Politique sur l'accès aux documents de la Municipalité de Sainte-Hélène-de-Bagot et sur la protection des renseignements personnels
Sainte-Hélène-de-Bagot, Quebec
This is the exact embedded text of the captured official document.
Snapshot 66fef8771e74 · verified 2026-06-14 ·
original document ·
archived snapshot ·
unofficial consolidation, the official version is held by the municipal clerk.
POLITIQUE SUR L'ACCÈS AUX DOCUMENTS
DE LA MUNICIPALITÉ DE SAINTE-HÉLÈNE-DE-BAGOT ET SUR
LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Résolution numéro 66-03-2024
2
Table des matières
1.
PRÉAMBULE .............................................................................................................................................4
2.
OBJET .........................................................................................................................................................4
3.
CADRE NORMATIF ..................................................................................................................................4
4.
GOUVERNANCE .......................................................................................................................................4
4.1 Définition ............................................................................................................................................................4
4.2 Objet et champ d'application .........................................................................................................................6
5.
GESTION DES INCIDENTS DE CONFIDENTIALITÉ ...........................................................................6
5.1
Mesures à adopter et obligations en cas d'incident de confidentialité ....................................................7
5.1.1
Évaluer la situation .........................................................................................................................7
5.1.2
Diminuer les risques .......................................................................................................................7
5.1.3
Identifier la nature du préjudice .....................................................................................................7
5.1.4
Inscrire l'incident au registre ..........................................................................................................7
5.1.5
S'il y a un risque de préjudice sérieux ............................................................................................7
5.2
Communication des renseignements personnels sans le consentement ..................................................8
5.3
Registre des incidents de confidentialité .................................................................................................8
6.
OUTILS D'ÉVALUATION DES PRÉJUDICES ET RISQUES ...............................................................9
6.1
Critère pour l'évaluation des préjudices, impacts et risques ...................................................................9
7.
INVENTAIRE ET PROTECTION DES RENSEIGNEMENTS PERSONNELS ......................................9
7.1
Inventaire des fichiers de renseignements personnels .............................................................................9
7.2
Protection des renseignements personnels dans les systèmes d'information ........................................10
7.2.1
Identification des étapes du cycle de vie d'un renseignement personnel .....................................10
7.2.2
Collecte .........................................................................................................................................10
7.2.3
Utilisation .....................................................................................................................................11
7.2.4
Communication ............................................................................................................................12
7.2.5
Conservation .................................................................................................................................12
7.2.6
Destruction ...................................................................................................................................12
7.3
Autres obligations : sécurité, accès et rectification ...............................................................................12
8.
ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE (ÉFVP) .........................................13
8.1
Système d'information ou de prestation électronique de services ........................................................13
8.2
Collecte de renseignements personnels pour les partenaires .................................................................13
8.3
Communication des renseignements personnels sans le consentement ................................................13
8.4
Communication pour des situations définies ........................................................................................13
8.5
Communication à des tiers à l'extérieur du Québec .............................................................................13
9.
CONSENTEMENT ET INFORMATION DES PERSONNES ................................................................14
9.1
Procédure, portée et durée .....................................................................................................................14
9.2
Personne mineure ..................................................................................................................................14
10.
COMMUNICATION DES RENSEIGNEMENTS PERSONNELS À DES TIERS SANS
CONSENTEMENT ................................................................................................................................................14
10.1
Communication pour l'exécution d'un mandat ou contrat de service ..............................................14
10.2
Communication pour des situations définies ....................................................................................14
10.3
Communication à des tiers à l'extérieur du Québec .........................................................................15
11.
GESTION DU CYCLE DE VIE DES FICHIERS ....................................................................................15
11.1
Processus de destruction ou d'anonymisation ..................................................................................15
12.
ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS ...................16
13.
SONDAGE ................................................................................................................................................16
14.
DROITS DES PERSONNES CONCERNÉES .........................................................................................16
14.1
Droit ..................................................................................................................................................16
14.2
Exceptions .........................................................................................................................................17
14.3
Consultation ......................................................................................................................................17
14.4
Demande d'accès à l'information .....................................................................................................17
15.
TRAITEMENT DES PLAINTES .............................................................................................................17
16.
SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS ........................................................................17
3
17.
RÔLES ET RESPONSABILITÉS ............................................................................................................18
17.1
Le RPRP ...........................................................................................................................................18
17.2
Traitement par les employés .............................................................................................................18
18.
DIRECTIVE ET FORMATION ...............................................................................................................19
18.1
Des employés ....................................................................................................................................19
18.2
Utilisation des outils technologiques ................................................................................................20
19.
SANCTIONS .............................................................................................................................................20
20.
MISE À JOUR ...........................................................................................................................................20
21.
ENTRÉE EN VIGUEUR ..........................................................................................................................20
Annexe A ................................................................................................................................................................22
Modèle de registre des incidents de confidentialité ...........................................................................................22
Annexe B ................................................................................................................................................................23
Formulaire de déclaration d'un incident de confidentialité................................................................................23
Annexe C ................................................................................................................................................................28
Modèle d'avis à la personne concernée ..............................................................................................................28
Annexe D ................................................................................................................................................................29
Modèle d'engagement de confidentialité ...........................................................................................................29
Annexe E ................................................................................................................................................................30
Modèle de registre de communications de renseignements personnels .............................................................30
Annexe F ................................................................................................................................................................31
Modèle d'inventaire des renseignements personnels .........................................................................................31
4
1.
PRÉAMBULE
Dans le cadre de ses activités et de sa mission, la Municipalité de Sainte-Hélène-de-Bagot
(la « Municipalité ») traite des renseignements personnels, notamment ceux des visiteurs de son site
Internet, de citoyens et de ses employés. À ce titre, elle reconnait l'importance de respecter la vie
privée et de protéger les renseignements personnels qu'elle détient.
Afin de s'acquitter de ses obligations en lien avec la Loi modernisant des dispositions législatives en
matière de protection des renseignements personnels (Loi 25), la Municipalité s'est dotée de la présente
politique. Celle-ci énonce les principes-cadres applicables à la protection des renseignements
personnels que la Municipalité détient tout au long du cycle de vie de ceux-ci et aux droits des
personnes concernées.
La protection des renseignements personnels détenus par la Municipalité incombe à tous les
employés-cadres, professionnels, techniques et de soutien, ainsi qu'aux élus en fonction à la
Municipalité qui traitent ces renseignements. Ces personnes doivent comprendre et respecter les
principes de protection des renseignements personnels inhérents à l'exercice de leurs fonctions ou qui
découlent de leur relation avec la Municipalité.
2.
OBJET
La présente politique :
- Énonce les principes encadrant la gouvernance de la Municipalité à l'égard des renseignements
personnels tout au long de leur cycle de vie et de l'exercice des droits des personnes concernées;
- Prévoit le processus de traitement des plaintes relatives à la protection des renseignements
personnels;
- Définit les rôles et responsabilités en matière de protection des renseignements personnels à la
Municipalité;
- Décrit les activités de formation et de sensibilisation que la Municipalité offre à son personnel.
3.
CADRE NORMATIF
La présente politique s'inscrit dans un contexte régi notamment par la Loi sur l'accès aux documents
des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2-1.).
Conformément à cette Loi, la présente politique est accessible via le site Internet de la Municipalité
sous le lien https://www.saintehelenedebagot.com/fr/administration-municipale/politiques/.
4.
GOUVERNANCE
4.1 Définition
Pour l'interprétation de la présente politique, à moins que le contexte ne comporte un sens
différent, les mots employés ont la signification suivante :
5
« Commission d'accès à l'information (CAI) » : organisme gouvernemental québécois
responsable de mettre en œuvre les politiques d'accès à l'information et de protection des
renseignements personnels au Québec.
« Consentement » : accord manifeste, libre et éclairé donné par une personne à des fins
spécifiques. Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins
auxquelles il a été demandé.
« Cycle de vie » : ensemble des étapes visant le traitement d'un renseignement personnel, soit
la collecte, l'utilisation, la communication, la conservation et la destruction de celui-ci.
« Évaluation des facteurs relatifs à la vie privée (ÉFVP) » : démarche préventive qui vise à
mieux protéger les renseignements personnels et à respecter la vie privée des personnes
physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences
positives et négatives sur le respect de la vie privée des personnes concernées.
« Incident de confidentialité » : tout accès, utilisation, communication de même que la perte
ou toute autre atteinte à la protection d'un renseignement personnel non autorisé par la Loi.
« Municipalité » : Municipalité de Sainte-Hélène-de-Bagot.
« Loi » : Loi sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels (RLRQ, c. A-2.1).
« Personne concernée » : personne physique à qui se rapportent les renseignements personnels.
« Préjudice sérieux » : atteinte aux droits fondamentaux des personnes à la protection des
renseignements personnels qui les concernent et de leur vie privée, et met en danger la sécurité,
la santé ou le bien-être de ces personnes, ou encore porte atteinte à l'image de marque de la
Municipalité, avec ou sans médiatisation. Porte sur la sensibilité des renseignements personnels
concernés, l'utilisation malveillante possible de ces renseignements, les conséquences
appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables.
« Profilage » : collecte et utilisation de renseignements personnels afin d'évaluer certaines
caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au
travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du
comportement de cette personne.
« Renseignement anonymisé » : un renseignement personnel est anonymisé quand il est, en
tout temps, raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon
irréversible, d'identifier directement ou indirectement la personne concernée.
« Renseignement dépersonnalisé » : renseignement qui ne permet plus d'identifier
directement la personne concernée.
« Renseignement personnel » : renseignement qui concerne une personne physique et permet,
directement ou indirectement, de l'identifier.
6
« Renseignement personnel à caractère public » : renseignement qui permet d'identifier
directement une personne, mais qui est public. Sont considérés à caractère public le nom, le
titre, la fonction, la classification et l'échelle de traitement rattachée à cette classification, de
même que l'adresse, l'adresse de courrier électronique et le numéro de téléphone du lieu de
travail d'un membre de la Municipalité, de ses élus et de son personnel de direction. Le
traitement d'un membre du personnel de la Municipalité n'est pas un renseignement à caractère
public.
« Renseignement personnel confidentiel » : renseignement personnel qui porte sur une
personne physique et permet de l'identifier. Ce renseignement est confidentiel. Sa
confidentialité découle du droit à la vie privée permettant à toute personne d'exercer un contrôle
sur l'utilisation et la circulation de ses renseignements. Sauf exception, ce renseignement ne
peut être communiqué sans le consentement de la personne concernée.
« Renseignement personnel sensible » : renseignement qui, par sa nature notamment
médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa
communication, suscite un haut degré d'atteinte raisonnable en matière de vie privée. Par
exemple, le renseignement sensible peut concerner la santé ou l'orientation sexuelle; les
caractéristiques morphologiques, comportementales ou biologiques (biométrie), le groupe
ethnique, les croyances philosophiques ou religieuses, l'état des finances.
« Responsable de l'accès aux documents (RAD) » : désigne la personne qui, au sein de la
Municipalité, exerce cette fonction et qui doit répondre aux demandes d'accès aux documents
selon la Loi.
« Responsable de la protection des renseignements personnels (RPRP) » : la personne qui,
au sein de la Municipalité, exerce cette fonction et veille à assurer le respect et la mise en œuvre
de la Loi concernant la protection des renseignements personnels.
4.2 Objet et champ d'application
Cette politique s'applique aux documents détenus par la Municipalité dans l'exercice de ses
fonctions ainsi que la conservation de ses documents, peu importe leur forme : écrite,
graphique, sonore, visuelle, informatisée ou autre.
Elle s'applique à tous les employés, ainsi qu'à tous les organismes œuvrant au nom de la
Municipalité, dans le cadre de l'exercice de leurs fonctions, et ce, sans limite de temps, pendant
et après la fin de leur relation avec la Municipalité.
5.
GESTION DES INCIDENTS DE CONFIDENTIALITÉ
En complément à la définition, un incident de confidentialité pourrait se produire, par exemple,
lorsque :
- Un membre du personnel consulte un renseignement personnel sans autorisation;
- Un membre du personnel communique des renseignements personnels au mauvais destinataire;
- La Municipalité est victime d'une cyberattaque : hameçonnage, rançongiciel, etc.
7
5.1 Mesures à adopter et obligations en cas d'incident de confidentialité
Les étapes qui suivent peuvent être réalisées simultanément :
5.1.1
Évaluer la situation
Lorsque la Municipalité a des raisons de croire qu'il s'est produit un incident de
confidentialité impliquant un renseignement personnel qu'elle détient, elle doit
notamment :
1. Établir les circonstances de l'incident;
2. Identifier les renseignements personnels impliqués;
3. Identifier les personnes concernées;
4. Trouver le problème, que ce soit une erreur, une vulnérabilité, etc.
Cette évaluation doit se poursuivre tant que tous les éléments n'ont pas été identifiés.
5.1.2
Diminuer les risques
La Municipalité doit prendre rapidement les mesures raisonnables qui s'imposent afin
de diminuer les risques qu'un préjudice, qu'il soit sérieux ou non, ne soit causé et pour
éviter que de nouveaux incidents de même nature ne surviennent, par exemple :
1. Mettre en place les bonnes pratiques autorisées;
2. Récupérer ou exiger la destruction des renseignements personnels impliqués;
3. Corriger les lacunes informatiques.
5.1.3
Identifier la nature du préjudice
L'objectif consiste à déterminer s'il faut aviser la CAI et les personnes concernées ainsi
qu'établir les mesures à mettre en place pour diminuer les risques notamment :
- Inscrire une note dans les dossiers visés par un risque de vol d'identité;
- Exiger des vérifications supplémentaires.
5.1.4
Inscrire l'incident au registre
Identifier si le risque de préjudice est sérieux ou non. Voir Annexe A - Modèle de
registre des incidents de confidentialité.
5.1.5
S'il y a un risque de préjudice sérieux
La Municipalité doit :
- Aviser la CAI dès que possible, même si elle n'a pas colligé l'ensemble des
informations relatives à l'incident, et remplir la déclaration par la suite. Elle peut
8
ainsi aviser la CAI de l'incident et, plus tard, confirmer le nombre de personnes
concernées.
- Aviser toute personne dont un renseignement personnel est concerné par
l'incident, à moins que cet avis ne soit susceptible d'entraver une enquête. Un délai
peut s'appliquer entre le moment où la Municipalité prend connaissance de l'incident
et celui où il en avise les personnes concernées. Ce délai peut être nécessaire afin, par
exemple, d'identifier les renseignements personnels impliqués, les personnes
concernées, la faille de sécurité et pour colmater celle-ci ou pour éviter d'entraver une
enquête en cours. Voir Annexe B - Formulaire de déclaration d'un incident de
confidentialité.
5.2
Communication des renseignements personnels sans le consentement
Sous réserve des exceptions prévues par la Loi, la Municipalité ne peut communiquer
des renseignements personnels sans le consentement de la personne concernée. Le
consentement doit être donné expressément lorsque des renseignements personnels
sensibles sont en cause.
Lorsque des renseignements personnels sont communiqués à un mandataire ou un
fournisseur de services, la Municipalité doit conclure une entente avec le fournisseur de
services ou le mandataire qui comprend les dispositions contractuelles types de la
Municipalité.
Lorsque les renseignements personnels sont communiqués à des tiers hors Québec, la
Municipalité procède à une ÉFVP conformément à l'article 8 des présentes. Une
communication à des tiers est consignée au registre prévu à cet effet.
5.3
Registre des incidents de confidentialité
La Municipalité doit tenir un registre dans lequel elle collige tous les incidents de
confidentialité impliquant des renseignements personnels. À la demande de la CAI, la
Municipalité doit transmettre une copie de son registre.
La Municipalité doit tenir un registre des incidents de confidentialité (Annexe A -
Modèle de registre des incidents de confidentialité).
La personne responsable de remplir et de communiquer ce registre à la CAI est le RPRP
de la Municipalité.
Le registre des incidents de confidentialité doit contenir les éléments suivants :
1. Une description des renseignements personnels visés par l'incident. Si cette
information n'est pas connue, la Municipalité doit inscrire la raison justifiant
l'impossibilité de fournir cette description;
2. Une brève description des circonstances de l'incident;
3. La date ou la période où l'incident a eu lieu ou une approximation de cette période si
elle n'est pas connue;
4. La date ou la période au cours de laquelle la Municipalité a pris connaissance de
l'incident;
9
5. Le nombre de personnes concernées par l'incident ou, s'il n'est pas connu, une
approximation de ce nombre;
6. Une description des éléments qui amènent la Municipalité à conclure qu'il y a, ou
non, un risque qu'un préjudice sérieux soit causé aux personnes concernées, comme :
- La sensibilité des renseignements personnels concernés;
- Les utilisations malveillantes possibles des renseignements;
- Les conséquences appréhendées de l'utilisation des renseignements et la
probabilité qu'ils soient utilisés à des fins préjudiciables.
7. Les dates de transmission des avis à la CAI et aux personnes concernées, quand
l'incident présente le risque de préjudice sérieux. La Municipalité doit aussi préciser
si elle a donné des avis publics et la raison de ceux-ci;
8. Une brève description des mesures prises par la Municipalité à la suite de l'incident
pour diminuer les risques qu'un préjudice soit causé.
Les renseignements du registre doivent être mis à jour et conservés pour une période
minimale de cinq ans, après la date ou la période de prise de connaissance de l'incident
par la Municipalité.
Dans divers contextes, la Municipalité peut confier des renseignements personnels à des
tiers qui en assurent la conservation. La Municipalité demeure malgré tout responsable
de l'ensemble de ses obligations en cas d'incident de confidentialité : mesures à prendre,
registre à tenir et à mettre à jour, avis à donner, etc.
6.
OUTILS D'ÉVALUATION DES PRÉJUDICES ET RISQUES
6.1
Critère pour l'évaluation des préjudices, impacts et risques
Lorsque la Municipalité évalue le risque qu'un préjudice soit causé à une personne dont un
renseignement personnel est concerné par un incident de confidentialité, elle considère
notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son
utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables. Son RPRP doit être
consulté.
7.
INVENTAIRE ET PROTECTION DES RENSEIGNEMENTS PERSONNELS
7.1
Inventaire des fichiers de renseignements personnels
La Municipalité doit établir et maintenir à jour un inventaire de ses fichiers de renseignements
personnels. Cet inventaire doit contenir :
1. La désignation de chaque fichier, les catégories de renseignements qu'il contient, les fins
pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier;
2. La provenance des renseignements versés à chaque fichier;
3. Les catégories de personnes concernées par les renseignements versés à chaque fichier;
10
4. Les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs
fonctions;
5. Les mesures de sécurité prises pour assurer la protection des renseignements personnels.
Selon le Règlement sur la diffusion de l'information et sur la protection des renseignements
personnels (RLRQ, c. A-2.1, r.2) toute personne qui en fait la demande a droit d'accès à cet
inventaire, sauf à l'égard des renseignements dont la confirmation de l'existence peut être
refusée en vertu des dispositions de la Loi.
7.2
Protection des renseignements personnels dans les systèmes d'information
7.2.1 Identification des étapes du cycle de vie d'un renseignement personnel
1. Collecte;
2. Utilisation;
3. Communication;
4. Conservation;
5. Destruction.
7.2.2
Collecte
La première étape du cycle de vie du renseignement personnel est la collecte. Le
renseignement personnel est :
1. Recueilli (ex. : formulaire d'adhésion, sondage, outils analytiques, Internet);
2. Créé (ex. : numéro d'usager ou d'utilisateur);
3. Inféré (ex. : profil des citoyens ou des municipalités), c'est-à-dire déduit à partir
d'autres renseignements.
Le fait de visualiser un renseignement personnel, comme ceux contenus sur une pièce
d'identité, constitue également une collecte, même s'il n'y a pas de conservation par la
suite.
La collecte peut être réalisée directement par la Municipalité ou par un tiers, comme un
mandataire ou un partenaire.
À cette étape, les obligations suivantes doivent être respectées afin de protéger les
renseignements personnels :
1. Déterminer les fins de la collecte : un intérêt sérieux et légitime doit motiver la
constitution d'un dossier sur une personne;
2. Limiter la collecte de renseignements personnels : la collecte doit se limiter aux
renseignements nécessaires aux fins déterminées. En cas de doute, un
renseignement personnel est réputé non nécessaire;
3. Recueillir les renseignements personnels par des moyens légaux et légitimes : sauf
exception, la collecte doit se faire auprès de la personne concernée;
11
4. Informer la personne concernée, avant de constituer un dossier :
a) De l'objet du dossier;
b) De l'utilisation qui sera faite des renseignements personnels;
c) Des catégories de personnes qui y auront accès au sein de la Municipalité;
d) De l'endroit où ils seront détenus;
e) De ses droits d'accès et de rectification.
5. Obtenir le consentement des personnes concernées avant de collecter leurs
renseignements personnels auprès d'un tiers, à moins d'une exception prévue par la
Loi.
Sauf exception prévue par la Loi, la Municipalité ne peut obliger une personne à fournir
un renseignement personnel afin qu'elle obtienne un bien, un service ou un emploi.
7.2.3
Utilisation
L'utilisation est la période où le renseignement personnel est utilisé par les personnes
autorisées au sein de la Municipalité. Un renseignement personnel ne peut être utilisé au
sein de la Municipalité qu'aux fins pour lesquelles il a été recueilli, à moins du
consentement de la personne concernée. Ce consentement doit être manifesté de façon
expresse dès qu'il s'agit d'un renseignement personnel sensible.
À cette étape, la Municipalité doit respecter les obligations suivantes :
1. Limiter l'accès aux renseignements personnels aux seules personnes ayant la qualité
pour les recevoir au sein de la Municipalité lorsque ces renseignements sont
nécessaires à l'exercice de leurs fonctions;
2. Limiter l'utilisation des renseignements personnels : à moins d'une exception prévue
par la Loi, la Municipalité doit obtenir le consentement de la personne concernée
pour utiliser ses renseignements une fois l'objet du dossier accompli.
La Municipalité peut toutefois utiliser un renseignement personnel à une autre fin sans le
consentement de la personne concernée dans les seuls cas suivants :
- Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été
recueilli;
- Lorsque son utilisation est manifestement au bénéfice de la personne concernée;
- Lorsque son utilisation est nécessaire à l'application d'une loi au Québec, que cette
utilisation soit ou non prévue expressément par la Loi;
- Lorsque son utilisation est nécessaire à des fins d'étude, de recherche ou de
production de statistiques et qu'il est dépersonnalisé.
Un renseignement personnel est dépersonnalisé lorsque ce renseignement ne permet plus
d'identifier directement la personne concernée. La Municipalité qui utilise des
renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les
risques que quiconque procède à l'identification d'une personne physique à partir de
12
renseignements dépersonnalisés. La Loi prévoit des sanctions pour toute personne qui
procède ou tente de procéder à l'identification d'une personne physique à partir de
renseignements dépersonnalisés sans l'autorisation de la personne les détenant ou à
partir de renseignements anonymisés.
7.2.4
Communication
La communication est la période où le renseignement personnel est communiqué, par
exemple dans un système de prestation électronique de services, par courriel, au service
à la clientèle, par le biais de sites Internet, aux ressources humaines ou à un tiers.
À cette étape, la Municipalité doit respecter les obligations suivantes :
- Obtenir le consentement des personnes concernées pour communiquer leurs
renseignements à un tiers (ex. : assureur, prestataire de service, organisme
gouvernemental, partenaire), à moins d'une exception prévue dans la Loi;
- Respecter les obligations prévues par la Loi lorsqu'elle communique des
renseignements personnels sans le consentement de la personne concernée;
- Respecter les obligations particulières applicables à la communication de
renseignements personnels à l'extérieur du Québec.
7.2.5 Conservation
La conservation est la période durant laquelle la Municipalité garde des renseignements
personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements
soient activement utilisés ou non.
À cette étape, la Municipalité doit respecter les obligations suivantes :
- Assurer la qualité des renseignements personnels en veillant à ce que ceux-ci soient à
jour et exacts au moment où elle les utilise pour prendre une décision relative à la
personne concernée;
- Prendre des mesures de sécurité propres à assurer la protection des renseignements
personnels.
7.2.6 Destruction
Le cycle de vie du renseignement personnel se termine lors de sa destruction.
À cette étape, la Municipalité doit détruire les renseignements personnels de manière
sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous
réserve du délai prévu par la Loi ou par un calendrier de conservation établi par
règlement du gouvernement (ex. : pour les obligations fiscales).
7.3
Autres obligations : sécurité, accès et rectification
Mettre en place des mesures de sécurité propres à assurer la protection des
renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.
13
- Ces mesures sont raisonnables compte tenu, notamment, de la sensibilité, de la
finalité, de la quantité, de la répartition et du support des renseignements personnels;
- Permettre l'exercice des droits d'accès et de rectification et répondre avec diligence,
dans les 30 jours, aux demandes d'accès aux renseignements personnels et de
rectification soumise par les personnes concernées.
- L'absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un
refus ou une réponse jugée insatisfaite en exerçant son droit de recours devant la CAI.
8.
ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE (ÉFVP)
La réalisation d'une ÉFVP sert à démontrer que la Municipalité a respecté toutes les obligations en
matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de
protéger efficacement ces renseignements.
8.1
Système d'information ou de prestation électronique de services
La Municipalité doit faire une ÉFVP avant d'entreprendre un projet d'acquisition, de
développement et de refonte d'un système d'information ou de prestation électronique de
services qui implique des renseignements personnels ;
8.2
Collecte de renseignements personnels pour les partenaires
La Municipalité doit faire une ÉFVP avant de communiquer des renseignements personnels
sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite
utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques.
8.3
Communication des renseignements personnels sans le consentement
La Municipalité doit faire une ÉFVP avant de communiquer des renseignements personnels,
sans le consentement des personnes concernées, conformément à l'article 68 de la Loi.
8.4
Communication pour des situations définies
La Municipalité doit faire une ÉFVP avant de recueillir des renseignements personnels
nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme
public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une
mission commune.
8.5
Communication à des tiers à l'extérieur du Québec
Lorsque les renseignements personnels sont communiqués à l'extérieur du Québec, la
Municipalité s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard
des principes de protection des renseignements personnels généralement reconnus.
14
9.
CONSENTEMENT ET INFORMATION DES PERSONNES
9.1
Procédure, portée et durée
La Municipalité ne recueille que les renseignements personnels nécessaires à la réalisation de sa
mission et de ses activités. Avant de recueillir des renseignements personnels, la Municipalité
détermine les fins de leur traitement et ne recueille que les renseignements strictement
nécessaires.
Au moment de la collecte, et par la suite sur demande, la Municipalité informe les personnes
concernées, notamment, des fins et des modalités de traitement de leurs renseignements
personnels et de leurs droits quant à ces renseignements, par exemple, au moyen d'une Politique
de confidentialité ou d'un avis.
Lorsque la Loi exige l'obtention d'un consentement, celui-ci doit être manifeste, libre, éclairé et
donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simple et clair. Ce
consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a
été demandé.
9.2
Personne mineure
Les renseignements personnels concernant une personne mineure de moins de 14 ans ne
peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l'autorité parentale
ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.
10.
COMMUNICATION DES RENSEIGNEMENTS PERSONNELS À DES TIERS SANS
CONSENTEMENT
10.1 Communication pour l'exécution d'un mandat ou contrat de service
Dans le cadre d'un mandat ou d'un contrat de service, la Municipalité peut, sans le
consentement de la personne concernée, communiquer un renseignement personnel si cette
communication est nécessaire
Ne s'applique pas lorsque l'exécutant du contrat est un membre d'un ordre professionnel.
10.2 Communication pour des situations définies
La Municipalité peut, sans le consentement de la personne concernée, communiquer un
renseignement personnel :
- À un organisme public ou à un organisme d'un autre gouvernement lorsque cette
communication est nécessaire à l'exercice des attributions de l'organisme receveur ou à la
mise en œuvre d'un programme dont cet organisme a la gestion;
- À un organisme public ou à un organisme d'un autre gouvernement lorsque la
communication est manifestement au bénéfice de la personne concernée;
- À une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;
15
- À une personne ou à un organisme si cette communication est nécessaire dans le cadre de la
prestation d'un service à rendre à la personne concernée par un organisme public, notamment
aux fins de l'identification de cette personne.
Cette communication s'effectue dans le cadre d'une entente écrite qui indique :
1. L'identification de la Municipalité qui communique le renseignement et celle de la personne
ou de l'organisme qui le recueille;
2. Les fins pour lesquelles le renseignement est communiqué;
3. La nature du renseignement communiqué;
4. Le mode de communication utilisé;
5. Les mesures de sécurité propres à assurer la protection du renseignement personnel;
6. La périodicité de la communication;
7. La durée de l'entente.
10.3 Communication à des tiers à l'extérieur du Québec
Avant de communiquer à l'extérieur du Québec des renseignements personnels ou de confier à
une personne ou à un organisme à l'extérieur du Québec la tâche de détenir, d'utiliser ou de
communiquer pour son compte de tels renseignements, la Municipalité s'assurera qu'ils
bénéficieront d'une protection équivalant à celle prévue à la présente Loi.
Si la Municipalité estime que les renseignements visés au premier alinéa ne bénéficieront pas
d'une protection équivalant à celle prévue à la présente Loi, elle devra refuser de les
communiquer ou refuser de confier à une personne ou à un organisme à l'extérieur du Québec la
tâche de les détenir, de les utiliser ou de les communiquer pour son compte.
11.
GESTION DU CYCLE DE VIE DES FICHIERS
11.1 Processus de destruction ou d'anonymisation
Tout document contenant des informations qui répondent aux définitions de renseignements
personnels, renseignements personnels confidentiels et renseignements personnels sensibles,
devra être déchiqueté par la firme externe avec qui la Municipalité fait affaire. Ces documents
ne peuvent pas être simplement déchiquetés avec la déchiqueteuse du bureau de la Municipalité,
car ces documents doivent être broyés après avoir été déchiquetés, afin d'éviter tout risque de
reconstitution.
Afin de permettre une conservation permanente responsable, certains documents subiront du
caviardage, lorsque les renseignements personnels, renseignements personnels confidentiels et
renseignements personnels sensibles ne seront pas jugés essentiels à la compréhension ou la
pertinence du contenu du document.
Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont
accomplies, la Municipalité doit le détruire, ou l'anonymiser pour l'utiliser à des fins d'intérêt
public, sous réserve du calendrier de conservation des documents de la Municipalité en vigueur.
16
Un renseignement concernant une personne physique est anonymisé lorsqu'il est, en tout temps,
raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon irréversible,
d'identifier directement ou indirectement cette personne. Les renseignements anonymisés
doivent l'être selon les meilleures pratiques généralement reconnues et selon les critères et
modalités déterminés par règlement.
À la lumière des avancées technologiques actuelles et futures, la CAI estime qu'il est quasi
impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement
être réidentifiés. L'anonymisation des renseignements personnels présuppose des risques
d'incidents de confidentialité. La Loi prévoit aussi des sanctions pour toute personne qui tente
d'identifier une personne à partir de renseignements anonymisés.
12.
ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS
Des chercheurs peuvent demander l'accès à des renseignements personnels à des fins de recherche.
Une telle demande doit être soumise au RPRP de la Municipalité.
Lorsque l'ÉFVP conclut que des renseignements personnels peuvent être communiqués à cette fin, la
Municipalité doit conclure une entente avec les chercheurs qui contient les dispositions contractuelles
types de la Municipalité et toute mesure supplémentaire identifiée dans l'ÉFVP.
13.
SONDAGE
Toute personne, organisme ou autre organisation qui souhaite effectuer un sondage auprès de personnes
concernées au moyen de renseignements personnels que détient la Municipalité doit le faire
conformément à la Loi et selon les dispositions contractuelles types de la Municipalité et toute mesure
supplémentaire identifiée dans l'ÉFVP.
14.
DROITS DES PERSONNES CONCERNÉES
14.1 Droit
Sous réserve de ce que prévoient les lois applicables, toute personne concernée dont les
renseignements personnels sont détenus par la Municipalité dispose notamment des droits
suivants :
- Le droit d'accéder aux renseignements personnels détenus par la Municipalité et d'en obtenir
une copie, que ce soit en format électronique ou non électronique;
o À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement
personnel informatisé recueilli auprès d'une personne concernée, et non pas créé ou inféré
à partir d'un renseignement personnel la concernant, lui est communiqué dans un format
technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi
communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la Loi à
recueillir un tel renseignement.
- Le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par la
Municipalité;
17
- Le droit d'être informée, le cas échéant, que des renseignements personnels sont utilisés
pour prendre une décision fondée sur un traitement automatisé.
14.2 Exceptions
Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces
renseignements est assujetti à certaines exceptions identifiées dans la Loi.
14.3 Consultation
Les documents contenant des renseignements personnels peuvent être consultés sur place ou
être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la
Municipalité informe la personne concernée de l'obligation de payer des frais avant de traiter sa
demande.
14.4 Demande d'accès à l'information
Les demandes d'accès aux renseignements personnels par les personnes concernées doivent être
faites par écrit et recevront une réponse écrite.
Les demandes d'accès aux renseignements personnels sensibles doivent être faites par écrit et
recevront une réponse écrite.
Les demandes d'accès aux renseignements personnels doivent être suffisamment précises pour
permettre au RPRP de localiser lesdits renseignements personnels. Le droit d'accès ne
s'applique qu'aux renseignements personnels existants.
15.
TRAITEMENT DES PLAINTES
Toute plainte relative aux pratiques de protection des renseignements personnels de la Municipalité ou
de sa conformité aux exigences de la Loi qui concernent les renseignements personnels doit être
transmise au RPRP, lequel doit y répondre dans un délai de 20 jours.
16.
SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS
La Municipalité met en place des mesures de sécurité raisonnables afin d'assurer la confidentialité,
l'intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés
ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements
personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.
La Municipalité gère les droits d'accès des membres de son personnel afin que seuls ceux soumis à un
engagement de confidentialité et ayant besoin d'y accéder dans le cadre de leurs fonctions aient accès
aux renseignements personnels.
18
17.
RÔLES ET RESPONSABILITÉS
La protection des renseignements personnels que la Municipalité détient repose sur l'engagement de
tous les employés-cadres, professionnels, techniques et de soutien, ainsi que les élus en fonction à la
Municipalité, qui traitent ces renseignements, et plus particulièrement des suivants :
17.1 Le RPRP
1. S'assure de la protection des renseignements personnels tout au long de leur cycle de vie, de
la collecte à la destruction;
2. Se conforme aux exigences liées aux demandes d'accès ou de rectification, sous réserve des
responsabilités dévolues au RAD, y compris :
a) Donner au requérant un avis de la date de réception de sa demande;
b) Aviser le requérant des délais et de son droit à la révision;
c) Répondre à la demande dans un délai de 20 jours, ou si le traitement de la demande ne
paraît pas possible sans nuire au déroulement normal des activités de la Municipalité, dans
un délai de 10 jours supplémentaires, après avoir avisé le requérant par écrit;
d) Prêter assistance au requérant pour identifier le document susceptible de contenir les
renseignements recherchés lorsque sa demande est imprécise;
e) Motiver tout refus d'acquiescer à une demande d'accès;
f) À la demande du requérant, lui prêter assistance pour l'aider à comprendre la décision le
concernant;
g) Rendre sa décision par écrit et en transmettre une copie au requérant. Elle doit être
accompagnée du texte de la disposition sur laquelle le refus s'appuie, le cas échéant, et
d'un avis l'informant du recours en révision et indiquant notamment le délai dans lequel il
peut être exercé;
h) Veiller à ce que le renseignement faisant l'objet de la demande soit conservé le temps
requis pour permettre au requérant d'épuiser les recours prévus à la Loi.
3. Supervise la tenue des registres énumérés de la présente politique;
4. Participe à l'évaluation du risque de préjudice sérieux lié à un incident de confidentialité,
notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées
de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins
malveillantes;
5. Le cas échéant, effectue des vérifications des obligations de confidentialité en lien avec la
communication de renseignements personnels dans le cadre de mandats ou de contrats de
service confiés à des tiers conformément à la présente politique.
17.2 Traitement par les employés
Toute personne qui traite des renseignements personnels que la Municipalité détient :
1. Agit avec précaution et intègre les principes énoncés à la présente politique à ses activités;
2. N'accède qu'aux renseignements nécessaires à l'exercice de ses fonctions;
19
3. N'intègre et ne conserve des renseignements que dans les dossiers destinés à
l'accomplissement de ses fonctions;
4. Conserve ces dossiers de manière que seules les personnes autorisées y aient accès;
5. Protège l'accès aux renseignements personnels en sa possession ou auxquels elle a accès par
un mot de passe;
6. S'abstient de communiquer les renseignements personnels dont elle prend connaissance dans
l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire;
7. S'abstient de conserver, à la fin de son emploi ou de son contrat, les renseignements
personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de
confidentialité;
8. Détruit tout renseignement personnel conformément à la directive de destruction de la
Municipalité;
9. Participe aux activités de sensibilisation et de formation en matière de protection des
renseignements personnels qui lui sont destinées;
10. Signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité
qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la
confidentialité de renseignements personnels conformément à la procédure établie par la
Municipalité.
18.
DIRECTIVE ET FORMATION
18.1 Des employés
1. Rapporter tout bris de confidentialité au RPRP afin qu'il produise l'avis de bris de
confidentialité pour la CAI et qu'il contacte les personnes concernées;
2. Tout document papier contenant des renseignements personnels devra être placé dans une
salle ou un classeur fermé à clé;
3. Le courrier doit être ouvert seulement par la personne à qui ce courrier est adressé;
4. Les personnes responsables de la réception des informations dans le cadre d'embauche de
personnel ne doivent partager ces informations papier et numérique qu'avec les membres du
comité de sélection nommés par le directeur général de la Municipalité;
5. L'employé qui imprime ou numérise un document contenant des renseignements personnels
confidentiels doit s'assurer de récupérer rapidement et de sécuriser le document original et sa
copie papier et/ou numérique;
6. Qu'elles soient émises par des journalistes, des spécialistes, des chercheurs ou des citoyens,
les demandes d'accès à l'information verbale et/ou aux documents de la Municipalité doivent
être analysées par le RAD avant d'être répondues. Il revient au RAD d'émettre une réponse
écrite aux demandeurs, selon les délais prescrits par la Loi;
7. Un document de référence concernant les renseignements personnels confidentiels sera remis
à chaque employé dès son entrée en poste, afin qu'il puisse évaluer par lui-même s'il peut
communiquer ou non les informations demandées par un tiers. En cas de doute, il sera
toujours possible de se référer au RPRP.
20
18.2 Utilisation des outils technologiques
1. Le mot de passe du bureau informatique de l'employé doit être modifié tous les trois mois;
2. Le mot de passe informatique ne doit pas être partagé entre les collègues. Si une situation
demande un partage de mot de passe (ex. pour un soutien informatique, pour un soutien
administratif), l'utilisateur doit changer dès que possible son mot de passe au retour à son
poste;
3. Lorsque l'utilisateur quitte son poste informatique, même pour une courte période, il doit
verrouiller son écran, à l'aide des touches Windows + L. Une mise en veille est programmée
lorsque le poste informatique n'est plus utilisé depuis trente minutes;
4. Dans un cas spécifique et sur autorisation, lorsque l'employé est en télétravail, il doit
s'assurer que les données verbales, manuscrites et informatiques ne sont pas accessibles à
son entourage. De plus, en utilisant son poste informatique à distance, il doit s'assurer au
préalable que tous ses écrans sont fermés à son poste informatique initial;
5. Lorsque le cellulaire, qui n'est ni prêté ni payé par la Municipalité, est utilisé pour effectuer
des appels aux collègues, aux municipalités, aux partenaires, il est préférable de désactiver la
fonction d'affichage de numéro afin que soit affiché un appel privé et ainsi protéger le
renseignement personnel confidentiel de l'employé.
6. En ce qui concerne la vie privée de l'employé utilisant les outils technologiques de la
Municipalité, la Politique des conditions de travail prévoit les règles d'utilisation du système
informatique de la Municipalité.
19.
SANCTIONS
Toute personne qui enfreint la présente politique est passible de sanctions selon le cadre normatif
applicable prévue à la Loi.
20.
MISE À JOUR
De manière à suivre l'évolution du cadre normatif applicable en matière de protection des
renseignements personnels et à améliorer le programme de protection des renseignements personnels
de la Municipalité, la présente politique pourra être mise à jour au besoin. Veuillez vous rendre à la
version sur le site Internet de la Municipalité pour consulter la version la plus récente.
21.
ENTRÉE EN VIGUEUR
Cette Politique sur l'accès aux documents de la Municipalité de Sainte-Hélène-de-Bagot et sur la
protection des renseignements personnels s'applique à partir du moment où elle a été approuvée par
résolution adoptée par le conseil de la Municipalité et demeure en force tant qu'elle n'est pas modifiée
par le conseil.
21
Signée à Sainte-Hélène-de-Bagot, le 6 mars 2024.
Micheline Martel, OMA
Directrice générale et greffière-trésorière
22
Annexe A
Modèle de registre des incidents de confidentialité
23
Annexe B
Formulaire de déclaration d'un incident de confidentialité
24
25
26
27
28
Annexe C
Modèle d'avis à la personne concernée
29
Annexe D
Modèle d'engagement de confidentialité
Titre du projet de recherche
Nom de l'organisation communiquant les renseignements (partie à l'entente)
Nom de la personne ou de l'organisme recevant les renseignements (partie à l'entente)
Je soussigné(e), (nom de la personne qui signe l'engagement), occupant le rôle de (ex. chercheur,
co-chercheur, etc.) dans le cadre du projet de recherche mentionné ci-haut, m'engage à ne pas
communiquer, divulguer ou révéler de quelque façon que ce soit, à quiconque n'ayant pas signé un
engagement de confidentialité concernant la présente recherche, les renseignements personnels qui me
seront communiqués dans le cadre de cette recherche.
Je m'engage également à prendre les mesures de sécurité propres à assurer la protection des
renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont
raisonnables compte tenu notamment de leur sensibilité, de la finalité de leur utilisation, de leur
quantité, de leur répartition et de leur support, ainsi que celles prévues à l'entente encadrant la
communication. Je m'engage à ne divulguer aucune information pouvant permettre d'identifier une
personne.
De même, je m'engage à utiliser les renseignements personnels que (nom de la personne ou
l'organisme recevant les renseignements) reçoit en vertu d'une entente avec (nom de l'organisme
public ou l'entreprise qui communique les renseignements) aux seules fins de la recherche ci-dessus
mentionnée, et conformément aux objectifs précisés dans cette entente.
Les renseignements personnels seront conservés dans le lieu suivant : (lieu où sont conservés les
renseignements : ex. adresse). Nous en assurerons la confidentialité.
Signé à _____________________________________, le _________________________
Signature de la personne : __________________________________________________
Nom (lettres moulées) : ____________________________________________________
Signature d'un(e) témoin : __________________________________________________
Nom (lettres moulées) : ____________________________________________________
30
Annexe E
Modèle de registre de communications de renseignements personnels
31
Annexe F
Modèle d'inventaire des renseignements personnels