Directive concernant la gouvernance en matière de protection des renseignements personnels - Municipalité de Sainte-Hénédine — full text

This is the exact embedded text of the captured official document. Snapshot 30cdc8de3007 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

DIRECTIVE CONCERNANT LA GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS MUNICIPALITÉ DE SAINTE-HÉNÉDINE 1. Préambule Dans le cadre de ses activités, la Municipalité de Sainte-Hénédine (ci-après : « Municipalité ») traite plusieurs renseignements personnels de ses citoyens, employés et visiteurs. Elle reconnaît l'importance de protéger la vie privée et les renseignements personnels de ces individus. Pour s'acquitter de cette tâche et en réponse à ses obligations prévues à l'article 63.3 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1), la Municipalité adopte et publie la présente directive. 2. Objet La présente directive a pour but de : - Énoncer les principes encadrant la gouvernance relativement à la protection des renseignements personnels; - Déterminer les rôles et responsabilité de différents intervenants au sein de la Municipalité; - Établir un processus de traitement des plaintes en matière de protection des renseignements personnels; 3. Champ d'application La présente directive s'applique à tout employé de la Municipalité et concerne toutes ses activités. 4. Définitions Aux fins de la présente directive, les mots ou expressions suivants désignent : CAI : Commission d'accès à l'information. Évaluation des facteurs relatifs à la vie privée : Démarche préventive d'évaluation qui consiste à considérer tous les facteurs d'un projet qui entraîneraient des conséquences positives et négatives sur la protection des renseignements personnels. Incident de confidentialité : (1) L'accès non autorisé par la loi à un renseignement personnel; (2) L'utilisation non autorisée par la loi d'un renseignement personnel; (3) La communication non autorisée par la loi d'un renseignement personnel; (4) La perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement. Loi : Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1. Municipalité : Municipalité de Sainte-Hénédine. Personne concernée : Personne physique à qui se rapporte les renseignements personnels. Renseignement personnel : Tout renseignement qui concerne une personne physique et permettent, directement ou indirectement, de l'identifier Responsable de la protection des renseignements personnels ou RPRP : Personne responsable du respect et de la mise en œuvre de la loi en ce qui a trait à la protection des renseignements personnels et de la présente directive. Pour la municipalité, il s'agit du maire (ou de la mairesse) à moins d'une résolution du conseil municipal désignant une autre personne. 5. Consentement Lorsque la loi ou la présente directive prévoit la nécessité du consentement de la personne concernée, celui-ci doit être manifeste, libre, éclairé, granulaire, temporaire et donné à des fins spécifiques. La demande de consentement doit être compréhensive, présentée dans des termes simples et clairs et présentée distinctement de tout autre information si elle est faite par écrit. Un consentement est manifeste s'il est évident ou certain et qu'aucun doute ne subsiste quant à la volonté qu'il exprime. Un consentement est libre s'il est donné sans contrainte. Un consentement est éclairé si la personne concernée a reçu toutes les informations nécessaires afin de prendre sa décision. Un consentement est granulaire s'il est donné pour chacune des fins visées par la demande de consentement. Un consentement est temporaire s'il est valable uniquement pour la durée de l'accomplissement des fins visées par la demande de consentement. Un consentement est donné à des fins spécifiques si l'information donnée est suffisamment précise pour permettre à la personne concernée de bien comprendre ce pourquoi ses renseignements personnels sont collectés. La personne qui reçoit le consentement doit s'assurer de valider l'identité de la personne qui donne son consentement. Lorsque possible, ce consentement est documenté. 6. Rôles et responsabilités La protection des renseignements personnel est de la responsabilité de tous, mais certains éléments relèvent de la responsabilité de certaines personnes spécifiques. 6.1. Rôle du RPRP - Veiller au respect et à la mise en œuvre de la Loi en ce qui a trait à la protection des renseignements personnels; - Veiller au respect et à la mise en œuvre de la présente directive; - Veilleur à ce que les différents registres prévus par la loi soient tenus à jour; - Remettre à toute personne entrant en fonction copie de la présente directive; - Traiter les plaintes en matière de protection des renseignements personnels conformément à l'articles 14 de la présente directive; - Superviser la tenue à jour des différents registres prévus par la loi conformément à l'article 12 de la présente directive; - Participer à l'évaluation des facteurs relatifs à la vie privée; - Participer à l'évaluation du risque de préjudice sérieux lorsque survient un incident de confidentialité et prendre la décision de communiquer ou non avec la personne concernée, la CAI ou toute personne ou organisme susceptible de faire diminuer ce risque; - Déterminer la pertinence de prévoir des activités de formation ou de sensibilisation à la protection des renseignements personnels et, s'il y a lieu, les mettre en place; 6.2. Rôle du maire (ou de la mairesse) si une autre personne a été désignée à titre de RPRP - Veiller à faciliter l'exercice des fonctions du RPRP; - Mettre en place des mesures pour préserver l'autonomie du RPRP; - Aviser la CAI du nom, du titre et de la date d'entrée en fonction du RPRP; - Participer à l'évaluation des facteurs relatifs à la vie privée; - Participer à l'évaluation du risque de préjudice sérieux lorsque survient un incident de confidentialité et prendre la décision de communiquer ou non avec la CAI; - Veiller à la sensibilisation de tous à la protection des renseignements personnels; 6.3. Rôle du conseil municipal - Adopter la présente directive; - Encourager les bonnes pratiques de gouvernance en matière de protection des renseignements personnels; - Veiller à la sensibilisation de tous à la protection des renseignements personnels; 6.4. Rôle de toute personne traitant des renseignements personnels détenus par la Municipalité, incluant les élus - Respecter la présente directive; - Agir avec précaution lorsqu'il est question de renseignements personnels; - Connaître et appliquer les mesures de sécurité déterminées pour chaque renseignement personnel auquel elle a accès; - N'accéder qu'aux renseignements personnels nécessaires à l'exercice de ses fonctions; - Conserver les renseignements personnels auxquels elle a accès de manière qu'aucune personne non-autorisée y ait accès; - Ne communiquer aucun renseignement personnel sans l'autorisation expresse du RPRP; - Protéger l'accès aux appareils électronique qu'elle a en sa possession et qui son susceptible de contenir ou recevoir des renseignements personnels par mot de passe; - Signaler tout incident de confidentialité au RPRP et, en pareil cas, participer à l'évaluation du risque de préjudice; - Signaler tout manquement ou irrégularité en lien avec la présente directive au RPRP. 7. Collecte des renseignements personnels 7.1. Objectifs de la collecte La Municipalité ne collecte que les renseignements personnels nécessaires à sa mission. Avant de collecter les renseignements personnels, la Municipalité détermine les fins de la collecte. 7.2. Modes de collecte La collecte de renseignements personnels se fait directement auprès de la personne concernée avec son consentement au moyen des formulaires se trouvant sur le site internet de la Municipalité, par la poste, en personne ou au moyen des services d'un tiers. Lorsque la collecte s'effectue au moyen des services d'un tiers, une entente est conclue avec celui-ci visant les modalités de la collecte et la protection des renseignements personnels. 7.3. Informations à communiquer Lorsque des renseignements personnels sont collectés, les informations suivantes doivent généralement être transmises à la personne concernée : - Le nom de l'organisme qui effectue la collecte (la Municipalité); - Les fins auxquelles ces renseignements sont recueillis; - Les moyens par lesquels les renseignements sont recueillis; - Le caractère obligatoire ou facultatif de la demande; - Les conséquences d'un refus de répondre à la demande ou, le cas échéant, du retrait de son consentement; - Les droits de rectifications prévus par la loi; Si la collecte est effectuée au moyen d'une technologie comprenant des fonctions permettant d'identifier, de localiser ou d'effectuer un profil de la personne concernée, les informations suivantes doivent être transmises à cette dernière : - Le recours à une telle technologie; - Les moyens offerts pour activer les fonctions permettant d'identifier ou de localiser. 7.4. Mineur de moins de 14 ans Aucun renseignement personnel ne peut être collecté auprès d'un mineur de moins de 14 ans sans le consentement du titulaire de l'autorité parentale sauf si cette collecte est manifestement dans son intérêt. 8. Utilisation des renseignements personnels Les renseignements personnels ne sont utilisés que pour les fins pour lesquelles ils ont été recueillis. Leur utilisation à une autre fin n'est possible qu'avec le consentement de la personne concernée sauf dans les cas prévus par la loi. Toute autre utilisation des renseignements personnels fondée sur une exception prévue à la loi doit être autorisée par le RPRP et inscrite dans un registre. 8.1. Conservation des renseignements personnels La Municipalité prend les mesures raisonnables pour que les renseignements personnels soient conservés de manière que seules les personnes qui en ont besoin y aient accès. Tous les appareils électroniques susceptible de contenir ou de recevoir des renseignements personnels sont protégés par mot de passe. Tous les documents papiers contenant des renseignements personnels sont conservés sous clé de façon à n'être accessible qu'aux personnes autorisées. 8.2. Communication Les renseignements personnels ne sont pas communiqués sans le consentement de la personne concernée sauf pour les exceptions prévues par la loi. Toute communication effectuée sans le consentement de la personne concernée fondée sur une exception prévue à la loi doit être autorisée par le RPRP et inscrite dans un registre. Lorsque les renseignements personnels sont confiés à un fournisseur ou un mandataire, la Municipalité doit conclure une entente avec ce fournisseur ou mandataire de façon à assurer la protection des renseignements personnels. 8.3. Inventaire des fichiers de renseignements personnels La Municipalité doit établir et maintenir à jour un inventaire de leurs fichiers de renseignements personnels. Celui-ci doit indiquer les informations suivantes : - Les catégories de renseignements qu'il contient; - Les fins pour lesquelles les renseignements ont été collectés; - La provenance des renseignements personnels; - Les catégories de personnes qui a accès à ces fichiers dans l'exercice de leurs fonctions; 9. Destruction des renseignements personnels Lorsque les finalités pour lesquelles les renseignements personnels ont été collectés sont atteintes, ceux-ci sont détruits ou anonymisés sous réserve de la Loi sur les archives, RLRQ, c. A-21.1 et des délais prévus au calendrier de conservation en vigueur. 10. Évaluation des facteurs relatifs à la vie privée La Municipalité effectue une évaluation des facteurs relatifs à la vie privée dans les circonstances prévues par la loi, notamment: - Avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système informatique ou de prestation électronique de services qui implique des renseignements personnels; - Avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; - Avant de communiquer des renseignements personnels, sans le consentement des personnes concernées, conformément à une exception prévue à la loi ; Lorsqu'elle effectue cette évaluation, la Municipalité tient compte de la sensibilité des renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution, etc. 11. Incidents de confidentialité Lorsque se produit un incident de confidentialité, la Municipalité évalue le risque de préjudice à la personne concernée et prend les mesures nécessaires pour diminuer ce risque et évider que d'autres incidents de même nature se produisent. Si l'incident présente un risque sérieux de préjudice, le RPRP en informe la personne concernée, sauf dans les cas d'exception prévus à la loi. Le RPRP en informe également la CAI. Le RPRP peut aviser toute personne ou organisme susceptible de faire diminuer le risque de préjudice et inscrit cette communication au registre approprié. 12. Registres La Municipalité tient les registres prévus par la loi : - Registre des incidents de confidentialité; - Registre des communications d'information concernant un incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice à al personne concernée; - Registre des communications sans le consentement des personnes concernées; - Registre des utilisations pour des fins autres de renseignements personnels sans le consentement de la personne concernée; - Registre des ententes de collectes conclues aux fins de l'exercice des fonctions ou de la mise en œuvre d'un programme d'un organisme public avec lequel la Municipalité collabore pour la prestation de services ou la réalisation d'une mission commune. 13. Droits des personnes concernées Toute personne concernée a le droit d'accéder aux renseignements personnels à son sujet détenus par la Municipalité et d'en demander la rectification s'ils sont inexacts ou incomplets, sauf pour les exceptions prévues par la loi. 14. Plaintes Une personne peut porter plainte auprès du RPRP en lien avec les pratiques de la Municipalité en matière de protection des renseignements personnels. Une telle plainte peut être transmise par courriel à l'adresse http://www.ste-henedine.com ou par la poste à l'adresse suivante : Responsable de la protection des renseignements personnels Municipalité de Sainte-Hénédine 1299, route Sainte-Thérèse Sainte-Hénédine (Québec) G0S 2R0 Le RPRP accuse réception de la plainte dans un délai raisonnable et y répond dans les trente (30) jours de sa réception. Toutefois, il peut rejeter sommairement toute plainte manifestement mal fondée, frivole, vexatoire ou de mauvaise foi. Il peut également refuser de traiter une plainte si l'événement a fait l'objet d'un recours en justice, incluant devant la CAI. 15. Sanctions Toute personne qui enfreint une des dispositions de la présente directive s'expose à des mesures administratives ou disciplinaires selon la gravité des gestes et de leurs conséquences. 16. Entrée en vigueur La présente directive entre en vigueur au moment de son adoption par le conseil municipal. Adopté le : 27 novembre 2023 Résolution : 198-23