Directive relative à la gouvernance en matière de protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 3b004ad3ea25 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

DIRECTIVE CONCERNANT LA GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS MUNICIPALITÉ DE SAINT-LAURENT-DE-L'ÎLE-D'ORLÉANS 1. Préambule La Municipalité de Saint-Laurent-de-l'Île-d'Orléans (ci-après : « Municipalité ») reconnaît l'importance de protéger la vie privée et les renseignements personnels de ses citoyens, employés et visiteurs. Pour cette raison ainsi que pour remplir ses obligations prévues à l'article 63.3 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1), la présente directive a été adoptée par le conseil de la Municipalité. 2. Objet La présente directive a pour objet : - D'établir et énoncer les principes encadrant la gouvernance relativement à la protection des renseignements personnels; - De prévoir les rôles et responsabilité des différents intervenants au sein de la Municipalité; - D'établir un processus de traitement des plaintes en matière de protection des renseignements personnels; 3. Champ d'application La présente directive s'applique à tout employé, fonctionnaire et élu de la Municipalité et concerne toutes ses activités. 4. Définitions Aux fins de la présente directive, les mots ou expressions suivants désignent : CAI : Commission d'accès à l'information. Évaluation des facteurs relatifs à la vie privée : Démarche préventive d'évaluation qui consiste à considérer tous les facteurs d'un projet qui entraîneraient des conséquences positives et négatives sur la protection des renseignements personnels. Incident de confidentialité : (1) L'accès non autorisé par la loi à un renseignement personnel; (2) L'utilisation non autorisée par la loi d'un renseignement personnel; (3) La communication non autorisée par la loi d'un renseignement personnel; (4) La perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement. Loi : Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1. Municipalité : Municipalité de Saint-Laurent-de-l'Île-d'Orléans. Personne concernée : Personne physique à qui se rapporte les renseignements personnels. Renseignement personnel : Tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier Responsable de la protection des renseignements personnels ou RPRP : Personne responsable du respect et de la mise en œuvre de la loi en ce qui a trait à la protection des renseignements personnels et de la présente directive. Pour la Municipalité, il s'agit du maire (ou de la mairesse) à moins d'une désignation officielle d'une autre personne en conformité avec l'article 8 de la Loi. 5. Consentement Lorsque la loi ou la présente directive prévoit la nécessité du consentement de la personne concernée, celui-ci doit être manifeste, libre, éclairé, granulaire, temporaire et donné à des fins spécifiques. La demande de consentement doit être compréhensive, présentée dans des termes simples et clairs et présentée distinctement de tout autre information si elle est faite par écrit. Un consentement est manifeste s'il est évident ou certain et qu'aucun doute ne subsiste quant à la volonté qu'il exprime. Un consentement est libre s'il est donné sans contrainte. Un consentement est éclairé si la personne concernée a reçu toutes les informations nécessaires afin de prendre sa décision. Un consentement est granulaire s'il est donné pour chacune des fins visées par la demande de consentement. Un consentement est temporaire s'il est valable uniquement pour la durée de l'accomplissement des fins visées par la demande de consentement. Un consentement est donné à des fins spécifiques si l'information donnée est suffisamment précise pour permettre à la personne concernée de bien comprendre ce pourquoi ses renseignements personnels sont collectés. La personne qui reçoit le consentement doit s'assurer de valider l'identité de la personne qui donne son consentement. Lorsque possible, ce consentement est documenté. 6. Rôles et responsabilités La protection des renseignements personnel est de la responsabilité de tous, mais certains éléments relèvent de la responsabilité de certaines personnes spécifiques. 6.1. Rôle du RPRP - S'assurer du respect et de la mise en œuvre de la Loi en ce qui a trait à la protection des renseignements personnels; - S'assurer du respect et de la mise en œuvre de la présente directive; - Veilleur à ce que les différents registres prévus par la loi soient tenus à jour; - Remettre à toute personne (élu(e) ou employé(e)) entrant en fonction au sein de la municipalité copie de la présente directive; - Traiter les plaintes en matière de protection des renseignements personnels conformément à l'article 14 de la présente directive; - Superviser la tenue à jour des différents registres prévus par la loi conformément à l'article 12 de la présente directive; - Participer à l'évaluation des facteurs relatifs à la vie privée, le cas échéant; - Participer à l'évaluation du risque de préjudice sérieux lorsque survient un incident de confidentialité et prendre la décision de communiquer ou non avec la personne concernée, la CAI ou toute personne ou organisme susceptible de faire diminuer ce risque, le cas échéant; - Déterminer la pertinence de prévoir des activités de formation ou de sensibilisation à la protection des renseignements personnels et, s'il y a lieu, les mettre en place; 6.2. Rôle du maire (ou de la mairesse) si une autre personne a été désignée à titre de RPRP - Veiller à faciliter l'exercice des fonctions du RPRP; - Mettre en place des mesures pour préserver l'autonomie du RPRP; - Aviser la CAI du nom, du titre et de la date d'entrée en fonction du RPRP; - Participer à l'évaluation des facteurs relatifs à la vie privée, le cas échéant; - Participer à l'évaluation du risque de préjudice sérieux lorsque survient un incident de confidentialité et conseiller le RPRP quant à la décision de communiquer ou non avec la CAI; - Veiller à la sensibilisation de tous à l'importance de la protection des renseignements personnels; 6.3. Rôle du conseil municipal - Adopter la présente directive de même que la Politique de confidentialité des renseignements personnels collectés par moyen technologique; - Encourager les bonnes pratiques de gouvernance en matière de protection des renseignements personnels; - Veiller à la sensibilisation de tous à l'importance de la protection des renseignements personnels; 6.4. Rôle de toute personne traitant des renseignements personnels détenus par la Municipalité, incluant les employés et les élus - Respecter la présente directive; - Agir avec précaution lorsqu'il est question de renseignements personnels; - Connaître et appliquer les mesures de sécurité déterminées pour chaque renseignement personnel auquel elle a accès; - N'accéder qu'aux renseignements personnels nécessaires à l'exercice de ses fonctions; - Conserver les renseignements personnels auxquels elle a accès de manière qu'aucune personne non-autorisée y ait accès; - Ne communiquer aucun renseignement personnel sans l'autorisation expresse du RPRP; - Protéger l'accès aux appareils électronique qu'elle a en sa possession et qui sont susceptibles de contenir ou recevoir des renseignements personnels par mot de passe; - Signaler tout incident de confidentialité au RPRP et, en pareil cas, participer à l'évaluation du risque de préjudice; - Signaler tout manquement ou irrégularité en lien avec la présente directive au RPRP. 7. Collecte des renseignements personnels 7.1. Objectifs de la collecte La Municipalité ne collecte que les renseignements personnels nécessaires à sa mission. Avant de collecter des renseignements personnels, la Municipalité détermine les fins de la collecte. 7.2. Modes de collecte La collecte de renseignements personnels peut se faire de différentes façons : - Directement auprès de la personne concernée; - Par courriel; - Par la poste; - Par le biais de tiers (ex. : institutions financières pour le paiement de taxes en ligne, Sport Plus pour les inscriptions aux activités, etc.); - Par le biais de formulaires interactifs sur le site de la municipalité. Lorsque la collecte de renseignements personnels s'effectue au moyen des services d'un tiers, la municipalité conclut une entente avec celui-ci visant à encadrer les modalités de la collecte et la protection des renseignements personnels. 7.3. Informations à communiquer Lorsque des renseignements personnels sont collectés, les informations suivantes doivent généralement être transmises à la personne concernée : - Le nom de l'organisme qui effectue la collecte (la Municipalité); - Les fins auxquelles ces renseignements sont recueillis; - Les moyens par lesquels les renseignements sont recueillis; - Le caractère obligatoire ou facultatif de la demande; - Les conséquences d'un refus de répondre à la demande ou, le cas échéant, du retrait de son consentement; - Les droits de rectifications prévus par la loi; Si la collecte est effectuée au moyen d'une technologie comprenant des fonctions permettant d'identifier, de localiser ou d'effectuer un profil de la personne concernée, les informations suivantes doivent être transmises à cette dernière : - Le recours à une telle technologie; - Les moyens offerts pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage. 7.4. Mineur de moins de 14 ans Aucun renseignement personnel ne peut être collecté auprès d'un mineur de moins de 14 ans sans le consentement du titulaire de l'autorité parentale sauf si cette collecte est manifestement dans son intérêt. 8. Utilisation des renseignements personnels Les renseignements personnels ne sont utilisés que pour les fins pour lesquelles ils ont été recueillis. Leur utilisation à une autre fin n'est possible qu'avec le consentement de la personne concernée sauf dans les cas prévus par la loi. Toute autre utilisation des renseignements personnels fondée sur une exception prévue à la loi doit être autorisée par le RPRP et inscrite dans un registre. 8.1. Conservation des renseignements personnels La Municipalité prend les mesures raisonnables pour que les renseignements personnels soient conservés de manière que seules les personnes qui en ont besoin y aient accès. Tous les appareils électroniques susceptible de contenir ou de recevoir des renseignements personnels sont protégés par mot de passe. Tous les documents papiers contenant des renseignements personnels sont conservés sous clé de façon à n'être accessible qu'aux personnes autorisées. 8.2. Communication Les renseignements personnels ne sont pas communiqués sans le consentement de la personne concernée sauf pour les exceptions prévues par la loi. Toute communication effectuée sans le consentement de la personne concernée fondée sur une exception prévue à la loi doit être autorisée par le RPRP et inscrite dans un registre. Lorsque les renseignements personnels sont confiés à un fournisseur ou un mandataire, la Municipalité doit conclure une entente écrite avec ce fournisseur ou mandataire de façon à assurer la protection des renseignements personnels. 8.3. Inventaire des fichiers de renseignements personnels La Municipalité doit établir et maintenir à jour un inventaire de ses fichiers de renseignements personnels. Celui-ci doit indiquer les informations suivantes : - Les catégories de renseignements personnels qu'il contient; - Les fins pour lesquelles les renseignements personnels ont été collectés; - La provenance des renseignements personnels; - Les catégories de personnes qui a accès à ces fichiers dans l'exercice de leurs fonctions; 9. Destruction des renseignements personnels Lorsque les finalités pour lesquelles les renseignements personnels ont été collectés sont atteintes, ceux-ci sont détruits ou anonymisés sous réserve de la Loi sur les archives, RLRQ, c. A-21.1 et des délais prévus au calendrier de conservation. 10. Évaluation des facteurs relatifs à la vie privée La Municipalité effectue une évaluation des facteurs relatifs à la vie privée dans les circonstances prévues par la loi, notamment: - Avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système informatique ou de prestation électronique de services qui implique des renseignements personnels; - Avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; - Avant de communiquer des renseignements personnels, sans le consentement des personnes concernées, conformément à une exception prévue à la loi ; Lorsqu'elle effectue cette évaluation, la Municipalité tient compte de la sensibilité des renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution, etc. 11. Incidents de confidentialité Lorsque se produit un incident de confidentialité, la Municipalité évalue le risque de préjudice à la personne concernée et prend les mesures nécessaires pour diminuer ce risque et éviter que d'autres incidents de même nature se produisent. Si l'incident présente un risque sérieux de préjudice, le RPRP en informe la personne concernée, sauf dans les cas d'exception prévus à la loi. Le RPRP en informe également la CAI. Le RPRP peut aviser toute personne ou organisme susceptible de faire diminuer le risque de préjudice et inscrit cette communication au registre approprié. 12. Registres La Municipalité tient les registres prévus par la loi : - Registre des incidents de confidentialité; - Registre des communications d'information concernant un incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice à la personne concernée; - Registre des communications sans le consentement des personnes concernées; - Registre des utilisations pour des fins autres de renseignements personnels sans le consentement de la personne concernée; - Registre des ententes de collectes conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la Municipalité collabore pour la prestation de services ou la réalisation d'une mission commune. 13. Droits des personnes concernées Toute personne a le droit d'accéder aux renseignements personnels à son sujet détenus par la Municipalité et d'en demander la rectification s'ils sont inexacts ou incomplets, sauf pour les exceptions prévues par la loi. Pour ce faire, elle doit contacter le RPRP. 14. Plaintes Il est possible de porter plainte auprès du RPRP au sujet des pratiques de la Municipalité en matière de protection des renseignements personnels. Pour ce faire, la plainte doit être transmise par courriel à l'adresse [email protected] ou par la poste à l'adresse suivante : Responsable de la protection des renseignements personnels Municipalité de Saint-Laurent-de-l'Île-d'Orléans 6822, chemin Royal Saint-Laurent-de-l'Île-d'Orléans (Québec) G0A 3Z0 Le RPRP accuse réception de la plainte dans un délai raisonnable et y répond dans les trente (30) jours de sa réception. Toutefois, il peut rejeter sommairement toute plainte manifestement mal fondée, frivole, vexatoire ou de mauvaise foi. Il peut également refuser de traiter une plainte si l'événement a fait l'objet d'un recours en justice, incluant devant la CAI. 15. Sanctions Toute personne (employé, élu, fournisseur, etc.) qui enfreint une des dispositions de la présente directive s'expose à des mesures administratives, disciplinaires ou judiciaires selon la gravité des gestes et de leurs conséquences. 16. Entrée en vigueur La présente directive entre en vigueur au moment de son adoption par le conseil municipal. Adopté le : ____3 juin 2024______ Résolution : ____2194-24______