Adoption de la politique et dernière mise à jour : 4 décembre 2023
La Politique de gouvernance PRP vise les objectifs suivants :
Les expressions ou les termes de la présente Politique ont la signification énoncée à la section Définitions.
3.1. La Municipalité ne collecte que les RP nécessaires aux fins de ses activités.
3.2. Sous réserve des exceptions prévues à la Loi sur l’accès, la Municipalité ne procède pas à la collecte de RP sans avoir préalablement obtenu le consentement de la personne concernée.
3.3. Est entendu que le consentement doit être donné à des fins spécifiques, pour une durée nécessaire à la réalisation des fins auxquelles il est demandé. Le consentement de la personne concernée doit être :
3.4. Au moment de la collecte de tout RP, la Municipalité s’assure d’obtenir de façon expresse le consentement libre et éclairé de la personne concernée. La Municipalité doit notamment indiquer :
4.1. La Municipalité restreint l’utilisation de tout RP aux fins pour lesquelles il a été recueilli et pour lequel la Municipalité a obtenu le consentement exprès de la personne concernée, le tout sous réserve des exceptions prévues par la Loi sur l’accès.
4.2. La Municipalité limite l’accès à tout RP détenu aux seules personnes pour lesquelles ledit accès est requis à l’exercice de leurs fonctions au sein de la Municipalité.
4.3. La Municipalité applique des mesures de sécurité équivalente, quelle que soit la sensibilité des RP détenus afin de prévenir les atteintes à leur confidentialité et à leur intégrité sous réserve des exceptions prévues à la Loi sur l’accès.
4.4. La Municipalité conserve les données et documents comportant des RP :
ou
4.5. Lors de l’utilisation de tout RP, la Municipalité s’assure de l’exactitude du RP. Pour ce faire, elle valide son exactitude auprès de la personne concernée de façon régulière et, si nécessaire, au moment de son utilisation.
4.6. La Municipalité accorde le même haut taux d’attente raisonnable de protection, en matière de confidentialité et d’intégrité envers tout RP qu’elle collecte, conserve et utilise que le RP soit sensible ou non.
La Municipalité établit et maintient à jour un inventaire de ses fichiers de renseignements personnels.
Cet inventaire doit contenir les indications suivantes :
Toute personne qui en fait la demande a droit d’accès à cet inventaire, sauf à l’égard des renseignements dont la confirmation de l’existence peut être refusée en vertu des dispositions de la Loi sur l’accès.
6.1. La Municipalité ne peut communiquer à des tiers tout RP sans un consentement exprès de la personne concernée sauf exception prévue à la Loi sur l’accès.
6.2. La Municipalité indique, dans les registres exigés par la Loi sur l’accès, toutes les informations relatives à la transmission de tout RP à un tiers à quelques fins que ce soit.
7.1. Lorsque des RP ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis et lorsque le délai prévu au calendrier de conservation est expiré, la Municipalité doit les détruire de façon irréversible ou les rendre anonymes.
7.2. La procédure de destruction devra être approuvée par le greffier-trésorier et le RPRP afin de s’assurer notamment du respect de l’article 199 du Code municipal.
7.3. L’anonymisation vise une fin sérieuse et légitime et la procédure est irréversible.
7.4. Sur recommandation du RPRP, toute procédure d’anonymisation doit être approuvée par le greffier-trésorier.
Le conseil approuve la présente Politique et veille à sa mise en œuvre, notamment en s’assurant :
La direction générale est responsable de la qualité de la gestion de la PRP et de l’utilisation de toute infrastructure technologique de la Municipalité à cette fin.
Conformément au Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels (Décret 744-2023, 3 mai 2023), la direction générale assume les tâches qui sont dévolues au Comité sur l’accès à l’information et la protection des renseignements personnels :
Elle doit également mettre en œuvre la présente Politique en :
Le PRPR, en collaboration avec le RAD, contribue à assurer une saine gestion de la PRP au sein de la Municipalité. Il soutient le conseil, la direction générale et l’ensemble du personnel de la Municipalité dans la mise en œuvre de la présente Politique.
Notamment, le RPRP s’assure de :
Dans le cadre de cette fonction, le responsable de la conformité doit :
Chaque directeur de service est responsable de veiller à la PRP au sein du service qu’il dirige ainsi que des infrastructures technologiques nécessaires à cette fin auxquelles les employés du service et lui ont accès dans le cadre de leurs fonctions à la Municipalité.
À ce titre, chaque directeur de service doit :
Chaque directeur de service de la Municipalité doit identifier le responsable de la PRP au sein de son service au RPRP. Les employés de chaque service de la Municipalité ainsi désignés sont responsables au sein de leur service de certaines étapes de la vie des RP, c’est-à-dire la collecte et la détention.
Chaque responsable au sein d’un service susmentionné travaille en étroite collaboration avec le RPRP afin d’inventorier les diverses catégories de RP recueillies, détenues, communiquées à des tiers, le cas échéant, détruites ou rendues anonymes et de maintenir à jour cet inventaire. Le responsable doit également voir à ce que les employés du service obtiennent tout consentement requis de tout individu aux fins de collecter, détenir ou transférer à des tiers le cas échéant. Le responsable doit voir à la conservation et au classement des consentements recueillis de manière que ceux-ci puissent être facilement retracés.
Chaque employé doit :
Le RPRP et/ou la direction générale établit le contenu et le choix des formations offertes à tous les employés de la Municipalité et détermine la fréquence à laquelle les employés doivent suivre toute formation établie.
Les activités de formation ou de sensibilisation inclus notamment :
Avant d’effectuer, ou de permettre à une tierce partie d’effectuer un sondage auprès des personnes concernées pour lesquelles la Municipalité détient, recueille ou utilise des RP, le RPRP devra préalablement faire une évaluation des points suivants :
Suivant cette évaluation, le RPRP devra faire des recommandations au conseil et à la direction générale.
17.1. Avant de procéder à l’acquisition, au développement ou à la refonte des systèmes de gestion des RP, la Municipalité doit procéder à une évaluation des facteurs relatifs à la vie privée. Aux fins de cette évaluation, la Municipalité doit consulter, dès le début du projet, la direction générale.
17.2. Dans le cadre de la mise en œuvre du projet prévu à l’article 17.1, la direction générale peut, à toute étape, suggérer des mesures de protection des RP, dont notamment :
17.3. La Municipalité doit également s’assurer que dans le cadre du projet prévu à l’article 17.1, le système de gestion des renseignements personnels permet qu’un RP informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.
17.4. La réalisation d’une évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
L’accès, l’utilisation ou la communication non autorisés de tout RP ou sa perte constituent un incident de confidentialité au sens de la Loi sur l’accès.
La Municipalité assure la gestion de tout incident de confidentialité conformément à la procédure de gestion des incidents de confidentialité dont font partie les règles suivantes :
Toute personne physique qui estime que la Municipalité n’assure pas la protection des RP de manière conforme à la Loi sur l’accès peut porter plainte de la manière suivante :
19.1. Une plainte ne peut être considérée uniquement que si elle est faite par écrit par une personne physique qui s’identifie.
19.2. Telle demande est adressée au RPRP de la Municipalité.
19.3. Le RPRP avise par écrit le requérant de la date de la réception de sa plainte et indique les délais pour y donner suite.
19.4. Le RPRP donne suite à une plainte avec diligence et au plus tard dans les vingt jours suivant la date de sa réception.
19.5. Si le traitement de la plainte dans le délai prévu à l’article 19.4 de la présente Politique paraît impossible à respecter sans nuire au déroulement normal des activités de la Municipalité, le RPRP peut, avant l’expiration de ce délai, le prolonger d’une période raisonnable et en donne avis au requérant, par tout moyen de communication permettant de joindre ce dernier.
19.6. Dans le cadre du traitement de la plainte, le RPRP peut communiquer avec le plaignant et faire une enquête interne.
19.7. À l’issue de l’examen de la plainte, le RPRP transmet au plaignant une réponse finale écrite et motivée.
19.8. Si le plaignant n’est pas satisfait de la réponse obtenue ou du traitement de sa plainte, il peut s’adresser par écrit à la CAI.
Tout employé de la Municipalité qui contrevient à la présente Politique ou aux lois et à la réglementation en vigueur applicable en matière de PRP s’expose, en plus des pénalités prévues aux lois, à une mesure disciplinaire pouvant notamment mener à une mesure disciplinaire et pouvant aller jusqu’au congédiement. La direction générale, de concert avec le Service des Ressources humaines, est chargée de décider de l’opportunité d’appliquer la sanction appropriée, le cas échéant. La Municipalité peut également transmettre à toute autorité judiciaire les informations colligées sur tout employé, qui portent à croire qu’une infraction à l’une ou l’autre loi ou règlement en vigueur en matière de PRP a été commise.
Désigne la Commission d’accès à l’information créée en vertu de la Loi sur l’accès.
Désigne le conseil municipal de la municipalité de Saint-Jean-Port-Joli.
Désigne l’ensemble des étapes d’existence d’un renseignement détenu par la Municipalité et plus précisément sa création, sa modification, son transfert, sa consultation, sa transmission, sa conservation, son archivage, son anonymisation ou sa destruction.
Désigne la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A -2,1.
Désigne toute personne physique pour laquelle la Municipalité collecte, détient, communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels.
Désigne une personne physique en relation avec la Municipalité dans le cadre de ses activités et, sans limiter la généralité de ce qui précède, un employé ou un fournisseur.
Désigne la politique administrative concernant les règles de gouvernance en matière de protection des renseignements personnels de la municipalité.
Désigne la protection des renseignements personnels.
Désigne toute information qui concerne une personne physique et qui permet de l’identifier directement ou indirectement, comme : l’adresse postale, le numéro de téléphone, le courriel ou le numéro de compte bancaire, que ce soit les données personnelles ou professionnelles de l’individu.
Désigne tout renseignement personnel qui suscite un haut degré d’attente raisonnable en matière de vie privée de tout individu, notamment en raison du préjudice potentiel à la personne en cas d’incident de confidentialité, comme l’information financière, les informations médicales, les données biométriques, le numéro d’assurance sociale, le numéro de permis de conduire ou l’orientation sexuelle.
Désigne la personne qui, conformément à la Loi sur l’accès, exerce cette fonction et répond aux demandes d’accès aux documents de la municipalité.
Désigne la personne qui, conformément à la Loi sur l’accès, exerce cette fonction et veille à la protection des renseignements personnels détenus par la municipalité.