentialité afin de déterminer le risque de préjudice
sérieux ou non. Cette évaluation est effectuée selon les facteurs prévus dans la grille
d'évaluation du préjudice et l'échelle d'estimation de la probabilité de réalisation du
scénario de risque, lesquelles figurent à l'annexe B.
30. Si le responsable de la protection des renseignements personnels conclut à l'absence de
risque de préjudice sérieux, il consigne au Registre des incidents de confidentialité les
recommandations pour éviter une répétition d'un tel événement.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
8
31. En cas d'incident ayant un risque de causer un préjudice sérieux, le responsable de la
protection des renseignements personnels informe la CAI, les personnes concernées et,
s'il y a lieu, tout individu ou tout organisme susceptible de diminuer ce risque. Il doit
garder une copie au dossier de ces avis.
Il informe également le Comité afin de déterminer les autres mesures à prendre pour
limiter les risques de préjudice et pour formuler des recommandations dans le but
d'éviter une répétition.
32. Le responsable de la protection des renseignements personnels informe la CAI de tout
incident de confidentialité impliquant un renseignement personnel que la Ville détient
et qui présente un risque de préjudice sérieux en remplissant le Formulaire de déclaration
d'un incident de confidentialité de la CAI et en respectant les informations contenues dans
l'Avis à la Commission d'accès à l'information.
33. Les avis aux personnes concernées par un incident de confidentialité sont rédigés selon
le modèle prévu à l'annexe C.
34. Le processus de gestion des incidents de confidentialité est résumé dans un schéma joint
à la présente politique comme l'annexe D.
Section V : Évaluation des facteurs
35. Le directeur du service concerné de la Ville doit procéder à une évaluation des facteurs
relatifs à la vie privée avant de poser une des actions suivantes :
a)
Prévoir l'acquisition, le développement ou la refonte d'un système d'information ou
d'une prestation électronique de services impliquant la collecte, l'utilisation, la
communication, la conservation ou la destruction de renseignements personnels;
b) Recueillir un renseignement personnel nécessaire à l'exercice des attributions ou à
la mise en œuvre d'un programme d'un organisme public avec lequel la Ville
collabore pour la prestation de services ou la réalisation d'une mission commune;
c)
Communiquer des renseignements personnels sans le consentement des
personnes concernées à autrui ou à un organisme qui souhaite utiliser ces
renseignements à des fins d'étude, de recherche ou de production de statistiques;
d) Communiquer à l'extérieur du Québec un renseignement personnel;
e)
Confier à autrui ou à un organisme à l'extérieur du Québec la tâche de recueillir,
d'utiliser, de communiquer ou de conserver pour son compte un tel renseignement;
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
9
f)
Communiquer sans le consentement de la personne concernée un renseignement
personnel :
1° à un organisme public ou émanant d'un autre gouvernement lorsque cette
communication est nécessaire à l'exercice des attributions de l'organisme
receveur ou à la mise en œuvre d'un programme dont cet organisme a la
gestion;
1.1
à un organisme public ou émanant d'un autre gouvernement lorsque la
communication est manifestement au bénéfice de la personne
concernée;
2° à autrui ou à un organisme lorsque des circonstances exceptionnelles le
justifient;
3° à autrui ou à un organisme si cette communication est nécessaire dans le cadre
de la prestation d'un service à rendre à la personne concernée par un organisme
public, notamment aux fins de l'identification de cette personne.
36. Le directeur qui effectue une évaluation des facteurs relatifs à la vie privée peut
consulter le Comité lorsqu'il le juge nécessaire.
Il doit toutefois obligatoirement consulter le Comité lorsque l'évaluation concerne un
projet d'acquisition, de développement et de refonte d'un système d'information ou
d'une prestation électronique de services impliquant la collecte, l'utilisation, la
communication, la conservation ou la destruction de renseignements personnels.
37. La réalisation d'une évaluation des facteurs relatifs à la vie privée en application de la
présente politique doit être proportionnée à la sensibilité des renseignements
concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur
support.
38. Si l'évaluation concerne la communication de renseignements personnels à des fins
d'étude, de recherche ou de production de statistiques, la communication ne peut
s'effectuer que si une évaluation des facteurs relatifs à la vie privée conclut que :
1° l'objectif de l'étude, de la recherche ou de la production de statistiques ne peut
être atteint que si les renseignements sont communiqués sous une forme
permettant d'identifier les personnes concernées;
2° l'exigence qu'autrui ou l'organisme obtienne le consentement des personnes
concernées est déraisonnable;
3° l'objectif de l'étude, de la recherche ou de la production de statistiques
l'emporte, eu égard à l'intérêt public, sur l'impact de la communication et de
l'utilisation des renseignements sur la vie privée des personnes concernées;
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
10
4° les renseignements personnels sont utilisés de manière à en assurer la
confidentialité;
5° seuls les renseignements nécessaires sont communiqués.
39. Si l'évaluation porte sur la communication de renseignements personnels sans le
consentement de la personne concernée, la communication peut s'effectuer si une
évaluation des facteurs relatifs à la vie privée conclut que :
1° l'objectif ne peut être atteint que si le renseignement est communiqué sous une
forme permettant d'identifier la personne concernée;
2° l'exigence d'obtenir le consentement de la personne concernée est
déraisonnable;
3° l'objectif pour lequel la communication est requise l'emporte, eu égard à
l'intérêt public, sur l'impact de la communication et de l'utilisation du
renseignement sur la vie privée de la personne concernée;
4° le renseignement personnel est utilisé de manière à en assurer la
confidentialité.
40. Si l'évaluation implique un cas où des renseignements sont communiqués, recueillis,
utilisés ou conservés à l'extérieur du Québec, la Ville doit notamment tenir compte des
éléments suivants :
1° La sensibilité du renseignement;
2° La finalité de son utilisation;
3° Les mesures de protection, y compris celles qui sont contractuelles, dont le
renseignement bénéficierait;
4° Le régime juridique applicable dans l'État où ce renseignement serait
communiqué, notamment les principes de protection des renseignements
personnels qui y sont applicables.
La communication peut s'effectuer si l'évaluation démontre que le renseignement
bénéficierait d'une protection adéquate, notamment au regard des principes de
protection des renseignements personnels généralement reconnus.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
11
Section VI : Ententes
41. La section VI est applicable sous réserve de l'évaluation des facteurs selon la section V
de la présente politique.
42. La Ville doit conclure une entente par écrit lorsqu'elle souhaite recueillir un
renseignement personnel nécessaire à l'exercice des attributions ou à la mise en œuvre
d'un programme d'un organisme public avec lequel elle collabore pour la prestation de
services ou pour la réalisation d'une mission commune.
La même exigence s'applique si la Ville permet à un autre organisme public de recueillir
un renseignement personnel dans les mêmes circonstances.
Telle entente doit inclure les éléments mentionnés à l'article 64 de la Loi et être
communiquée à la CAI. Elle entre en vigueur 30 jours après sa réception par la CAI.
43. Lorsque la Ville souhaite communiquer des renseignements personnels sans le
consentement des personnes concernées à autrui ou à un organisme qui désire utiliser
ces renseignements à des fins d'étude, de recherche ou de production de statistiques,
elle doit préalablement conclure une entente avec celui-ci ou avec l'organisme à qui elle
les transmet.
Telle entente doit contenir les éléments mentionnés à l'article 67.2.3 de la Loi et être
communiquée à la CAI. Elle entre en vigueur 30 jours après sa réception par la CAI.
44. Dans les cas énumérés au présent article, la communication par la Ville d'un
renseignement personnel sans le consentement de la personne concernée s'effectue
dans le cadre d'une entente écrite lorsque les renseignements sont communiqués :
1° à un organisme public ou émanant d'un autre gouvernement lorsque cette
communication est nécessaire à l'exercice des attributions de l'organisme
receveur ou à la mise en œuvre d'un programme dont cet organisme a la
gestion;
1.1° à un organisme public ou émanant d'un autre gouvernement lorsque la
communication est manifestement au bénéfice de la personne concernée;
2° à autrui ou à un organisme lorsque des circonstances exceptionnelles le
justifient;
3° à autrui ou à un organisme si cette communication est nécessaire dans le cadre
de la prestation d'un service à rendre à la personne concernée par un organisme
public, notamment aux fins de l'identification de cette personne.
Telle entente doit contenir les mentions prévues à l'article 68 de la Loi et être
communiquée à la CAI. Elle entre en vigueur 30 jours après sa réception par la CAI.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
12
45. Dans l'éventualité où la Ville communique un renseignement personnel à l'extérieur du
Québec ou confie à autrui ou à un organisme à l'extérieur du Québec la tâche de
recueillir, d'utiliser, de communiquer ou de conserver pour son compte un
renseignement personnel, la Ville doit conclure une entente écrite à cet effet.
Cette entente tient compte notamment des résultats de l'évaluation des facteurs
relatifs à la vie privée et, le cas échéant, des modalités convenues dans le but d'atténuer
les risques identifiés dans le cadre de cette évaluation.
Section VII : Activités de formation et de
sensibilisation
46. La Ville conçoit des capsules d'information sur la protection des renseignements
personnels.
La Ville offre également à ses employés et aux élus d'autres activités de formation et de
sensibilisation en matière de protection des renseignements personnels.
Le responsable de la protection des renseignements personnels détermine quelles
personnes sont visées par les différentes activités de formation et de sensibilisation.
47. Tout employé ou élu doit prendre connaissance des capsules qui lui sont destinées au
moment où il les reçoit.
Tout nouvel employé ou élu ou tout employé qui occupe de nouvelles fonctions doit
prendre connaissance des capsules qui concernent son nouvel emploi ou ses nouvelles
fonctions.
Le directeur de service met à la disposition des employés qui relèvent de lui les capsules
et les activités applicables.
48. En sus des activités, le responsable de la protection des renseignements personnels
sensibilise les personnes concernées à toute nouvelle mesure destinée à mieux protéger
les renseignements personnels, y compris à toute recommandation formulée à la suite
d'un incident de confidentialité.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
13
Section VIII : Renseignements recueillis
dans le cadre d'un sondage
49. Avant de réaliser un sondage, la Ville doit effectuer une évaluation de la nécessité de
recourir à un tel moyen de collecte de renseignements.
Cette évaluation implique de pondérer les bénéfices attendus du sondage avec
l'impératif de protéger les renseignements personnels des gens sondés, compte tenu de
la sensibilité des renseignements personnels demandés.
Dans cette évaluation, la Ville tient également compte de la possibilité d'obtenir les
renseignements du sondage d'une autre manière.
50. Lorsque la Ville effectue un sondage, elle procède également à une analyse de l'aspect
éthique du sondage compte tenu, notamment, de la sensibilité des renseignements
personnels recueillis et de la finalité de leur utilisation.
Elle ne demande aux gens que les renseignements personnels nécessaires aux fins du
sondage.
51. Les renseignements personnels recueillis dans le cadre du sondage sont anonymisés
dans la mesure du possible.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
14
Section IX : Processus de traitement des
plaintes
52. Toute personne qui estime que ses renseignements personnels n'ont pas été
adéquatement protégés par la Ville peut formuler une plainte au moyen du formulaire
prévu à l'annexe E.
53. Le traitement des plaintes s'effectue de manière confidentielle.
54. Le responsable de la protection des renseignements personnels doit analyser cette
plainte et déterminer si :
1° un incident de confidentialité s'est produit, auquel cas il enclenche la procédure
afférente;
2° la plainte révèle un possible manquement à une obligation de la Ville en vertu
de la Loi, d'un de ses règlements, de la présente politique ou de la Politique de
confidentialité sur les renseignements personnels;
3° la plainte ne révèle aucun manquement à une telle norme;
4° la plainte est frivole ou manifestement mal fondée.
55. Le responsable de la protection des renseignements personnels informe le Comité de
toute plainte.
Il informe également le directeur général de toute plainte qui n'est pas frivole ou
manifestement mal fondée.
Si cette plainte touche le Service de police, il en informe son directeur.
56. Pour analyser la plainte, le responsable de la protection des renseignements personnels
peut communiquer avec le plaignant, de même qu'avec tout employé, membre du conseil
ou fournisseur de la Ville susceptible de détenir des informations permettant d'analyser
la plainte.
Il ne communiquera le nom du plaignant que si cette information est nécessaire aux
besoins de l'analyse de la plainte.
57. Lorsque l'analyse de la plainte est terminée, le responsable de la protection des
renseignements personnels communique par écrit avec le plaignant pour l'informer du
résultat de l'analyse de sa plainte.
58. La présente politique s'applique à compter de sa publication sur le site Web de la Ville.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
15
Annexe A
Formulaire en cas d'incident de
confidentialité
Sommaire de l'incident
Service et division concernés par l'incident :
Nom et coordonnées de l'employé impliqué lors
de l'incident :
Description de l'incident (contexte, cause, source) :
Date et lieu de l'incident :
Date à laquelle l'incident a été porté à la
connaissance d'un employé et façon dont il a été
connu :
Type de personnes concernées par les renseignements personnels visés lors de l'incident
(employés, citoyens, etc.) et nombre de personnes visées :
Nombre de personnes visées :
Type (employés, citoyens, etc.) :
Description des renseignements personnels visés par l'incident :
Sur quel support se trouvaient les renseignements personnels?
Est-ce que des mesures ont été prises immédiatement après la connaissance de l'incident?
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
16
S'il concerne un incident technologique, est-ce que le Service des technologies de l'information
a été informé?
Est-ce que l'incident a été signalé aux autorités policières (ex. : rapport de vol)? Veuillez indiquer
le numéro de référence, s'il y a lieu.
Est-ce que l'incident concerne des renseignements personnels détenus par un fournisseur de
services? Si oui, lequel? Identifiez une personne-ressource chez ce fournisseur.
Envoyez le formulaire, de façon temporaire, à l'adresse suivante : [email protected].
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
17
Annexe B
Grille d'évaluation du préjudice
Échelle d'estimation de la gravité des impacts
Niveau
Qualification
Caractéristiques
1
Faible
-
Le risque n'engendre aucune conséquence ou engendre des
conséquences très mineures.
-
Les personnes concernées ne seront pas affectées ou
pourraient connaître quelques désagréments, qu'elles
surmonteront sans difficulté.
-
Elles pourraient avoir l'impression que l'on a porté atteinte à
leur vie privée, sans toutefois qu'un préjudice réel et objectif ne
soit survenu.
-
Exemples : réception de pourriels, temps passé à ajuster les
paramètres de confidentialité.
2
Moyenne
-
Le risque engendre des conséquences mineures.
-
Les personnes concernées pourraient connaître des
désagréments importants, qu'elles surmonteront malgré
quelques difficultés.
-
Elles pourraient avoir l'impression que l'on a porté atteinte à
leur vie privée, sans toutefois qu'un préjudice irrémédiable ne
soit survenu.
-
Exemples : données non mises à jour ou erronées utilisées
ayant des conséquences sur des services rendus, perte de
reconnaissance.
3
Élevé
-
Le risque engendre des conséquences importantes.
-
Les personnes concernées pourraient connaître des
conséquences importantes, qu'elles surmonteront en
rencontrant des difficultés réelles et considérables.
-
Elles pourraient avoir l'impression que l'on a porté atteinte à
leur vie privée et qu'elles ont subi un préjudice irrémédiable,
et penser que l'on a lésé leurs droits fondamentaux.
-
Exemples : difficultés financières temporaires, perte d'emploi,
perte financière à la suite d'une escroquerie, dépression.
4
Très élevé
-
Le risque engendre des conséquences majeures.
-
Les personnes concernées pourraient connaître des
conséquences considérables ou irrémédiables, qu'elles ne
surmonteront pas.
-
Elles pourraient avoir l'impression que l'on a porté atteinte à
leur vie privée et qu'elles ont subi un préjudice irrémédiable,
et penser que l'on a lésé leurs droits fondamentaux.
-
Exemples : péril financier, perte d'accès à un service essentiel,
sanction pénale.
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
18
Échelle d'estimation de la probabilité
Niveau
Qualification
Caractéristiques
1
Improbable
Il serait improbable que le scénario de risque se matérialise.
Des événements similaires ne se sont jamais produits.
Les caractéristiques du traitement des renseignements personnels
et des supports impliqués rendent presque impossible la
matérialisation du risque.
2
Peu probable
Il y a de faibles risques que le scénario se matérialise.
Des événements similaires se sont produits de façon anecdotique.
Les caractéristiques du traitement des renseignements personnels
et des supports impliqués rendent difficilement possible la
matérialisation du risque.
3
Probable
Il y a de grands risques que le scénario se matérialise.
Des événements similaires se sont déjà produits à quelques reprises.
Les caractéristiques du traitement des renseignements personnels
et des supports impliqués rendent possible la matérialisation du
risque.
4
Très probable
Il y a de très forts risques que le scénario se matérialise.
Des événements similaires se sont déjà produits à plusieurs reprises.
Les caractéristiques du traitement des renseignements personnels
et des supports impliqués rendent quasi certaine la matérialisation
du risque.
Gravité X PROBABILITÉ = Niveau de risque de préjudice
Impact
Niveau
4
3
2
1
Probabilité
Niveau
1
2
3
4
Légende
Faible
Moyen
Élevé
Très élevé
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
19
Annexe C
Avis aux personnes concernées
Madame,
Monsieur,
La Ville de Saint-Jérôme accorde une grande importance à la protection et à la
confidentialité des renseignements personnels qu'elle détient. Bien que des mesures de
sécurité soient mises en place pour protéger ces renseignements, nous vous informons de
la survenance d'un incident de confidentialité.
Le [insérer la date où fut constaté et rapporté l'incident], un incident [description de
l'incident en langage clair et simple, y compris la date de l'incident ]. Puisque vos
renseignements personnels étaient concernés [description des renseignements personnels
visés par l'incident], nous avons jugé essentiel de vous aviser de cette situation et des
mesures mises en place pour y remédier.
En effet, dès que nos services ont eu connaissance de cette situation, ils ont pu [préciser ce
qui a été fait pour mettre fin à l'incident].
Nous avons rapidement mis en place des mesures pour [maîtriser, voire contenir] les risques
d'éventuelles conséquences néfastes. Nous avons ainsi activement [description des
mesures prises pour remédier à la violation ainsi que des mesures de prévention].
De votre côté, vous pouvez également réduire les risques en [description des mesures que
les personnes concernées pourraient prendre pour réduire le risque de préjudice qui
pourrait résulter de l'incident ou atténuer ce préjudice].
La Commission d'accès à l'information du Québec a également été avisée.
Nous sommes conscients des perturbations que cette situation pourrait vous occasionner.
Pour cette raison, nous vous adressons nos plus sincères excuses. Ayez l'assurance que le
respect de la confidentialité des renseignements personnels est une priorité à la Ville de
Saint-Jérôme et que nous renforcerons nos mesures pour empêcher qu'un tel incident ne se
reproduise.
Si vous avez des questions, veuillez communiquer avec nous en utilisant l'adresse suivante :
Insérer l'adresse courriel d'un responsable de la protection des renseignements personnels
[personne responsable de la protection des renseignements personnels]
Ville de Saint-Jérôme
[insérer une adresse courriel/no de téléphone]
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
20
Annexe D
Schéma de traitement d'un incident de
confidentialité impliquant un
renseignement personnel
(articles 63.8 à 63.11 de la Loi sur l'accès aux documents des organismes publics et sur la
protection des renseignements personnels [LAI])
POLITIQUE SUR LA GOUVERNANCE
DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
21
Annexe E
Formulaire de plainte
Formulaire de plainte
Nom et coordonnées de la personne plaignante :
Nom de la personne concernée (si différent) :
Date de l'événement à l'origine de la plainte :
Employé(s) et service(s) concerné(s) :
Description de la situation à l'origine de la plainte :
Description du préjudice subi :
Le 20 novembre 2023