Politique de gouvernance sur la protection des renseignements personnels — full text

This is the exact embedded text of the captured official document. Snapshot 98047fb6b069 · verified 2026-06-14 · original document · archived snapshot · unofficial consolidation, the official version is held by the municipal clerk.

2 POLITIQUE DE GOUVERNANCE PROTECTION DES RENSEIGNEMENTS PERSONNELS TABLE DES MATIÈRES 1. PRÉAMBULE ....................................................................................................................... 3 2. OBJECTIFS .......................................................................................................................... 3 3. CADRE NORMATIF ............................................................................................................. 3 4. DÉFINITIONS ....................................................................................................................... 4 5. CHAMP D'APPLICATION ..................................................................................................... 5 6. RÔLES ET RESPONSABILITÉS .......................................................................................... 5 7. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS ................................................... 7 8. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE ........................................... 9 9. DROITS DES PERSONNES CONCERNÉES .................................................................... 10 10. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS ...................................................... 10 11. REGISTRES ....................................................................................................................... 11 12. INCIDENTS DE CONFIDENTIALITÉ .................................................................................. 12 13. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS...... 13 14. SONDAGES ....................................................................................................................... 13 15. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION .................................................. 13 16. TRAITEMENT DES PLAINTES .......................................................................................... 13 17. SANCTIONS ...................................................................................................................... 13 18. RÉVISION .......................................................................................................................... 14 19. ENTRÉE EN VIGUEUR ...................................................................................................... 14 3 1. PRÉAMBULE Dans le cadre de ses activités et de sa mission, la Municipalité de Terrasse-Vaudreuil (ci- après « la Municipalité ») traite des renseignements personnels, notamment ceux des visiteurs de son site Web, de citoyens et de ses employés. À ce titre, elle reconnait l'importance de respecter la vie privée et de protéger les renseignements personnels qu'elle détient. La présente politique énonce les principes cadres applicables à la protection des renseignements personnels que détient la Municipalité tout au long de leur cycle de vie ainsi qu'aux droits des personnes concernées. 2. OBJECTIFS La présente politique vise les objectifs suivants : - Énoncer les principes encadrant la gouvernance de la Municipalité à l'égard des renseignements personnels tout au long de leur cycle de vie, c'est-à-dire de leur collecte à leur destruction, et de l'exercice des droits des Personnes concernées. - Assurer la conformité aux exigences légales applicables à la protection des renseignements personnels, dont la Loi sur l'accès, et aux meilleures pratiques en cette matière. - Définir les rôles et responsabilités en matière de protection des renseignements personnels à la Municipalité. - Décrire les activités de formation et de sensibilisation que la Municipalité offre à son personnel. - Établir le processus de traitement des plaintes relatives à la protection des renseignements personnels. 3. CADRE NORMATIF La présente politique s'inscrit dans un contexte régi notamment par la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2-1.). Conformément à cette loi, la présente politique est accessible via le site Internet de la Municipalité : https://www.terrasse-vaudreuil.ca. La politique doit tenir compte des exigences réglementaires et assurer la mise en œuvre des pratiques de gouvernance et de gestion des données requises pour s'y conformer. Elle doit être conforme : - Aux lois ainsi qu'aux règlements qui en découlent et qui lui sont applicables, dont notamment et non limitativement : o La Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1); o La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, c. 25); o La Loi concernant le cadre juridique des technologies de l'information. - RLRQ, c. C-1.1; - La Loi sur les archives (RLRQ, c. A-21.1); - La Code civil du Québec (RLRQ, c. CCQ-1991); - La Charte des droits et libertés de la personne (RLRQ, c. C-12); 4 - La Charte canadienne des droits et libertés; - Annexe B de la Loi de 1982 sur le Canada (R-U), 1982, c 11; - Aux autres politiques existantes et à venir de la Municipalité qui dépendent ou ont un impact sur la gouvernance et la gestion des données, incluant la gestion des risques liés aux données. 4. DÉFINITIONS Aux fins de la présente politique, à moins que le contexte n'indique un sens différent, on entend par : « CAI » : la Commission d'accès à l'information du Québec. « Classification de données » : consiste à les organiser par catégories selon des critères convenus et permet l'utilisation plus efficace des données critiques et leur protection. « Conseil » : le conseil municipal de la Municipalité de Terrasse-Vaudreuil. « Cycle de vie » : l'ensemble des étapes visant le traitement d'un renseignement personnel soit la collecte, l'utilisation, la communication, la conservation et la destruction de celui-ci. « Évaluation des facteurs relatifs à la vie privée » : la démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives et négatives sur le respect de la vie privée des Personnes concernées. « Incident de confidentialité » : tout accès, utilisation ou communication non autorisés par la loi d'un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement. « Loi » : la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, (RLRQ, c. A -2.1). « Personne concernée » : toute personne physique pour laquelle la Municipalité collecte, détient, communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels. « Renseignement personnel » : toute information qui concerne une personne physique et qui permet de l'identifier directement - soit par le recours à cette seule information - ou indirectement - soit par combinaison avec d'autres informations. « Renseignement personnel sensible » : tout renseignement personnel qui, par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué suscite un haut degré d'attente raisonnable en matière de vie privée. « Responsable de l'accès aux documents » ou « RAD » : la personne qui, au sein de la Municipalité, exerce cette fonction et qui doit répondre aux demandes d'accès aux documents selon la loi. 5 « Responsable de la protection des renseignements personnels » ou « RPRP »: la personne qui, au sein de la Municipalité, exerce cette fonction et veille à y assurer le respect et la mise en œuvre de la Loi concernant la protection des renseignements personnels. 5. CHAMP D'APPLICATION La présente politique s'applique à toute personne qui traite des renseignements personnels que la Municipalité détient, incluant ceux dont la conservation est assurée par un tiers, quel que soit le support sur lequel ils sont conservés, et ce, de leur collecte à leur destruction. La protection des renseignements personnels détenus par la Municipalité incombe à toute personne qui ont accès à ces renseignements. Celle-ci doit comprendre et respecter les principes de protection des renseignements personnels inhérents à l'exercice de ses fonctions ou qui découlent de sa relation avec la Municipalité. 6. RÔLES ET RESPONSABILITÉS Conseil Le conseil approuve la présente Politique et veille à sa mise en œuvre, notamment il s'assure : - De prendre les décisions nécessaires relevant de sa compétence pour voir à la mise en œuvre et au respect de la présente politique. - Que la direction générale de la Municipalité fasse la promotion d'une culture organisationnelle fondée sur la protection des renseignements personnels et des comportements nécessaires afin d'éviter tout incident de confidentialité. - Que le RPRP et RAD de la Municipalité puisse exercer de manière autonome ses pouvoirs et responsabilités. Direction générale La direction générale est responsable de la qualité de la gestion de la protection des renseignements personnels et de l'utilisation de toute infrastructure technologique de la Municipalité à cette fin. Conformément au Règlement excluant certains organismes publics de l'obligation de former un comité sur l'accès à l'information et la protection des renseignements personnels (Décret 744-2023, 3 mai 2023), la direction générale assume les tâches qui sont dévolues au Comité sur l'accès à l'information et la protection des renseignements personnels : - Définit et approuve les règles de gouvernance en matière de protection des renseignements personnels au sein de la Municipalité. - Définit et approuve les orientations en matière de protection des renseignements personnels au sein de la Municipalité. - Formule des avis sur des initiatives d'acquisition, de déploiement et de refonte de systèmes d'information ou de toute nouvelle prestation électronique de services de la Municipalité nécessitant la collecte, l'utilisation, la conservation, la communication à des tiers ou la destruction des renseignements personnels, et ce, tant au moment de la mise en place de ces initiatives que lors de toute modification à celles-ci. 6 Elle doit également mettre en œuvre la présente politique : - S'assure que les valeurs et les orientations en matière de protection des renseignements personnels soient partagées et véhiculées par tout gestionnaire et employé de la Municipalité. - Planifie et assure la réalisation des activités de formation des employés de la Municipalité en matière de protection des renseignements personnels. - Veille à ce que la Municipalité connaisse les orientations, les directives et les décisions formulées par la CAI en matière de protection des renseignements personnels. - Évalue le niveau de protection des renseignements personnels au sein de la Municipalité. - Apporte les appuis financiers et logistiques nécessaires à la mise en œuvre et au respect de la présente politique. - Exerce son pouvoir d'enquête et applique les sanctions appropriées aux circonstances pour le non-respect de la présente politique. Responsable de la protection des renseignements personnels (RPRP) - S'assure de la protection des renseignements personnels tout au long de leur cycle de vie, de la collecte à la destruction. - Détermine la nature des renseignements personnels devant être collectés par les différents services de la Municipalité, leur conservation, leur communication à des tiers et leur destruction. - Formule des avis sur les mesures particulières à respecter quant aux sondages qui collectent ou utilisent des renseignements personnels, ou encore en matière de vidéosurveillance. - Tient les registres requis en vertu de la loi et de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, (RLRQ c. A-2.1). Responsable de l'accès aux documents (RAD) - Reçoit toutes les demandes qui sont de la nature d'une demande d'accès aux documents au sens de la Loi sur l'accès, y compris les demandes d'informations. - Répond aux requérants de l'accès à des documents en fonction des prescriptions de la Loi sur l'accès. Toute personne qui traite des renseignements personnels que la Municipalité détient : - Réfère tout requérant d'un renseignement personnel au RPRP et/ou RAD de la Municipalité. - Agit avec précaution et intègre les principes énoncés à la présente politique à ses activités. - N'accède qu'aux renseignements nécessaires à l'exercice de ses fonctions. - N'intègre et ne conserve des renseignements que dans les dossiers destinés à l'accomplissement de ses fonctions. - Conserve ces dossiers de manière que seules les personnes autorisées y aient accès. 7 - Protège l'accès aux renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe. - S'abstient de communiquer les renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire. - S'abstient de conserver, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité. - Détruit tout renseignement personnel conformément à la procédure établie par la Municipalité. - Participe à l'évaluation du risque de préjudice sérieux lié à un incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes. - Vérifie les obligations de confidentialité en lien avec la communication de renseignements personnels dans le cadre de contrats, comme requis par la présente politique. - Participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées. - Signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l'intégrité ou la confidentialité de renseignements personnels conformément à la procédure établie par la Municipalité. 7. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la loi. 7.1 Collecte La Municipalité ne recueille que les renseignements personnels nécessaires aux fins de ses activités. Avant de recueillir des renseignements personnels, la Municipalité détermine les fins de leur traitement et ne recueille que les renseignements personnels strictement nécessaires aux fins indiquées. La collecte de renseignements personnels se fait auprès de la personne concernée et sous réserve des exceptions prévues à la loi, la Municipalité ne procède pas à la collecte des renseignements personnels sans avoir préalablement obtenue le consentement de la personne concernée. Au moment de la collecte, et par la suite sur demande, la Municipalité informe les personnes concernées, notamment des fins et des modalités de traitement de leurs renseignements personnels et de leurs droits quant à ces renseignements, au moyen de sa politique de confidentialité. Lorsque la loi exige l'obtention d'un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. 8 7.2 Utilisation La Municipalité n'utilise les renseignements personnels qu'aux fins pour lesquelles ces renseignements ont été recueillis, conformément à la loi. Cependant, la Municipalité peut modifier ces fins si la personne concernée y consent préalablement, le tout sous réserve des exceptions prévues par la loi. Elle peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans l'un ou l'autre des cas suivants : - Lorsque l'utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis. - Lorsque l'utilisation est manifestement au bénéfice de la personne concernée. - Lorsque l'utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi. - Lorsque l'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés. Lorsqu'elle utilise les renseignements personnels à des fins secondaires dans l'un ou l'autre des trois premiers cas de figure énumérés ci-dessus, elle doit consigner une telle utilisation au registre prévu à cet effet par la loi. Lorsque la loi le prévoit expressément ou lorsqu'un traitement de renseignements personnels est jugé plus à risque pour les personnes concernées, la Municipalité entreprend une évaluation des facteurs relatifs à la vie privée en vertu de l'article 8 des présentes afin de mitiger les risques identifiés. 7.3 Inventaire des fichiers de renseignements personnels La Municipalité établit et tient à jour un inventaire des fichiers de renseignements personnels qu'elle recueille, utilise et communique. Cet inventaire contient minimalement : - Les catégories de renseignements qu'il contient, les fins pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier. - La provenance des renseignements versés à chaque fichier. - Les catégories de personnes concernées par les renseignements versés à chaque fichier. - Les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions. - Les mesures de sécurité prises pour assurer la protection des renseignements personnels. Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la loi. 7.4 Communication Sous réserve des exceptions prévues par la loi, la Municipalité ne peut communiquer des renseignements personnels sans le consentement de la personne concernée. Le consentement doit être donné expressément lorsque des renseignements personnels sensibles sont en cause. Lorsque des renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services ou pour 9 l'exécution d'un mandat, la Municipalité doit conclure une entente avec le fournisseur de services ou le mandataire qui comprend les dispositions contractuelles types de la Municipalité. Lorsque les renseignements personnels sont communiqués à des tiers hors Québec, la Municipalité procède à une évaluation des facteurs relatifs à la vie privée conformément à l'article 8 des présentes. Une communication à des tiers est consignée au registre prévu à cet effet. 7.5 Conservation La Municipalité prend toutes les mesures raisonnables afin que les renseignements personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés. La Municipalité conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, sous réserve de délais prévus à son calendrier de conservation. 7.6 Destruction et anonymisation Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives, (RLRQ, c. A-21.1), et suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de la Municipalité. 8. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE La Municipalité réalise une évaluation des facteurs relatifs à la vie privée, notamment dans le contexte des traitements suivants de renseignements personnels : - Avant d'entreprendre un projet d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui implique des renseignements personnels. - Avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d'une mission commune. - Avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques. - Lorsqu'elle entend communiquer des renseignements personnels, sans consentement des personnes concernées, conformément à l'article 68 de la loi. - Lorsqu'elle entend communiquer des renseignements personnels à l'extérieur du Québec ou confier à une personne ou à un organisme à l'extérieur du Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver de tels renseignements pour son compte. En effectuant une évaluation des facteurs relatifs à la vie privée, la Municipalité tient compte de la sensibilité des renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. 10 De plus, lorsque les renseignements personnels sont communiqués à l'extérieur du Québec, la Municipalité s'assure que ceux-ci bénéficient d'une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. La réalisation d'une évaluation des facteurs relatifs à la vie privé sert à démontrer que la Municipalité a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements. 9. DROITS DES PERSONNES CONCERNÉES Sous réserve de ce que prévoient les lois applicables, toute personne concernée dont les renseignements personnels sont détenus par la Municipalité dispose notamment des droits suivants : - Le droit d'accéder aux renseignements personnels détenus par la Municipalité et d'en obtenir une copie, que ce soit en format électronique ou non électronique. - À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès d'une personne concernée, et non par créé ou inféré à partir d'un renseignement personnel la concernant, lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. - Le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par la Municipalité. - Le droit d'être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé. Bien que le droit d'accès puisse être exercé en tout temps, l'accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la loi. Les documents contenant des renseignements personnels peuvent être consultés sur place ou être accessibles d'une autre manière, avec ou sans frais. Le cas échéant, la Municipalité informe la personne concernée de l'obligation de payer des frais avant de traiter sa demande. Les demandes d'accès aux renseignements personnels par les personnes concernées peuvent être faites verbalement ou par écrit. Les demandes verbales seront traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. Les demandes d'accès aux renseignements personnels sensibles doivent être faites par écrit et recevront une réponse écrite. Les demandes d'accès aux renseignements personnels doivent être suffisamment précises pour permettre au RPRP de localiser lesdits renseignements personnels. Le droit d'accès ne s'applique qu'aux renseignements personnels existants. 10. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS La Municipalité met en place des mesures de sécurité raisonnables afin d'assurer la confidentialité, l'intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré 11 de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support. La Municipalité gère les droits d'accès des membres de son personnel afin que seuls ceux soumis à un engagement de confidentialité et ayant besoin d'y accéder dans le cadre de leurs fonctions aient accès aux renseignements personnels. 11. REGISTRES Conformément à la loi, la Municipalité tient à jour les registres suivants : Registre des communications de renseignements personnels sans le consentement d'une personne concernée dans les cas suivants : - Lorsque la Municipalité communique l'identité d'une personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers. - Lorsque la Municipalité communique des renseignements personnels nécessaires à l'application d'une loi au Québec, que cette communication soit ou non expressément prévue par la loi. - Lorsque la Municipalité communique des renseignements personnels nécessaires à l'application d'une convention collective, d'un décret, d'une ordonnance, d'une directive ou d'un règlement qui établit les conditions de travail. - Lorsque la Municipalité communique des renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d'un mandat ou d'un contrat de services. - Lorsque la Municipalité communique des renseignements personnels à des fins d'étude, de recherche ou de statistique. - Après avoir effectué une évaluation des facteurs relatifs à la vie privée, lorsque la Municipalité communique des renseignements personnels dans les cas visés par l'article 68. Dans les cas visés, le registre comprend : - La nature ou le type de renseignement communiqué. - La personne ou l'organisme qui reçoit cette communication - La fin pour laquelle ce renseignement est communiqué et l'indication, le cas échéant, qu'il s'agit d'une communication de renseignements personnels à l'extérieur du Québec. - La raison justifiant cette communication. Registre des utilisations de renseignements personnels au sein de la Municipalité à d'autres fins et sans le consentement de la personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu'elle est clairement à l'avantage de la personne concernée ou qu'elle est nécessaire à l'application d'une loi au Québec. Un tel registre comprend : - La mention du paragraphe du deuxième alinéa de l'article 65.1 de la loi permettant l'utilisation, c'est-à-dire la base juridique applicable. - Dans le cas visé au paragraphe 3° du deuxième alinéa de l'article 65.1 de la loi, la disposition législative qui rend nécessaire l'utilisation du renseignement. 12 - La catégorie de personnes qui a accès aux renseignements aux fins de l'utilisation indiquée. Registre des communications d'information concernant un incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un incident de confidentialité. Registre des incidents de confidentialité. Un tel registre comprend : - Une description des renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison justifiant l'impossibilité de fournir une telle description. - Une brève description des circonstances de l'incident. - La date ou la période où l'incident a eu lieu ou, si cette dernière n'est pas connue, une approximation de cette période. - La date ou la période au cours de laquelle l'organisation a pris connaissance de l'incident. - Le nombre de personnes concernées par l'incident ou, s'il n'est pas connu, une approximation de ce nombre. - Une description des éléments qui amènent l'organisation à conclure qu'il existe ou non un risque qu'un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu'ils soient utilisés à des fins préjudiciables. - Si l'incident présente un risque qu'un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux personnes concernées, en application du deuxième alinéa de l'article 63.8 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l'article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même qu'une mention indiquant si des avis publics ont été donnés par l'organisation et la raison pour laquelle ils l'ont été, le cas échéant; - Une brève description des mesures prises par l'organisation à la suite de la survenance de l'incident afin de diminuer les risques qu'un préjudice soit causé. 12. INCIDENTS DE CONFIDENTIALITÉ Tout incident de confidentialité est pris en charge conformément à la loi. La Municipalité prend alors les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Elle met à jour son programme de protection des renseignements personnels, le cas échéant. Tout incident de confidentialité est signalé au RPRP et est consigné au registre des incidents de confidentialité. Si l'incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, la Municipalité avise celles-ci avec diligence ainsi que la CAI. 13 13. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS Des chercheurs peuvent demander l'accès à des renseignements personnels à des fins de recherche. Une telle demande doit être soumise au RPRP de la Municipalité. Lorsqu'une Évaluation des facteurs relatifs à la vie privée conclut que des renseignements personnels peuvent être communiqués à cette fin, la Municipalité doit conclure une entente avec les chercheurs qui contient les dispositions contractuelles types de la Municipalité et toute mesure supplémentaire identifiée dans l'évaluation des facteurs relatifs à la vie privé. 14. SONDAGES Avant d'effectuer, ou de permettre à une tierce partie d'effectuer un sondage auprès des personnes concernées pour lesquelles la Municipalité détient, recueille ou utilise des renseignements personnels, le RPRP devra préalablement faire une évaluation de la nécessité de recourir au sondage et de son aspect éthique compte tenu, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation. 15. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION La Municipalité offre des activités de formation et de sensibilisation à son personnel en matière de protection des renseignements personnels. Le RPRP établit le contenu et le choix des formations offertes à tous les employés de la Municipalité et détermine la fréquence à laquelle les employés doivent suivre toute formation établie. 16. TRAITEMENT DES PLAINTES Toute personne physique qui estime que la Municipalité n'assure pas la protection des renseignements personnels de manière conforme à la loi peut porter plainte de la manière suivante : - Une plainte ne peut être considérée uniquement que si elle est faite par écrit par une personne physique qui s'identifie. - Telle demande est adressée au RPRP de la Municipalité; - Le RPRP avise par écrit le requérant de la date de la réception de sa plainte et indique les délais pour y donner suite. - Le RPRP donne suite à une plainte avec diligence et au plus tard dans les vingt jours suivant la date de sa réception. - Si le traitement de la plainte dans le délai prévu paraît impossible à respecter sans nuire au déroulement normal des activités de la Municipalité, le RPRP peut, avant l'expiration de ce délai, le prolonger d'une période raisonnable et en donne avis au requérant, par tout moyen de communication permettant de joindre ce dernier. - Dans le cadre du traitement de la plainte, le RPRP peut communiquer avec le plaignant et faire une enquête interne. - À l'issue de l'examen de la plainte, le RPRP transmet au plaignant une réponse finale écrite et motivée. - Si le plaignant n'est pas satisfait de la réponse obtenue ou du traitement de sa plainte, il peut s'adresser par écrit à la CAI. 17. SANCTIONS Toute personne qui enfreint la présente politique est passible de sanctions selon le cadre normatif applicable. 14 18. RÉVISION De manière à suivre l'évolution du cadre normatif applicable en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de la Municipalité, la présente politique pourra être mise à jour au besoin. La version la plus récente de la présente politique sera rendue disponible pour consultation sur le site Web de la Municipalité ainsi qu'en personne à son hôtel de ville. 19. ENTRÉE EN VIGUEUR La présente politique entre en vigueur lors de son adoption par le conseil.