Politique-cadre sur la gouvernance a l'egard des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 82004d5e86b6 · verified 2026-06-13 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

Politique-cadre sur la gouvernance à l'égard des renseignements personnels Approuvée par le Comité sur l'accès à l'information et la protection des renseignements personnels le 5 septembre 2023 Adoptée par le conseil municipal le 11 septembre 2023 1 1. PRÉAMBULE Dans le cadre de ses activités et de sa mission, la Ville de Sainte-Marie (ci-après « Ville ») traite des renseignements personnels, notamment ceux de citoyens et de ses employés. À ce titre, elle reconnaît l'importance de respecter la vie privée et de protéger les renseignements personnels qu'elle détient. Afin de s'acquitter de ses obligations en la matière, la Ville s'est dotée de la présente politique. Celle- ci énonce les principes applicables à la protection des renseignements personnels que la Ville détient tout au long du cycle de vie de ceux-ci et aux droits des personnes concernées. La protection des renseignements personnels détenus par la Ville incombe à toute personne qui traite ces renseignements. Celle-ci doit comprendre et respecter les principes de protection des renseignements personnels inhérents à l'exercice de ses fonctions ou qui découlent de sa relation avec la Ville. 2. OBJET La présente politique : - énonce les principes encadrant la gouvernance de la Ville à l'égard des renseignements personnels et de l'exercice des droits des personnes concernées; - élabore le processus de traitement des plaintes relatives à la protection des renseignements personnels; - définit les rôles et responsabilités des membres de son personnel tout au long du cycle de vie des renseignements personnels; - décrit les activités de formation et de sensibilisation que la Ville offre à son personnel; - édicte les mesures de protection à prendre à l'égard des renseignements personnels recueillis et utilisés lors d'un sondage. 3. CADRE NORMATIF La présente politique s'inscrit dans un contexte régi notamment par la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1). Conformément à cette loi, la Politique est accessible via le site Internet de la Ville. 4. DÉFINITIONS Comité : Comité sur l'accès à l'information et la protection des renseignements personnels de la Ville. Cycle de vie : ensemble des étapes visant le traitement d'un renseignement personnel, soit la collecte, 2 l'utilisation, la communication, la conservation et la destruction de celui-ci. Évaluation des facteurs relatifs à la vie privée (ci-après « ÉFVP ») : évaluation effectuée de façon préventive conformément à l'article 63.5 de la Loi qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées. Incident de confidentialité : toute consultation, utilisation ou communication non autorisée par la loi d'un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement. Loi : Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1. Personne concernée : personne physique à qui se rapportent les renseignements personnels. Renseignement personnel : toute information qui concerne une personne physique et qui permet de l'identifier directement, soit par le recours à cette seule information ou indirectement, soit par la combinaison avec d'autres informations. Renseignement personnel sensible : renseignement personnel qui, par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué suscite un haut degré d'attente raisonnable en matière de vie privée. Responsable de la protection des renseignements personnels (ci-après « RPRP ») : personne qui, au sein de la Ville, exerce cette fonction et veille à assurer le respect et la mise en œuvre de la Loi concernant la protection des renseignements personnels. 5. CHAMP D'APPLICATION La présente politique s'applique aux renseignements personnels détenus par la Ville et à toute personne qui les traite. 6. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la Loi. 6.1. Collecte 6.1.1. La Ville ne recueille que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des renseignements personnels, la Ville détermine les fins de leur traitement et ne recueille que les renseignements personnels strictement nécessaires aux fins indiquées. 6.1.2. La collecte de renseignements personnels se fait auprès de la personne concernée par ces renseignements. 3 6.1.3. Au moment de la collecte, et par la suite sur demande, la Ville informe les personnes concernées, notamment, des fins et des modalités de traitement de leurs renseignements personnels et de leurs droits quant à ces renseignements, par exemple, au moyen de la Politique de confidentialité. 6.1.4. Lorsque la Loi exige l'obtention d'un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. 6.2. Utilisation 6.2.1. La Ville n'utilise les renseignements personnels qu'aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, elle peut les utiliser à d'autres fins si la personne concernée y consent préalablement. Ce consentement doit être manifesté de façon expresse lorsqu'il s'agit d'un renseignement personnel sensible. 6.2.2. Elle peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans l'un ou l'autre des cas suivants : - lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis; - lorsque l'utilisation est manifestement au bénéfice de la personne concernée; - lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi; - lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés. 6.2.3. Lorsqu'elle utilise les renseignements personnels à des fins secondaires dans l'un des trois premiers cas de figure énumérés à l'article 6.2.2 ci-dessus, elle doit consigner une telle utilisation au registre prévu à cet effet. 6.2.4. Lorsque la Loi le prévoit expressément, la Ville entreprend une ÉFVP en vertu de l'article 7 des présentes afin de mitiger les risques identifiés. 6.3. Communication 6.3.1. Sous réserve des exceptions prévues par la Loi, la Ville ne peut communiquer des renseignements personnels sans le consentement de la personne concernée. Le consentement doit être donné expressément lorsque des renseignements personnels sensibles sont en cause. 6.3.2. Lorsque des renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services ou pour l'exécution d'un mandat, la Ville doit conclure une entente avec le fournisseur de services ou le mandataire. 4 6.3.3. Lorsque les renseignements personnels sont communiqués à des tiers hors Québec, la Ville procède à une ÉFVP conformément à l'article 8 des présentes. La communication fait alors l'objet d'une entente écrite respectant les modalités prévues à la Loi. Elle est également consignée au registre prévu à cet effet. 6.4. Conservation 6.4.1. La Ville prend toutes les mesures raisonnables afin que les renseignements personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés. 6.4.2. La Ville conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, sous réserve de délais prévus à son calendrier de conservation. 6.5. Destruction et anonymisation 6.5.1. Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives (RLRQ, c. A-21.1), suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de la Ville. L'anonymisation doit de surcroît être effectuée selon les meilleures pratiques généralement reconnues ainsi que les critères et modalités déterminés par règlement du gouvernement du Québec. 7. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE La réalisation d'une ÉFVP sert à démontrer que la Ville a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. Une ÉFVP est effectuée dans les situations suivantes : - avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des renseignements personnels; - avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune; - avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques; - lorsqu'elle entend communiquer des renseignements personnels, sans le consentement des personnes concernées, conformément à l'article 68 de la Loi; 5 - lorsqu'elle entend communiquer des renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels renseignements pour son compte. En effectuant une ÉFVP, la Ville tient compte de la sensibilité des renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. De plus, lorsque les renseignements personnels sont communiqués à l'extérieur du Québec, la Ville s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. 8. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS Des chercheurs peuvent demander l'accès à des renseignements personnels à des fins de recherche. Une telle demande doit être soumise au RPRP. Si les résultats de l'ÉFVP sont à l'effet que les renseignements personnels peuvent être communiqués à cette fin, la Ville conclut alors une entente avec les chercheurs qui contient les dispositions contractuelles types de la Ville et toute mesure supplémentaire identifiée dans l'ÉFVP. 9. SONDAGES Les renseignements personnels recueillis ou utilisés par les membres du personnel dans le cadre d'un sondage doivent faire l'objet de mesures de protection spécifiques. 9.1. Démarches préalables et collecte Une évaluation de la nécessité de recourir au sondage et de son aspect éthique compte tenu, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation doit être effectuée préalablement à la réalisation du sondage. Lorsque le résultat de cette évaluation justifie la tenue du sondage, la personne sondée doit être informée de l'identité du sondeur, de l'usage projeté des renseignements personnels recueillis et des catégories de personnes qui y auront accès. Le sondeur se limite à la collecte de renseignements personnels qui sont essentiels à la fin poursuivie et qui ont été ciblés comme tels en amont. 9.2. Gestion des résultats Dans la gestion des résultats du sondage, le sondeur prend les mesures de sécurité appropriées pour protéger la confidentialité des renseignements personnels recueillis. Il doit également s'assurer que ces renseignements sont uniquement accessibles aux personnes à qui ils sont nécessaires dans l'exercice de leurs fonctions et que la publication des résultats ne contient aucun renseignement personnel. 6 Au terme de la réalisation du sondage, le sondeur procède à la destruction des renseignements personnels, lorsque ceux-ci ne sont plus nécessaires à l'exécution du mandat à l'origine du sondage. 10. DROITS DES PERSONNES CONCERNÉES Sous réserve de ce que prévoient les lois applicables, toute personne concernée dont les renseignements personnels sont détenus par la Ville dispose notamment des droits suivants : - le droit d'accéder aux renseignements personnels détenus par la Ville et d'en obtenir une copie, que ce soit en format électronique ou non électronique; - le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par la Ville; - le droit d'être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé. Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la Loi. Les documents contenant des renseignements personnels peuvent être consultés par les personnes concernées sur place ou être accessibles d'une autre manière, avec ou sans paiement de frais. Le cas échéant, la Ville informe la personne concernée de l'obligation de payer des frais avant de traiter sa demande. Les demandes d'accès aux renseignements personnels par les personnes concernées ne sont considérées que si elles sont faites par écrit. Les demandes d'accès aux renseignements personnels doivent être suffisamment précises pour permettre au RPRP de localiser lesdits renseignements personnels. Le droit d'accès ne s'applique qu'aux renseignements personnels existants. 11. TRAITEMENT DES PLAINTES Toute personne qui a des motifs de croire que la Ville a fait défaut d'assurer la confidentialité des renseignements personnels qu'elle détient ou de se conformer aux exigences de la Loi peut déposer une plainte écrite adressée au RPRP. Les faits à l'origine de la plainte, la date ou la période visée, la nature des renseignements personnels visés et le nombre de personnes concernées doivent être indiqués dans la plainte. La plainte doit être transmise par courriel à l'adresse suivante : [email protected]. Suivant la réception de la plainte, le RPRP en accuse la réception auprès du plaignant. Elle analyse la plainte et communique sa réponse dans un délai de trente (30) jours suivant sa réception. 7 12. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS La Ville met en place des mesures de sécurité raisonnables afin d'assurer la confidentialité, l'intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support. La Ville gère les droits d'accès des membres de son personnel. Seuls ceux dont les fonctions exigent un accès aux renseignements personnels y ont accès. 13. INCIDENTS DE CONFIDENTIALITÉ Un incident de confidentialité doit être signalé au RPRP et est consigné au registre des incidents de confidentialité. Tout incident de confidentialité est pris en charge conformément à la Loi. La Ville prend alors les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Si l'incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, la Ville avise celles-ci avec diligence ainsi que la Commission d'accès à l'information du Québec. 14. RÔLES ET RESPONSABILITÉS La protection des renseignements personnels détenus par la Ville repose sur l'engagement de tous ceux qui traitent ces renseignements et plus particulièrement des suivants : - le RPRP; - le Comité sur l'accès à l'information et la protection des renseignements personnels de la Ville; - le personnel de la Ville traitant des renseignements personnels. 14.1. Responsable de la protection des renseignements personnels Le RPRP a pour rôles et responsabilités de : - s'assurer de la protection des renseignements personnels tout au long de leur cycle de vie, de la collecte à la destruction; - siéger au Comité sur l'accès à l'information et la protection des renseignements personnels de la Ville; - se conformer aux exigences liées aux demandes d'accès ou de rectification, y compris : o donner au requérant un avis de la date de réception de sa demande; 8 o aviser le requérant des délais et de son droit à la révision; o répondre à la demande dans un délai de 20 jours, ou si le traitement de la demande ne paraît pas possible sans nuire au déroulement normal des activités de la Ville, dans un délai de 10 jours supplémentaires, après avoir avisé le requérant par écrit; o prêter assistance au requérant pour identifier le document susceptible de contenir les renseignements recherchés lorsque sa demande est imprécise; o motiver tout refus d'acquiescer à une demande d'accès; o à la demande du requérant, lui prêter assistance pour l'aider à comprendre la décision le concernant; o rendre sa décision par écrit et en transmettre une copie au requérant. Elle doit être accompagnée du texte de la disposition sur laquelle le refus s'appuie, le cas échéant, et d'un avis l'informant du recours en révision et indiquant notamment le délai dans lequel il peut être exercé; o veiller à ce que le renseignement faisant l'objet de la demande soit conservé le temps requis pour permettre au requérant d'épuiser les recours prévus à la Loi. - superviser la tenue des registres prévus à la Loi; - participer à l'évaluation du risque de préjudice sérieux lié à un incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes; - le cas échéant, effectuer des vérifications des obligations de confidentialité en lien avec la communication de renseignements personnels dans le cadre de mandats ou de contrats de services confiés à des tiers conformément à l'article 6.3.2 de la présente politique. 14.2. Comité sur l'accès à l'information et la protection des renseignements personnels Les rôles et responsabilités du Comité sur l'accès à l'information et la protection des renseignements personnels de la Ville sont les suivants : - veiller à la mise en place de mesures visant la sensibilisation et la formation des membres du personnel et des membres de la direction sur les obligations et les pratiques en matière d'accès à l'information et de protection des renseignements personnels; - élaborer les principes de diffusion de l'information; - approuver la présente politique-cadre sur la gouvernance en matière de protection des renseignements personnels; - émettre des directives sur l'utilisation d'outils informatiques marketing impliquant la communication de données ou le profilage; 9 - identifier les principaux risques en matière de protection de renseignements personnels et en aviser la direction afin que des mesures correctives soient proposées; - approuver toute dérogation aux principes généraux de protection des renseignements personnels qui auront été établis; - émettre des directives pour la protection des renseignements personnels, notamment pour la conservation de ceux-ci par des tiers et à l'extérieur du Québec; - être consulté, dès le début d'un projet et aux fins de l'ÉFVP, pour tous les projets d'acquisition, de développement et de refonte des systèmes d'information ou de prestation électronique de services impliquant des renseignements personnels : o veiller à ce que la réalisation de l'ÉFVP soit proportionnée à la sensibilité des renseignements concernés, aux fins auxquelles ils sont utilisés, à la quantité et à la distribution des renseignements et au support sur lequel ils seront hébergés; o le cas échéant, s'assurer que le projet permet de communiquer à la personne concernée les renseignements personnels informatisés recueillis auprès d'elle dans un format technologique structuré et couramment utilisé; o suggérer des mesures de protection des renseignements personnels applicables à ce projet. - transmettre les recommandations qui ne sont pas suivies au RPRP; - être avisé de tout incident de confidentialité impliquant les renseignements personnels et conseiller la Ville quant aux suites à y donner; - revoir les règles pour la collecte et la conservation des renseignements personnels provenant de sondages; - revoir toute question d'intérêt touchant la protection des renseignements personnels; - revoir les mesures relatives à la vidéosurveillance et s'assurer du respect de la vie privée dans le cadre de son utilisation. 14.3. Personnel de la Ville Tout membre du personnel de la Ville qui traite des renseignements personnels qu'elle détient a les rôles et responsabilités suivants : - agir avec précaution et intégrer les principes énoncés à la présente politique à ses activités; - n'accéder qu'aux renseignements nécessaires à l'exercice de ses fonctions; - n'intégrer et ne conserver des renseignements que dans les dossiers destinés à l'accomplissement de ses fonctions; - conserver ces dossiers de manière à ce que seules les personnes autorisées y aient accès; 10 - protéger l'accès aux renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe; - s'abstenir de communiquer les renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire; - s'abstenir de conserver, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintenir ses obligations de confidentialité; - détruire tout renseignement personnel conformément à la procédure de la Ville; - participer aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées; - signaler tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la confidentialité de renseignements personnels. 15. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION La Ville offre des activités de formation et de sensibilisation à son personnel en matière de protection des renseignements personnels. Ces activités sont dispensées au besoin et selon divers moyens disponibles. Elles incluent notamment la remise de documents de rappel et de vulgarisation. 16. SANCTIONS Toute personne qui enfreint la présente politique est passible de sanctions selon le cadre normatif applicable. 17. MISE À JOUR De manière à suivre l'évolution du cadre normatif applicable en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de la Ville, la présente politique pourra être mise à jour au besoin. Toute mise à jour sera publiée sur le site Internet de la Ville. 18. ENTRÉE EN VIGUEUR La présente politique entre en vigueur le 22 septembre 2023.