POLITIQUE SUR LA GOUVERNANCE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Section I : Dispositions générales
1. La présente politique encadre la gouvernance de la Régie Intermunicipale de l’aréna Régionale de la Rivière-du-Nord à l’égard des renseignements personnels qu’elle détient.
2. Cette politique s’applique tout au long du cycle de vie des renseignements personnels et vise tout usage de ceux-ci, notamment leur collecte, leur transmission, leur communication, leur conservation, leur anonymisation et leur destruction.
3. Aux fins des présentes, les mots ont le sens qui leur est donné dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1 (ci-après la Loi).
4. Le terme « Comité » désigne le Comité sur l’accès à l’information et la protection des renseignements personnels, formé des membres du conseil d’administration.
5. Le terme « CAI » désigne la Commission d’accès à l’information.
6. Le terme « ARRDN » désigne la Régie Intermunicipale de l’aréna Régionale de la Rivière-du-Nord.
7. Le terme « responsable de la protection des renseignements personnels » désigne le directeur général.
8. Cette politique est accessible sur le site Web de l’ARRDN.
9. La présente politique entre en vigueur le 15 mai 2024.
Section II : Rôles et responsabilités
10. La présente section définit les rôles et les responsabilités des différents acteurs en matière de protection des renseignements personnels. S’ajoutent aux rôles prévus par la présente section des rôles spécifiques prévus dans les sections subséquentes.
11. Le conseil d’administration est responsable d’adopter les règles et les politiques de l’ARRDN en matière de renseignements personnels.
12. Tout employé de l’ARRDN se doit de protéger les renseignements personnels obtenus dans le cadre des activités. Tout employé se doit également de respecter les règles de gouvernance contenues dans le présent document ainsi que la Politique de confidentialité des renseignements personnels. En cas d’incident de confidentialité, il doit le rapporter dans les plus brefs délais au responsable de la protection des renseignements personnels au moyen du formulaire prévu à l’annexe A. Il doit aussi collaborer à la gestion de l’incident, fournir toutes les informations pertinentes et appliquer toutes les mesures de sécurité nécessaires afin de contenir l’événement ou de prévenir tout nouvel incident de confidentialité.
13. Le responsable de la protection des renseignements personnels est chargé de l’application de la présente politique ainsi que du processus de traitement des plaintes énoncé à la section IX. Il participe à l’évaluation du risque de préjudice sérieux relié à un incident de confidentialité. Il tient
le Registre des incidents de confidentialité. Il s’assure que des mesures de sécurité sont mises en place afin d’éviter un autre incident de confidentialité et il effectue le suivi desdites mesures. Il préside également les travaux du Comité.
14. Le responsable de l’accès aux documents s’assure que les renseignements personnels sont bien protégés dans le traitement des demandes d’accès à l’information. Il s’assure notamment que les renseignements personnels qui n’ont pas un caractère public sont dûment anonymisés. De plus, il doit s’assurer que l’anonymisation des documents est opaque et qu’elle ne peut pas être retirée par une manipulation informatique. Il siège également au Comité. Les fonctions de responsable de la protection des renseignements personnels et de responsable de l’accès aux documents peuvent être exercées par la même personne.
15. Le responsable de la sécurité de l’information doit s’assurer que les outils informatiques de l’ARRDN sont sécuritaires et protègent adéquatement les renseignements personnels. Il doit sensibiliser les employés aux meilleures pratiques en matière de sécurité de l’information. Il participe à l’évaluation du risque de préjudice sérieux relié à un incident de confidentialité pour les volets informatiques et technologiques. Il s’assure de prendre toutes les mesures raisonnables pour contenir un incident de confidentialité et, si possible, le fait cesser dans les plus brefs délais. Il a également pour rôle de s’assurer que les seules personnes qui ont accès à des renseignements personnels sous format numérique sont celles qui en ont besoin dans le cadre de leurs fonctions. Il est aussi responsable de la gestion documentaire s’assure que les renseignements personnels qui ne sont pas versés dans les archives sont détruits ou anonymisés à la fin de leur période de conservation. En outre, il siège au Comité.
16. L’ARRDN s’assure d’inclure dans tous ses contrats et toutes ses ententes avec ses fournisseurs, ses consultants, ses professionnels, ou toute autre entreprise à qui elle transmet des renseignements personnels, une clause selon laquelle ils s’engagent à respecter la présente politique de même que la Politique de confidentialité des renseignements personnels et les dispositions applicables de la Loi ainsi que de ses règlements.
Section III : Cycle de vie des renseignements personnels
17. Les présentes règles s’appliquent à l’ensemble du cycle de vie des renseignements personnels.
18. L’ARRDN ne collecte des renseignements personnels que dans la mesure où ceux-ci sont nécessaires au bon déroulement de ses activités.
19. À moins qu’il ne s’agisse de renseignements personnels à caractère public, l’accès à des renseignements personnels est limité aux seuls employés qui doivent, dans le cadre de leurs fonctions, utiliser ces renseignements. En ce qui concerne les renseignements personnels contenus dans des dossiers physiques, la personne qui en a la garde s’assure que seuls les employés ayant réellement besoin desdits renseignements ont accès à ces dossiers.
20. Lorsque l’ARRDN a besoin de transmettre des renseignements personnels ou d’y donner accès à des tiers, qu’il s’agisse d’autres organismes publics ou de fournisseurs, le responsable de la
protection des renseignements personnels s’assure que les ententes écrites prévues par la Loi sont conclues.
21. Sous réserve de la Loi sur les archives (RLRQ, c. A-21.1), lorsqu’un renseignement personnel cesse d’avoir une utilité, il doit être détruit. Toutefois, si le renseignement conserve une utilité à des fins statistiques, il peut plutôt faire l’objet d’une anonymisation.
Section IV : Incident de confidentialité
22. Pour l’application de la présente politique, on entend par « incident de confidentialité » les événements suivants :
1° L’accès non autorisé par la Loi à un renseignement personnel;
2° L’utilisation non autorisée par la Loi d’un renseignement personnel;
3° La communication non autorisée par la Loi d’un renseignement personnel;
4° La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
23. Lorsque survient un incident de confidentialité ou qu’il existe des motifs de croire qu’un tel incident est survenu, l’employé qui le constate doit remplir le formulaire prévu à l’annexe A et le transmettre au responsable de la protection des renseignements personnels.
24. Le responsable de la protection des renseignements personnels inscrit l’incident de confidentialité dans le Registre des incidents de confidentialité. Il doit également s’assurer que les mesures immédiates sont prises pour éviter que l’incident ne cause un préjudice, notamment en contactant toutes les personnes ressources nécessaires pour traiter cet incident et déployer un plan de réponse, le cas échéant.
25. Le responsable de la protection des renseignements personnels procède à une évaluation de l’incident de confidentialité afin de déterminer le risque de préjudice sérieux ou non. Cette évaluation est effectuée selon les facteurs prévus dans la grille d’évaluation du préjudice et l’échelle d’estimation de la probabilité de réalisation du scénario de risque, lesquelles figurent à l’annexe B.
26. Si le responsable de la protection des renseignements personnels conclut à l’absence de risque de préjudice sérieux, il consigne au Registre des incidents de confidentialité les recommandations pour éviter une répétition d’un tel événement.
27. En cas d’incident ayant un risque de causer un préjudice sérieux, le responsable de la protection des renseignements personnels informe la CAI, les personnes concernées et, s’il y a lieu, tout individu ou tout organisme susceptible de diminuer ce risque. Il doit garder une copie au dossier de ces avis. Il informe également le Comité afin de déterminer les autres mesures à prendre pour limiter les risques de préjudice et pour formuler des recommandations dans le but d’éviter une répétition.
28. Le responsable de la protection des renseignements personnels informe la CAI de tout incident de confidentialité impliquant un renseignement personnel que l’ARRDN détient et qui présente un risque de préjudice sérieux en remplissant le Formulaire de déclaration d’un incident de confidentialité de la CAI et en respectant les informations contenues dans l’Avis à la Commission d’accès à l’information.
29. Les avis aux personnes concernées par un incident de confidentialité sont rédigés selon le modèle prévu à l’annexe C.
Section V : Évaluation des facteurs
30. L’ARRDN doit procéder à une évaluation des facteurs relatifs à la vie privée avant de poser une des actions suivantes :
a) Prévoir l’acquisition, le développement ou la refonte d’un système d’information ou d’une prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;
b) Recueillir un renseignement personnel nécessaire à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel l’ARRDN collabore pour la prestation de services ou la réalisation d’une mission commune;
c) Communiquer des renseignements personnels sans le consentement des personnes concernées à autrui ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques;
d) Communiquer à l’extérieur du Québec un renseignement personnel;
e) Confier à autrui ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement;
f) Communiquer sans le consentement de la personne concernée un renseignement personnel :
1° à un organisme public ou émanant d’un autre gouvernement lorsque cette communication est nécessaire à l’exercice des attributions de l’organisme receveur ou à la mise en oeuvre d’un programme dont cet organisme a la gestion;
1.1 à un organisme public ou émanant d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;
2° à autrui ou à un organisme lorsque des circonstances exceptionnelles le justifient;
3° à autrui ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public, notamment aux fins de l’identification de cette personne.
31. La réalisation d’une évaluation des facteurs relatifs à la vie privée en application de la présente politique doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
32. Si l’évaluation concerne la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques, la communication ne peut s’effectuer que si une évaluation des facteurs relatifs à la vie privée conclut que :
1° l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
2° l’exigence qu’autrui ou l’organisme obtienne le consentement des personnes concernées est déraisonnable;
3° l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
4° les renseignements personnels sont utilisés de manière à en assurer la confidentialité;
5° seuls les renseignements nécessaires sont communiqués.
33. Si l’évaluation porte sur la communication de renseignements personnels sans le consentement de la personne concernée, la communication peut s’effectuer si une évaluation des facteurs relatifs à la vie privée conclut que :
1° l’objectif ne peut être atteint que si le renseignement est communiqué sous une forme permettant d’identifier la personne concernée;
2° l’exigence d’obtenir le consentement de la personne concernée est déraisonnable;
3° l’objectif pour lequel la communication est requise l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation du renseignement sur la vie privée de la personne concernée;
4° le renseignement personnel est utilisé de manière à en assurer la confidentialité.
34. Si l’évaluation implique un cas où des renseignements sont communiqués, recueillis, utilisés ou conservés à l’extérieur du Québec, l’ARRDN doit notamment tenir compte des éléments suivants :
1° La sensibilité du renseignement;
2° La finalité de son utilisation;
3° Les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
4° Le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus.
Section VI : Ententes
35. La section VI est applicable sous réserve de l’évaluation des facteurs selon la section V de la présente politique.
36. L’ARRDN doit conclure une entente par écrit lorsqu’elle souhaite recueillir un renseignement personnel nécessaire à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d’une mission commune. La même exigence s’applique si l’ARRDN permet à un autre organisme public de recueillir un renseignement personnel dans les mêmes circonstances. Telle entente doit inclure les éléments mentionnés à l’article 64 de la Loi et être communiquée à la CAI. Elle entre en vigueur 30 jours après sa réception par la CAI.
37. Lorsque l’ARRDN souhaite communiquer des renseignements personnels sans le consentement des personnes concernées à autrui ou à un organisme qui désire utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques, elle doit préalablement conclure une entente avec celui-ci ou avec l’organisme à qui elle les transmet. Telle entente doit contenir les éléments mentionnés à l’article 67.2.3 de la Loi et être communiquée à la CAI. Elle entre en vigueur 30 jours après sa réception par la CAI.
38. Dans les cas énumérés au présent article, la communication par l’ARRDN d’un renseignement personnel sans le consentement de la personne concernée s’effectue dans le cadre d’une entente écrite lorsque les renseignements sont communiqués :
1° à un organisme public ou émanant d’un autre gouvernement lorsque cette communication est nécessaire à l’exercice des attributions de l’organisme receveur ou à la mise en oeuvre d’un programme dont cet organisme a la gestion;
1.1° à un organisme public ou émanant d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;
2° à autrui ou à un organisme lorsque des circonstances exceptionnelles le justifient;
3° à autrui ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public, notamment aux fins de l’identification de cette personne.
Telle entente doit contenir les mentions prévues à l’article 68 de la Loi et être communiquée à la CAI. Elle entre en vigueur 30 jours après sa réception par la CAI.
39. Dans l’éventualité où l’ARRDN communique un renseignement personnel à l’extérieur du Québec ou confie à autrui ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un renseignement personnel, l’ARRDN doit conclure une entente écrite à cet effet. Cette entente tient compte notamment des
résultats de l’évaluation des facteurs relatifs à la vie privée et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Section VII : Activités de formation et de sensibilisation
40. En sus des activités, le responsable de la protection des renseignements personnels sensibilise les personnes concernées à toute nouvelle mesure destinée à mieux protéger les renseignements personnels, y compris à toute recommandation formulée à la suite d’un incident de confidentialité.
Section VIII : Renseignements recueillis dans le cadre d’un sondage
41. Avant de réaliser un sondage, l’ARRDN doit effectuer une évaluation de la nécessité de recourir à un tel moyen de collecte de renseignements. Cette évaluation implique de pondérer les bénéfices attendus du sondage avec l’impératif de protéger les renseignements personnels des gens sondés, compte tenu de la sensibilité des renseignements personnels demandés. Dans cette évaluation, l’ARRDN tient également compte de la possibilité d’obtenir les renseignements du sondage d’une autre manière.
42. Lorsque l’ARRDN effectue un sondage, elle procède également à une analyse de l’aspect éthique du sondage compte tenu, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation. Elle ne demande aux gens que les renseignements personnels nécessaires aux fins du sondage.
43. Les renseignements personnels recueillis dans le cadre du sondage sont anonymisés dans la mesure du possible.
Section IX : Processus de traitement des plaintes
44. Toute personne qui estime que ses renseignements personnels n’ont pas été adéquatement protégés par la Ville peut formuler une plainte au moyen du formulaire prévu à l’annexe D.
45. Le traitement des plaintes s’effectue de manière confidentielle.
46. Le responsable de la protection des renseignements personnels doit analyser cette plainte et déterminer si :
1° un incident de confidentialité s’est produit, auquel cas il enclenche la procédure afférente;
2° la plainte révèle un possible manquement à une obligation de la Ville en vertu de la Loi, d’un de ses règlements, de la présente politique ou de la Politique de confidentialité sur les renseignements personnels;
3° la plainte ne révèle aucun manquement à une telle norme;
4° la plainte est frivole ou manifestement mal fondée.
47. Le responsable de la protection des renseignements personnels informe le Comité de toute plainte.
48. Pour analyser la plainte, le responsable de la protection des renseignements personnels peut communiquer avec le plaignant, de même qu’avec tout employé, membre du conseil ou fournisseur susceptible de détenir des informations permettant d’analyser la plainte. Il ne communiquera le nom du plaignant que si cette information est nécessaire aux besoins de l’analyse de la plainte.
49. Lorsque l’analyse de la plainte est terminée, le responsable de la protection des renseignements personnels communique par écrit avec le plaignant pour l’informer du résultat de l’analyse de sa plainte.
50. La présente politique s’applique à compter de sa publication sur le site Web de l’ARRDN.
