Politique-cadre sur la gouvernance — full text

This is the exact embedded text of the captured official document. Snapshot 1fa5844b9a24 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

1 POLITIQUE-CADRE SUR LA GOUVERNANCE (PROTECTION DES RENSEIGNEMENTS PERSONNELS) (adoptée en vertu de la Loi modernisant des disposiƟons législaƟves en maƟère de protecƟon des renseignements personnels (Loi 25) 2 octobre 2023 2 Table des matières 1. PRÉAMBULE ................................................................................................................................. 3 2. OBJET ........................................................................................................................................... 3 3. CADRE NORMATIF........................................................................................................................ 3 4. DÉFINITIONS ................................................................................................................................ 3 5. CHAMP D'APPLICATION ............................................................................................................... 5 6. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS.................................................................... 5 6.1. Collecte ................................................................................................................................. 5 6.2. UƟlisaƟon.............................................................................................................................. 5 6.3. CommunicaƟon .................................................................................................................... 6 6.4. ConservaƟon ......................................................................................................................... 6 6.5. DestrucƟon et anonymisaƟon .............................................................................................. 7 7. REGISTRES .................................................................................................................................... 7 8. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE .............................................................. 9 9. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS .............................. 9 10. SONDAGES ............................................................................................................................... 10 11. DROITS DES PERSONNES CONCERNÉES ................................................................................... 10 12. TRAITEMENT DES PLAINTES .................................................................................................... 11 13. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS ..................................................................... 11 14. INCIDENTS DE CONFIDENTIALITÉ ............................................................................................ 11 15. RÔLES ET RESPONSABILITÉS .................................................................................................... 11 16. ACTIVITÉS DE SENSIBILISATION ............................................................................................... 14 17. SANCTIONS .............................................................................................................................. 14 18. MISE À JOUR ............................................................................................................................ 14 19. ENTRÉE EN VIGUEUR ............................................................................................................... 14 3 1. PRÉAMBULE Dans le cadre de ses acƟvités et de sa mission, la municipalité de Sainte-Élizabeth-de- Warwick (la « Municipalité ») traite des Renseignements personnels, notamment ceux des visiteurs de son site web, de citoyens et de ses employés. À ce Ɵtre, elle reconnait l'importance de respecter la vie privée et de protéger les Renseignements personnels qu'elle déƟent. Aﬁn de s'acquiƩer de ses obligaƟons en la maƟère, la Municipalité s'est dotée de la présente PoliƟque. Celle-ci énonce les principes cadres applicables à la protecƟon des Renseignements personnels que la Municipalité déƟent tout au long du Cycle de vie de ceux-ci et aux droits des Personnes concernées. La protecƟon des Renseignements personnels détenus par la Municipalité incombe à toute personne qui traite ces renseignements. Celle-ci doit comprendre et respecter les principes de protecƟon des Renseignements personnels inhérents à l'exercice de ses foncƟons ou qui découlent de sa relaƟon avec la Municipalité. 2. OBJET La présente PoliƟque : - énonce les principes encadrant la gouvernance de la Municipalité à l'égard des Renseignements personnels tout au long de leur Cycle de vie et de l'exercice des droits des Personnes concernées ; - prévoit le processus de traitement des plaintes relaƟves à la protecƟon des Renseignements personnels ; - déﬁnit les rôles et responsabilités en maƟère de protecƟon des Renseignements personnels à la Municipalité ; - décrit les acƟvités de formaƟon et de sensibilisaƟon que la Municipalité oﬀre à son personnel 3. CADRE NORMATIF La présente PoliƟque s'inscrit dans un contexte régi notamment par la Loi sur l'accès aux documents des organismes publics et sur la protecƟon des renseignements personnels (RLRQ, c. A-2-1.). Conformément à ceƩe Loi, la présente PoliƟque est accessible via le site Internet de la Municipalité hƩps://www.sainte-elizabeth-de-warwick.ca/. 4. DÉFINITIONS Aux ﬁns de la présente PoliƟque, les termes suivants désignent : « CAI » la Commission d'accès à l'informaƟon du Québec. 4 « Comité » le Comité sur l'accès à l'informaƟon et la protecƟon des renseignements personnels de la Municipalité. Notre Municipalité ne possède pas de comité, puisqu'elle est exemptée d'en former un. Les personnes responsables de l'accès à l'informaƟon sont le Maire/la Mairesse et la DirecƟon générale. « Cycle de vie » l'ensemble des étapes visant le traitement d'un Renseignement personnel soit la collecte, l'uƟlisaƟon, la communicaƟon, la conservaƟon et la destrucƟon de celui- ci. « ÉvaluaƟon des facteurs relaƟfs à la vie privée » ou « ÉFVP » la démarche prévenƟve qui vise à mieux protéger les Renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences posiƟves et négaƟves sur le respect de la vie privée des Personnes concernées. « Incident de conﬁdenƟalité » désigne toute consultaƟon, uƟlisaƟon ou communicaƟon non autorisées par la loi d'un Renseignement personnel, ou toute perte ou autre aƩeinte à la protecƟon de ce renseignement. « Loi » désigne la Loi sur l'accès aux documents des organismes publics et sur la protecƟon des renseignements personnels, RLRQ, c. A-2.1. « Personne concernée » désigne une personne physique à qui se rapportent les Renseignements personnels. « Renseignement personnel » désigne toute informaƟon qui concerne une personne physique et qui permet de l'idenƟﬁer directement - soit par le recours à ceƩe seule informaƟon - ou indirectement - soit par combinaison avec d'autres informaƟons. « Responsable de l'accès aux documents » ou RAD désigne la personne qui, au sein de la Municipalité, exerce ceƩe foncƟon et qui doit répondre aux demandes d'accès aux documents selon la Loi. « Renseignement personnel sensible » désigne tout Renseignement personnel qui -- de par sa nature, notamment médicale, biométrique ou autrement inƟme, ou en raison de la manière dont il est uƟlisé ou communiqué -- suscite un haut degré d'aƩente raisonnable en maƟère de vie privée. « Responsable de la protecƟon des renseignements personnels » ou « RPRP » désigne la personne qui, au sein de la Municipalité, exerce ceƩe foncƟon et veille à y assurer le respect et la mise en œuvre de la Loi concernant la protecƟon des Renseignements personnels. 5 5. CHAMP D'APPLICATION La présente PoliƟque s'applique aux Renseignements personnels détenus par la Municipalité et à toute personne qui traite des Renseignements personnels que la Municipalité déƟent. 6. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS La protecƟon des Renseignements personnels est assurée tout au long de leur Cycle de vie dans le respect des principes suivants, sauf excepƟon prévue par la Loi. 6.1. Collecte - 6.1.1. La Municipalité ne recueille que les Renseignements personnels nécessaires à la réalisaƟon de sa mission et de ses acƟvités. Avant de recueillir des Renseignements personnels, la Municipalité détermine les ﬁns de leur traitement. La Municipalité ne recueille que les Renseignements personnels strictement nécessaires aux ﬁns indiquées. - 6.1.2. La collecte de Renseignements personnels se fait auprès de la Personne concernée. - 6.1.3. Au moment de la collecte, et par la suite sur demande, la Municipalité informe les Personnes concernées, notamment, des ﬁns et des modalités de traitement de leurs Renseignements personnels et de leurs droits quant à ces renseignements, par exemple, au moyen d'une PoliƟque de conﬁdenƟalité ou d'un avis « juste-à-temps ». - 6.1.4. Lorsque la Loi exige l'obtenƟon d'un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des ﬁns spéciﬁques. Il est demandé à chacune de ces ﬁns, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisaƟon des ﬁns pour lesquelles il a été demandé. 6.2. UƟlisaƟon - 6.2.1. La Municipalité n'uƟlise les Renseignements personnels qu'aux ﬁns pour lesquelles ces renseignements ont été recueillis. Cependant, la Municipalité peut modiﬁer ces ﬁns si la Personne concernée y consent préalablement. - 6.2.2. Elle peut également les uƟliser à des ﬁns secondaires sans le consentement de la Personne concernée, dans l'un ou l'autre des cas suivants : o lorsque l'uƟlisaƟon est à des ﬁns compaƟbles avec celles pour lesquelles les renseignements ont été recueillis ; o lorsque l'uƟlisaƟon est manifestement au bénéﬁce de la Personne concernée ; o lorsque l'uƟlisaƟon est nécessaire à l'applicaƟon d'une loi au Québec, que ceƩe uƟlisaƟon soit ou non prévue expressément par la loi ; o lorsque l'uƟlisaƟon est nécessaire à des ﬁns d'étude, de recherche ou de producƟon de staƟsƟques et que les renseignements sont dépersonnalisés. - 6.2.3. Lorsqu'elle uƟlise les Renseignements personnels à des ﬁns secondaires dans l'un des trois premiers cas de ﬁgure énumérés à l'arƟcle 6.2.2 ci-dessus, elle doit consigner une telle uƟlisaƟon au registre prévu à cet eﬀet, tel que décrit à l'arƟcle 7.1.3. 6 - 6.2.4. Lorsque la Loi le prévoit expressément ou lorsqu'un traitement de Renseignements personnels est jugé plus à risque pour les Personnes concernées, la Municipalité entreprend une ÉFVP en vertu de l'arƟcle 8 des présentes aﬁn de miƟger les risques idenƟﬁés. - 6.2.5. La Municipalité établit et Ɵent à jour un inventaire des ﬁchiers de Renseignements personnels qu'elle recueille, uƟlise et communique. Cet inventaire conƟent minimalement : o les catégories de renseignements qu'il conƟent, les ﬁns pour lesquelles les renseignements sont conservés et le mode de gesƟon de chaque ﬁchier ; o la provenance des renseignements versés à chaque ﬁchier ; o les catégories de Personnes concernées par les renseignements versés à chaque ﬁchier ; o les catégories de personnes qui ont accès à chaque ﬁchier dans l'exercice de leurs foncƟons ; o les mesures de sécurité prises pour assurer la protecƟon des Renseignements personnels. - 6.2.6. Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des renseignements dont la conﬁrmaƟon de l'existence peut être refusée en vertu des disposiƟons de la Loi. 6.3. CommunicaƟon - 6.3.1. Sous réserve des excepƟons prévues par la Loi, la Municipalité ne peut communiquer des Renseignements personnels sans le consentement de la Personne concernée. Le consentement doit être donné expressément lorsque des Renseignements personnels sensibles sont en cause. - 6.3.2. Lorsque des Renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services ou pour l'exécuƟon d'un mandat, la Municipalité doit conclure une entente avec le fournisseur de services ou le mandataire qui comprend les disposiƟons contractuelles types de la Municipalité. - 6.3.3. Lorsque les Renseignements personnels sont communiqués à des Ɵers hors Québec, la Municipalité procède à une ÉFVP conformément à l'arƟcle 8 des présentes. Une communicaƟon à des Ɵers est consignée au registre à prévu cet eﬀet. 6.4. ConservaƟon - 6.4.1. La Municipalité prend toutes les mesures raisonnables aﬁn que les Renseignements personnels qu'elle déƟent soient à jour, exacts et complets pour servir aux ﬁns pour lesquelles ils sont recueillis ou uƟlisés. - 6.4.2. La Municipalité conserve les Renseignements personnels aussi longtemps que nécessaire pour mener ses acƟvités, sous réserve de délais prévus à son calendrier de conservaƟon. 7 6.5. DestrucƟon et anonymisaƟon - 6.5.1. Lorsque sont aƩeintes les ﬁnalités pour lesquelles les Renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives, RLRQ, c. A- 21.1, et suivant les délais prévus au calendrier de conservaƟon et aux règles de gesƟon des documents de la Municipalité. 7. REGISTRES 7.1. Conformément à la Loi, la Municipalité Ɵent à jour les registres suivants : - 7.1.1. Registre des communicaƟons de Renseignements personnels sans le consentement d'une Personne concernée dans les cas suivants : o lorsque la Municipalité communique l'idenƟté d'une Personne concernée à une personne ou à un organisme privé aﬁn de recueillir des renseignements déjà colligés par ces derniers ; o lorsque la Municipalité communique des Renseignements personnels nécessaires à l'applicaƟon d'une loi au Québec, que ceƩe communicaƟon soit ou non expressément prévue par la loi ; o lorsque la Municipalité communique des Renseignements personnels nécessaires à l'applicaƟon d'une convenƟon collecƟve, d'un décret, d'une ordonnance, d'une direcƟve ou d'un règlement qui établit les condiƟons de travail ; o lorsque la Municipalité communique des Renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services ; o lorsque la Municipalité communique des Renseignements personnels à des ﬁns d'étude, de recherche ou de staƟsƟque ; o après avoir eﬀectué une ÉFVP, lorsque la Municipalité communique des Renseignements personnels dans les cas visés par l'arƟcle 68. - 7.1.2. Dans les cas visés au paragraphe 7.1.1, le registre comprend : o la nature ou le type de renseignement communiqué ; o la personne ou l'organisme qui reçoit ceƩe communicaƟon ; o la ﬁn pour laquelle ce renseignement est communiqué et l'indicaƟon, le cas échéant, qu'il s'agit d'une communicaƟon de Renseignements personnels à l'extérieur du Québec ; o la raison jusƟﬁant ceƩe communicaƟon. - 7.1.3. Registre des ententes de collecte conclues aux ﬁns de l'exercice des foncƟons ou de la mise en oeuvre d'un programme d'un organisme public avec lequel la Municipalité collabore pour la prestaƟon de services ou la réalisaƟon d'une mission commune. Un tel registre comprend : o le nom de l'organisme pour lequel les renseignements sont recueillis ; o l'idenƟﬁcaƟon du programme ou de l'aƩribuƟon pour lequel les renseignements sont nécessaires ; o la nature ou le type de la prestaƟon de service ou de la mission ; o la nature ou le type de renseignements recueillis ; 8 o la ﬁn pour laquelle ces renseignements sont recueillis ; o la catégorie de personnes, au sein de l'organisme qui recueille les renseignements et au sein de o l'organisme receveur, qui a accès aux renseignements. - 7.1.4. Registre des uƟlisaƟons de Renseignements personnels au sein de la Municipalité à d'autres ﬁns et sans le consentement de la Personne concernée lorsque ceƩe uƟlisaƟon est compaƟble avec les ﬁns pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la Personne concernée ou qu'elle est nécessaire à l'applicaƟon d'une loi au Québec. Un tel registre comprend : o la menƟon du paragraphe du deuxième alinéa de l'arƟcle 65.1 de la Loi permeƩant l'uƟlisaƟon, c'est-à-dire la base juridique applicable ; o dans le cas visé au paragraphe 3° du deuxième alinéa de l'arƟcle 65.1 de la Loi, la disposiƟon législaƟve qui rend nécessaire l'uƟlisaƟon du renseignement ; o la catégorie de personnes qui a accès au renseignement aux ﬁns de l'uƟlisaƟon indiquée. - 7.1.5. Registre des communicaƟons d'informaƟon concernant un Incident de conﬁdenƟalité à une personne ou à un organisme suscepƟble de réduire le risque de préjudice grave associé à un Incident de conﬁdenƟalité ; - 7.1.6. Registre des incidents de conﬁdenƟalité. Un tel registre comprend : o une descripƟon des renseignements personnels visés par l'incident ou, si ceƩe informaƟon n'est pas connue, la raison jusƟﬁant l'impossibilité de fournir une telle descripƟon ; o une brève descripƟon des circonstances de l'incident ; o la date ou la période où l'incident a eu lieu ou, si ceƩe dernière n'est pas connue, une approximaƟon de ceƩe période ; o la date ou la période au cours de laquelle l'organisaƟon a pris connaissance de l'incident ; o le nombre de Personnes concernées par l'incident ou, s'il n'est pas connu, une approximaƟon de ce nombre ; o une descripƟon des éléments qui amènent l'organisaƟon à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux Personnes concernées, tels que la sensibilité des renseignements personnels concernés, les uƟlisaƟons malveillantes possibles de ces renseignements, les conséquences appréhendées de leur uƟlisaƟon et la probabilité qu'ils soient uƟlisés à des ﬁns préjudiciables ; o si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux Personnes concernées (Annexe 3), en applicaƟon du deuxième alinéa de l'arƟcle 63.8 de la Loi sur l'accès aux documents des organismes publics et sur la protecƟon des renseignements personnels ou du deuxième alinéa de l'arƟcle 3.5 de la Loi sur la protecƟon des renseignements personnels dans le secteur privé, de même qu'une menƟon indiquant si des avis publics ont été donnés par l'organisaƟon et la raison pour laquelle ils l'ont été, le cas échéant ; o une brève descripƟon des mesures prises par l'organisaƟon, à la suite de la survenance de l'incident, aﬁn de diminuer les risques qu'un préjudice soit causé 9 8. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE 8.1. La Municipalité réalise une ÉFVP, notamment dans le contexte des traitements suivants de Renseignements personnels : - avant d'entreprendre un projet d'acquisiƟon, de développement et de refonte d'un système d'informaƟon ou de prestaƟon électronique de services qui implique des Renseignements personnels ; - avant de recueillir des Renseignements personnels nécessaires à l'exercice des aƩribuƟons ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestaƟon de services ou pour la réalisaƟon d'une mission commune ; - avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à une personne ou à un organisme qui souhaite uƟliser ces renseignements à des ﬁns d'étude, de recherche ou de producƟon de staƟsƟques ; - lorsqu'elle entend communiquer des Renseignements personnels, sans consentement des Personnes concernées, conformément à l'arƟcle 68 de la Loi sur l'accès ; - lorsqu'elle entend communiquer des Renseignements personnels à l'extérieur du Québec ou conﬁer à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'uƟliser, de communiquer ou de conserver de tels renseignements pour son compte. 8.2. En eﬀectuant une ÉFVP, la Municipalité Ɵent compte de la sensibilité des Renseignements personnels à être traités, des ﬁns de leur uƟlisaƟon, de leur quanƟté, de leur distribuƟon et de leur support, ainsi que de la proporƟonnalité des mesures proposées pour protéger les Renseignements personnels. 8.3. De plus, lorsque les Renseignements personnels sont communiqués à l'extérieur du Québec, la Municipalité s'assure que ceux-ci bénéﬁcient d'une protecƟon adéquate, notamment au regard des principes de protecƟon des Renseignements personnels généralement reconnus. 8.4. La réalisaƟon d'une ÉFVP sert à démontrer que la Municipalité a respecté toutes les obligaƟons en maƟère de protecƟon des Renseignements personnels et que toutes les mesures ont été prises aﬁn de protéger eﬃcacement ces renseignements. 9. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS 9.1. Des chercheurs peuvent demander l'accès à des Renseignements personnels à des ﬁns de recherche. Une telle demande doit être soumise à la DirecƟon générale; 9.2. Lorsque l'ÉFVP conclut que des Renseignements personnels peuvent être communiqués à ceƩe ﬁn, la Municipalité doit conclure une entente avec les chercheurs qui conƟent les disposiƟons contractuelles types de la Municipalité et toute mesure supplémentaire idenƟﬁée dans l'ÉFVP. 10 10. SONDAGES Toute personne, organisme ou autre organisaƟon qui souhaite eﬀectuer un sondage auprès de Personnes concernées au moyen de Renseignements personnels que déƟent la Municipalité doit le faire conformément à la PoliƟque de la Municipalité sur les sondages (Annexe 1). 11. DROITS DES PERSONNES CONCERNÉES 11.1. Sous réserve de ce que prévoient les lois applicables, toute Personne concernée dont les Renseignements personnels sont détenus par la Municipalité dispose notamment des droits suivants : - le droit d'accéder aux Renseignements personnels détenus par la Municipalité et d'en obtenir une copie, que ce soit en format électronique ou non électronique ; o à moins que cela ne soulève des diﬃcultés praƟques sérieuses, un Renseignement personnel informaƟsé recueilli auprès d'une Personne concernée, et non pas créé ou inféré à parƟr d'un Renseignement personnel la concernant, lui est communiqué dans un format technologique structuré et couramment uƟlisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. - le droit de faire recƟﬁer tout Renseignement personnel incomplet ou inexact détenu par la Municipalité ; - le droit d'être informée, le cas échéant, que des Renseignements personnels sont uƟlisés pour prendre une décision fondée sur un traitement automaƟsé. 11.2. Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces renseignements est assujeƫ à certaines excepƟons idenƟﬁées dans la Loi. 11.3. Les documents contenant des Renseignements personnels peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la Municipalité informe la Personne concernée de l'obligaƟon de payer des frais avant de traiter sa demande. 11.4. Les demandes d'accès aux Renseignements personnels par les Personnes concernées peuvent être faites verbalement ou par écrit. Les demandes verbales seront traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. 11.5. Les demandes d'accès aux Renseignements personnels sensibles doivent être faites par écrit et recevront une réponse écrite. 11.6. Les demandes d'accès aux Renseignements personnels doivent être suﬃsamment précises pour permeƩre au RPRP de localiser lesdits Renseignements personnels. Le droit d'accès ne s'applique qu'aux Renseignements personnels existants. 11 12. TRAITEMENT DES PLAINTES Toute plainte relaƟve aux praƟques de protecƟon des Renseignements personnels de la Municipalité ou de sa conformité aux exigences de la Loi qui concernent les Renseignements personnels doit être transmise au RPRP, lequel doit y répondre dans un délai de 20 jours. 13. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS 13.1. La Municipalité met en place des mesures de sécurité raisonnables aﬁn d'assurer la conﬁdenƟalité, l'intégrité et la disponibilité des Renseignements personnels recueillis, uƟlisés, communiqués, conservés ou détruits. Ces mesures Ɵennent notamment en compte du degré de sensibilité des Renseignements personnels, de la ﬁnalité de leur collecte, de leur quanƟté, de leur localisaƟon et de leur support. 13.2. La Municipalité gère les droits d'accès des membres de son personnel aﬁn que seuls ceux soumis à un engagement de conﬁdenƟalité et ayant besoin d'y accéder dans le cadre de leurs foncƟons aient accès aux Renseignements personnels. 14. INCIDENTS DE CONFIDENTIALITÉ 14.1. Tout Incident de conﬁdenƟalité est pris en charge conformément au Plan de réponse aux incidents de la Municipalité (Annexe 2). La Municipalité prend alors les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Elle met à jour son programme de protecƟon des Renseignements personnels, le cas échéant. 14.2. Tout Incident de conﬁdenƟalité est signalé au RPRP et est consigné au registre des Incidents de conﬁdenƟalité, conformément à l'arƟcle 7.1.6 de la présente PoliƟque. 14.3. Si l'Incident de conﬁdenƟalité présente un risque de préjudice sérieux pour les Personnes concernées, la Municipalité avise celles-ci avec diligence ainsi que la CAI. 15. RÔLES ET RESPONSABILITÉS 15.1. La protecƟon des Renseignements personnels que la Municipalité déƟent repose sur l'engagement de tous ceux qui traitent ces renseignements et plus parƟculièrement des suivants : 15.2. Le RPRP : - s'assure de la protecƟon des Renseignements personnels tout au long de leur Cycle de vie, de la collecte à la destrucƟon ; - se conforme aux exigences liées aux demandes d'accès ou de recƟﬁcaƟon, sous réserve des responsabilités dévolues au RAD, y compris : 12 o donner au requérant un avis de la date de récepƟon de sa demande ; o aviser le requérant des délais et de son droit à la révision ; o répondre à la demande dans un délai de 20 jours, ou si le traitement de la demande ne paraît pas possible sans nuire au déroulement normal des acƟvités de la Municipalité, dans un délai de 10 jours supplémentaires, après avoir avisé le requérant par écrit ; o prêter assistance au requérant pour idenƟﬁer le document suscepƟble de contenir les renseignements recherchés lorsque sa demande est imprécise o moƟver tout refus d'acquiescer à une demande d'accès ; o la demande du requérant, lui prêter assistance pour l'aider à comprendre la décision le concernant ; o rendre sa décision par écrit et en transmeƩre une copie au requérant. Elle doit être accompagnée du texte de la disposiƟon sur laquelle le refus s'appuie, le cas échéant, et d'un avis l'informant du recours en révision et indiquant notamment le délai dans lequel il peut être exercé; o veiller à ce que le renseignement faisant l'objet de la demande soit conservé le temps requis pour permeƩre au requérant d'épuiser les recours prévus à la Loi. - supervise la tenue des registres énumérés à l'arƟcle 7 de la présente PoliƟque. - parƟcipe à l'évaluaƟon du risque de préjudice sérieux lié à un Incident de conﬁdenƟalité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anƟcipées de leur uƟlisaƟon et à la probabilité que ces renseignements soient uƟlisés à des ﬁns malveillantes ; - le cas échéant, eﬀectue des vériﬁcaƟons des obligaƟons de conﬁdenƟalité en lien avec la communicaƟon de Renseignements personnels dans le cadre de mandats ou de contrats de services conﬁés à des Ɵers conformément à l'arƟcle 6.3.2 de la présente PoliƟque. 15.3. Le Comité (assumé par le DirecƟon générale) : - veille à la mise en place de mesures visant la sensibilisaƟon et la formaƟon des membres du personnel et des membres de la direcƟon de la Municipalité sur les obligaƟons et les praƟques en maƟère d'accès à l'informaƟon et de protecƟon des Renseignements personnels ; - élabore les principes de diﬀusion de l'informaƟon ; - approuve la présente PoliƟque-cadre sur la gouvernance en maƟère de protecƟon des Renseignements personnels ; - émet des direcƟves sur l'uƟlisaƟon d'ouƟls informaƟques markeƟng impliquant la communicaƟon de données ou le proﬁlage ; - idenƟﬁe les principaux risques en maƟère de protecƟon de Renseignements personnels et en avise la direcƟon aﬁn que des mesures correcƟves soient proposées ; - approuve toute dérogaƟon aux principes généraux de protecƟon des renseignements personnels qui auront été établis ; - émet des direcƟves pour la protecƟon des Renseignements personnels, notamment pour la conservaƟon de ceux-ci par des Ɵers et à l'extérieur du Québec ; 13 - est consulté, dès le début d'un projet et aux ﬁns de l'ÉFVP, pour tous les projets d'acquisiƟon, de développement et de refonte des systèmes d'informaƟon ou de prestaƟon électronique de services impliquant des renseignements personnels : - veille à ce que la réalisaƟon de l'ÉFVP soit proporƟonnée à la sensibilité des renseignements concernés, aux ﬁns auxquelles ils sont uƟlisés, à la quanƟté et à la distribuƟon des Renseignements et au support sur lequel ils seront hébergés ; - le cas échéant, s'assure que le projet permet de communiquer à la Personne concernée les Renseignements personnels informaƟsés recueillis auprès d'elle dans un format technologique structuré et couramment uƟlisé ; - escalade les recommandaƟons qui ne sont pas suivies à la DirecƟon générale; - doit être avisé de tout Incident de conﬁdenƟalité impliquant les Renseignements personnels et conseiller la Municipalité quant aux suites à y donner ; - revoit le Plan de réponse aux incidents de conﬁdenƟalité (Annexe 2)dans l'éventualité d'un Incident de conﬁdenƟalité ; - revoit les règles pour la collecte et la conservaƟon des Renseignements personnels provenant de sondages, y compris dans le cadre de la PoliƟque de la Municipalité sur les sondages (Annexe 1) ; - revoit toute quesƟon d'intérêt touchant la protecƟon des Renseignements personnels ; - revoit les mesures relaƟves à la vidéosurveillance et s'assure du respect de la vie privée dans le cadre de son uƟlisaƟon. 15.4. Toute personne qui traite des Renseignements personnels que la Municipalité déƟent : - agit avec précauƟon et intègre les principes énoncés à la présente PoliƟque à ses acƟvités; - n'accède qu'aux renseignements nécessaires à l'exercice de ses foncƟons ; - n'intègre et ne conserve des renseignements que dans les dossiers desƟnés à l'accomplissement de ses foncƟons ; - conserve ces dossiers de manière à ce que seules les personnes autorisées y aient accès - protège l'accès aux Renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe ; - s'absƟent de communiquer les Renseignements personnels dont elle prend connaissance dans l'exercice de ses foncƟons, à moins d'être dûment autorisée à le faire ; - s'absƟent de conserver, à la ﬁn de son emploi ou de son contrat, les Renseignements personnels obtenus ou recueillis dans le cadre de ses foncƟons et mainƟent ses obligaƟon de conﬁdenƟalité ; - détruit tout Renseignement personnel conformément à la procédure de destrucƟon des renseignements personnels de la Municipalité (Annexe 4); - parƟcipe aux acƟvités de sensibilisaƟon et de formaƟon en maƟère de protecƟon des Renseignements personnels qui lui sont desƟnées ; - signale tout manquement, Incident de conﬁdenƟalité ou toute autre situaƟon ou irrégularité qui pourrait compromeƩre de quelque façon que ce soit la sécurité, l'intégrité ou la conﬁdenƟalité de Renseignements personnels conformément à la procédure établie par la Municipalité. 14 16. ACTIVITÉS DE SENSIBILISATION La Municipalité oﬀre des acƟvités de formaƟon et de sensibilisaƟon à son personnel en maƟère de protecƟon des Renseignements personnels. Notamment, elle : - Exige que le personnel municipal et ses collaborateurs lisent la PoliƟque; - Eﬀectue des rappels annuels concernant la PoliƟque; - Informe personnel municipal et ses collaborateurs des mises à jour de la PoliƟque; 17. SANCTIONS Toute personne qui enfreint la présente PoliƟque est passible de sancƟons selon le cadre normaƟf applicable. 18. MISE À JOUR De manière à suivre l'évoluƟon du cadre normaƟf applicable en maƟère de protecƟon des Renseignements personnels et à améliorer le programme de protecƟon des Renseignements personnels de la Municipalité, la présente PoliƟque pourra être mise à jour au besoin. Veuillez- vous rendre à la version sur le site Web de la Municipalité pour consulter la version la plus récente. 19. ENTRÉE EN VIGUEUR La présente PoliƟque entre en vigueur lors de son adopƟon par le Conseil de la Municipalité. 15 Annexe 1 - PoliƟque de la Municipalité sur les sondages PoliƟque sur les sondages de la Municipalité de Sainte-Élizabeth-de-Warwick 1. Contexte et portée La Municipalité de Sainte-Élizabeth-de-Warwick s'engage à respecter et à protéger la vie privée et les renseignements personnels de toutes les personnes qui répondent à ses sondages en adhérant à la présente PoliƟque sur les sondages et à sa PoliƟque-cadre sur la gouvernance ainsi que la PoliƟque sur la conﬁdenƟalité. La présente PoliƟque sur les sondages s'applique aux enquêtes, aux sondages et aux études de recherche. Lorsque la PoliƟque sur la protecƟon de la vie privée fait référence au « site Web » ou au « site », ces termes englobent tous les programmes ou logiciels uƟlisés dans le cadre de votre parƟcipaƟon à un sondage. La présente PoliƟque sur les sondages s'applique à la Municipalité de Sainte-Élizabeth-de-Warwick exclusivement. 2. Accès à des renseignements idenƟﬁcatoires Seules les personnes suivantes auront accès à des renseignements idenƟﬁcatoires : - personnel ayant reçu une formaƟon parƟculière pour travailler avec les données; - chercheurs ou organismes ayant reçu notre approbaƟon ou liés par contrat; - Ɵerces parƟes qui nous aident à réaliser le sondage, fournissent des ouƟls logiciels ou nous aident à analyser les données recueillies. Dans toute autre circonstance, aucun renseignement idenƟﬁcatoire ayant été recueilli ne sera communiqué à de Ɵerces parƟes, et ce, à aucun moment, à moins que cela se fasse conformément à la PoliƟque-cadre sur la gouvernance, la PoliƟque sur la conﬁdenƟalité et la PoliƟque sur les sondages, ou que nous vous indiquions clairement, à l'avance, quels renseignements idenƟﬁcatoires pourraient être partagés. Les données recueillies au moyen d'un sondage pourraient être traitées et entreposées à l'étranger, et les gouvernements, tribunaux et organismes d'applicaƟon de la loi ou de réglementaƟon du pays en quesƟon pourraient être en mesure d'obtenir une divulgaƟon de vos renseignements en vertu d'une ordonnance légale donnée dans ce pays. UƟlisaƟon de données anonymes agrégées Nous pourrons communiquer des données anonymes agrégées à d'autres parƟes. Par exemple, nous pourrons uƟliser les idées et les commentaires, en tout ou en parƟe, dans un format agrégé anonyme, aux ﬁns d'élaboraƟon de poliƟques et d'eﬀorts de représentaƟon et de mobilisaƟon. Aux ﬁns d'exacƟtude staƟsƟque, la Municipalité de Sainte-Élizabeth-de-Warwick ne transmeƩra pas de données agrégées anonymes à des parƟes externes dans les cas où une cohorte ou un groupe d'intérêt compte moins de 30 personnes répondantes. Aux ﬁns de conﬁdenƟalité des renseignements des personnes répondantes, la Municipalité de Sainte-Élizabeth-de-Warwick ne 16 publiera pas de données agrégées lorsqu'un échanƟllon compte moins de cinq personnes ou si le nombre de personnes répondantes pourrait entraîner la divulgaƟon de renseignements personnels idenƟﬁcatoires. Toutes les données sont cryptées, et seules les personnes autorisées peuvent y accéder, au moyen d'un processus d'authenƟﬁcaƟon rigoureux assujeƫ aux poliƟques de sécurité informaƟque. La Municipalité de Sainte-Élizabeth-de-Warwick conﬁrme qu'elle prend, conformément à la loi applicable, toutes les mesures appropriées pour empêcher le traitement ou la divulgaƟon, sans autorisaƟon ou de manière illégale, de renseignements personnels ainsi que la perte ou la destrucƟon accidentelle, ou l'endommagement, de renseignements personnels. Modalités Vous comprenez qu'en plus des Clauses et condiƟons légales et de la PoliƟque sur la protecƟon de la vie privée du site amc.ca, les modalités suivantes s'appliquent lorsque vous parƟcipez à une enquête, à un sondage et/ou à une étude : - Droit d'auteur Vous convenez qu'en soumeƩant des réponses ou du contenu, vous nous accordez le droit non exclusif irrévocable d'uƟliser indéﬁniment ceƩe informaƟon. Vous renoncez à tous vos droits moraux à l'égard de votre contenu. Sous réserve de nos Clauses et condiƟons légales, à la PoliƟque sur la protecƟon de la vie privée et à la présente PoliƟque sur les sondages, vous nous permeƩez d'aﬃcher, de copier, de traduire, de publier, de distribuer, de transmeƩre, d'imprimer et d'uƟliser ces renseignements. - InterdicƟon de reproduire l'informaƟon contenue dans le sondage Il peut arriver que, dans le cadre d'un sondage, nous vous communiquions des renseignements conﬁdenƟels; nous vous demanderons de ne pas conserver, divulguer, ni uƟliser ces renseignements autrement que pour les ﬁns décrites. Vous devez immédiatement averƟr la Municipalité de Sainte-Élizabeth-de-Warwick si vous avez connaissance d'une uƟlisaƟon ou d'une divulgaƟon non autorisée, présumée ou réelle, de renseignements conﬁdenƟels ou personnels qui ont pu vous être fournis dans le cadre d'un sondage. - Responsabilité quant à l'exacƟtude et à l'exhausƟvité des renseignements sur les clients En acceptant de parƟciper à un sondage, vous vous engagez à faire de votre mieux pour fournir des renseignements exacts et complets sur le sujet dont il est quesƟon. La Municipalité de Sainte-Élizabeth-de-Warwick uƟlisera tous les renseignements et les données que vous communiquez sans les vériﬁer de manière indépendante, sauf si les normes ou les praƟques sectorielles en vigueur l'exigent. La Municipalité de Sainte-Élizabeth-de-Warwick n'assume aucune responsabilité quant à l'exacƟtude ou à l'exhausƟvité de ces renseignements ou données. 17 ConsidéraƟons générales Votre parƟcipaƟon à un sondage est volontaire; lorsque vous choisissez d'y parƟciper, vous pouvez vous reƟrer à tout moment. Vous ne serez pas pénalisé le cas échéant, mais la Municipalité de Sainte-Élizabeth-de-Warwick pourrait ne pas être en mesure d'annuler ou de reƟrer les données saisies après que celles-ci ont été intégrées à un corpus agrégé. Il est interdit de transmeƩre un sondage sans la permission de la Municipalité de Sainte- Élizabeth-de-Warwick. Veuillez fournir uniquement des réponses perƟnentes et mesurées et vous abstenir d'uƟliser des termes oﬀensants, injurieux ou inappropriés de quelque façon. La Municipalité de Sainte-Élizabeth-de-Warwick se réserve le droit de reƟrer un sondage et la possibilité d'y parƟciper, ou d'y meƩre ﬁn, à tout moment et pour quelque raison que ce soit. LimitaƟon de responsabilité En acceptant de parƟciper à un sondage, vous convenez avec la Municipalité de Sainte-Élizabeth- de-Warwick qu'aucune des parƟes ne peut tenir l'autre responsable de tout dommage-intérêt indirect, parƟculier, puniƟf, consécuƟf ou accessoire, y compris pour la perte de proﬁts. Que faire si j'ai des quesƟons ou des préoccupaƟons? Vous pouvez adresser vos quesƟons ou faire part de vos préoccupaƟons en lien avec les poliƟques menƟonnées, vous pouvez communiquez avec la DirecƟon générale à dg@sainte-elizabeth-de- warwick.ca . Pour en savoir davantage sur vos droits relaƟfs à la protecƟon des renseignements personnels, veuillez communiquer avec le Commissariat à la protecƟon de la vie privée du Canada (hƩps://www.priv.gc.ca/f) ou avec la Commission d'accès à l'informaƟon du Québec (hƩps://www.cai.gouv.qc.ca/ ) . 18 Annexe 2 - Plan de réponse aux incidents de conﬁdenƟalité Étape 1 : Rassemblement de l'équipe de travail et mener l'enquête préliminaire. A. Comprendre la nature de l'incident. a. IdenƟﬁcaƟon de la source. b. CommunicaƟon avec le partenaire responsable en technologie et en sécurité de l'informaƟon. c. IdenƟﬁer un porte-parole B. IdenƟﬁer les renseignements qui ont été compromis. a. Consulter le Registre des données personnelles conservées. b. Déterminer le nombre d'individus concernées. c. IdenƟﬁer le niveau de risque selon la grille d'évaluaƟon. d. Consulter les professionnels en droit pour nous assister. C. Consulter les poliƟques internes et les contrats conclus avec des Ɵers. a. PoliƟque-cadre sur la gouvernance. b. PoliƟque sur les données personnelles. D. Consulter notre police d'assurance. a. Valider si notre police d'assurance couvre l'incidents. b. Informer l'assureur. Étape 2 : Signalement aux autorités compétentes et noƟﬁcaƟon aux personnes concernées. A. Aviser la Commission d'accès à l'informaƟon (CAI) via le formulaire. B. Aviser les personnes concernées à l'aide du modèle d'avis. C. MeƩre en place des mesures pour réduire les conséquences négaƟves de l'incident de sécurité. Étape 3 : Signalement aux Ɵers. A. Revoir les contrats avec les Ɵers. S'il y a une obligaƟon contractuelle, aviser le Ɵers de la situaƟon dès que possible. Étape 4 : Mise à jour du registre des incidents de conﬁdenƟalité. A. Documenter le registre. Étape 5 : Mise en place des mesures correcƟves et prévenƟves. A. Poursuivre l'enquête pour déterminer la brèche qui a occasionné l'incident de sécurité. B. Revoir les poliƟques, les règles, les formaƟons et les stratégies appropriées. C. Renégocier les ententes contractuelles, s'il y a lieu, avec les Ɵers. 19 Annexe 3 - Modèle d'avis d'incident de sécurité à la personne concernée Municipalité de Sainte-Élizabeth-de-Warwick IMPORTANT - Avis d'incident de sécurité Bonjour X, La Municipalité de Sainte-Élizabeth-de-Warwick Ɵent à vous aviser de la situaƟon suivante : DescripƟon des renseignements personnels visés par l'incident DescripƟon des circonstances de l'incident Date ou la période où l'incident a eu lieu Mesures prises ou envisagées pour diminuer les risques qu'un préjudice soit causé à la suite de l'incident Mesures proposées à la personne concernée aﬁn de diminuer le risque qu'un préjudice lui soit causé ou d'aƩénuer celui-ci Coordonnées d'une personne ou d'un service avec qui la personne concernée peut communiquer pour obtenir davantage d'informaƟons au sujet de l'incident. [email protected] 819-358-5162 243, rue Principale, Sainte-Élizabeth-de- Warwick Québec J0A 1M0 Nous sommes désolés des inconvénients engendrés, _____________________________________ DirecƟon générale et greﬃer-trésorier 20 Annexe 4 : Procédure de destrucƟon des renseignements personnels La Municipalite de Sainte-Élizabeth-de-Warwick s'engage à détruire les renseignements personnels lorsque ces données n'ont plus d'uƟlité. A. Dans le cas de renseignements sur des supports papier, les documents seront détruits lors de la destrucƟon annuelle des documents municipaux. Les documents sont détruits par une ﬁrme spécialisée qui détruit les documents dans le staƟonnement municipal via un camion-ouƟl approprié. Les documents ne peuvent être transportés par un membre du personnel aﬁn qu'ils soient détruits autrement. B. Dans le cas des renseignements sur des supports numériques, les documents seront détruits sur une base annuelle pendant la période de déclassement des documents municipaux. Au besoin, le personnel contactera le support informaƟque et ses partenaires Ɵers aﬁn que les documents soient déﬁniƟvement détruits. a. Dans l'éventualité que la Municipalité doit se déparƟr d'un appareil électronique contenant un disque dur, elle s'engage à remeƩre l'appareil électronique à une entreprise spécialisée dans l'eﬀacement et la récupéraƟon des données aﬁn que les données ne soient pas compromises dans le transport, le démantèlement ou la réuƟlisaƟon. 21