Définitions
Aux fins de la présente politique, les expressions ou les termes suivants ont la signification ci-dessous énoncée :
Conseil : Désigne le Conseil des maires de la MRC de Beauharnois-Salaberry.
Cycle de vie : Désigne l’ensemble des étapes d’existence d’un renseignement détenu par la MRC et plus précisément sa création, sa modification, son transfert, sa consultation, sa transmission, sa conservation, son archivage, son anonymisation ou sa destruction.
Loi sur l’accès : Désigne la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, chapitre A -2,1).
Personne concernée : Désigne toute personne physique pour laquelle la MRC collecte, détient, communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels.
Renseignement personnel : Toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement — soit par combinaison avec d’autres informations.
Application et interprétation
Date d’entrée en vigueur : 17 janvier 2024
La présente politique témoigne de l'engagement de la MRC à mettre en œuvre les mécanismes nécessaires pour faciliter l'accès aux documents et protéger les renseignements personnels, sensibles ou confidentiels qu'elle détient. Elle vise à :
- Énoncer les principes encadrant la gouvernance de la MRC à l’égard des renseignements personnels tout au long de leur cycle de vie et de l’exercice des droits des personnes concernées;
- Établir diverses mesures administratives relatives à l’application de la politique (formations, responsabilités, gestion des plaintes).
Champ d'application
La politique concerne les données directement ou indirectement recueillies par la MRC dans le cadre de ses activités ou de la mise en œuvre d’un programme dont elle a la gestion. La politique s’applique aux citoyens, aux employés, aux utilisateurs, aux partenaires ou à toute autre personne qui souhaite connaître les modalités de traitement des données collectées à son sujet.
Cadre normatif
La présente politique, son interprétation, son application, sa validité et ses effets sont assujettis aux lois applicables en vigueur au Québec. Cette politique repose également sur le cadre normatif suivant :
- Code municipal du Québec (RLRQ, chapitre C27.1)
- Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, chapitre A-2.1);
- Loi sur les archives (RLRQ, chapitre A-21.1)
- Règlement numéro 295 établissant les règles d’éthique et de déontologie des employés de la MRC
- Politique d’utilisation des ressources informatiques de la MRC
- Politique de gestion intégrée des ressources documentaires
Collecte des renseignements personnels
La MRC ne collecte que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des renseignements personnels, la MRC détermine les fins de leur traitement et veille à ne recueillir que les renseignements personnels strictement nécessaires aux fins indiquées.
La collecte de renseignements personnels se fait auprès de la personne concernée. Au moment de la collecte, et par la suite sur demande, la MRC indique clairement les fins pour lesquelles les renseignements sont recueillis, l'utilisation qui en sera faite et les catégories de personnes qui y auront accès.
Sous réserve des exceptions prévues à la Loi sur l’accès, la MRC ne procède pas à la collecte de renseignements personnels sans avoir préalablement obtenu le consentement de la personne concernée. Ce consentement doit être donné à des fins spécifiques, pour une durée nécessaire à la réalisation des fins pour lesquelles il est demandé. Le consentement de la personne concernée doit être :
a) Manifeste : ce qui signifie qu’il est évident et certain ;
b) Libre : ce qui signifie qu’il doit être exempt de contraintes ;
c) Éclairé : ce qui signifie qu’il est pris en toute connaissance de cause.
Si la personne auprès de laquelle des renseignements personnels sont recueillis est une personne âgée de moins de 14 ans, le consentement doit être obtenu de son parent ou de son tuteur.
Envoi non sollicité de renseignements personnels
La MRC ne souhaite pas recevoir de renseignements personnels ou de nature confidentielle par le biais de son site Web ou par courrier électronique en dehors du cadre spécifiquement prévu à cet effet, c’est-à-dire par le biais d’une entente de gré à gré, d’un formulaire ou d’une page Web sécurisés et conçus à cet effet ou sur demande expresse de sa part. Tous les renseignements ou autres documents qui pourraient être acheminés à la MRC en dehors d’un tel cadre sont considérés comme non confidentiels.
Échange de courriels avec la MRC
Toute personne qui transmet un courriel à la MRC reconnait et accepte que les courriers électroniques qui sont envoyés à la MRC ne sont pas nécessairement sous le contrôle de cette dernière et que ces mêmes courriers électroniques ne sont pas nécessairement protégés avant d’arriver à destination sur les serveurs de la MRC. La confidentialité des renseignements ainsi transmis ne peut être assurée avant que ceux-ci soient effectivement reçus dans les serveurs de la MRC.
Renseignements recueillis sur le Web par le truchement des fichiers témoins
Lors d’une connexion au site Web de la MRC, un message demandant d’autoriser la présence de fichiers témoins supplémentaires apparaîtra. Si le visiteur accepte, les renseignements suivants pourront alors être communiqués à la MRC : les pages Web visitées, le temps passé sur chaque page, l’information envoyée ou reçue et le nom des fichiers téléchargés vers l’amont ou vers l’aval.
La MRC n’est pas responsable de la sécurité et de la confidentialité des hyperliens publiées sur sa page Internet.
Utilisation des renseignements personnels
La MRC restreint l’utilisation de tout renseignement personnel aux fins pour lesquelles il a été recueilli et pour lesquelles elle a obtenu le consentement de la personne concernée, le tout sous réserve des exceptions définies aux articles 65.1 et suivants de la Loi sur l’accès.
Seul le personnel autorisé et qualifié ayant besoin de consulter des renseignements personnels dans l’exercice de leurs fonctions y a accès.
La MRC exige que tout employé ayant accès à ces renseignements personnels s’engage à respecter la présente politique, la Politique d’utilisation des ressources informatiques ainsi que le Règlement numéro 295 établissant les règles d’éthique et de déontologie des employés de la MRC.
La MRC prend les mesures raisonnables afin que les renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.
La MRC établit et maintient à jour un inventaire de ses fichiers de renseignements personnels, dont le contenu est défini par l’article 76 de la Loi sur l’accès.
Communication des renseignements personnels
Sous réserve de ce que prévoient les lois applicables, toute personne qui en fait la demande a droit d'accès aux renseignements personnels la concernant. Elle peut demander à ce que ces renseignements soient corrigés, détruits ou qu'ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.
Toute demande d'accès ou de rectification doit être adressée à la MRC par l’un des moyens suivants :
- Par courriel : En envoyant un courriel à l’adresse info@mrcbhs.ca
- Par la poste : En faisant parvenir votre demande à l’adresse suivante :
Responsable de l’accès à l’information
MRC de Beauharnois-Salaberry
2, rue Ellice
Beauharnois QC J6N 1W6
Lorsque des renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service, la MRC établira, par le biais d’un contrat écrit, les modalités suivantes :
a) Les mesures prises pour assurer la confidentialité des renseignements;
b) Les mesures prises pour que ces renseignements ne soient utilisés que dans le cadre du mandat ou l'exécution du contrat;
c) Les mesures prises pour assurer que les renseignements ne soient pas conservés après l'expiration du mandat ou du contrat;
d) Un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué.
Le mandataire ou le fournisseur doit aviser sans délai le responsable de la protection des renseignements personnels de tout incident de confidentialité, peu importe sa teneur. Lorsque les renseignements personnels sont communiqués à des tiers ou à des tiers hors du Québec, la MRC procède selon les modalités prévues à la Loi.
Sous réserve de l’utilisation énoncée dans la présente Politique, la MRC s’engage à ne pas vendre ou partager lesdites données avec des tiers, sauf dans les cas suivants :
a) si une loi habilitante l’exige ou l’autorise;
b) si cette divulgation est requise dans le cadre de toute procédure judiciaire, aux fins de prouver ou de protéger ses droits.
La MRC indique, dans les registres exigés par la Loi sur l’accès, toute information relative à la transmission de renseignement personnel à un tiers.
Mesure de protection des renseignements personnels
La MRC s’engage à prendre tous les moyens raisonnables afin d’assurer un niveau adéquat de confidentialité et de sécurité des renseignements personnels qu’elle détient. Lorsque la MRC le juge nécessaire ou approprié, elle a recours à des outils ou des programmes de cryptage et d’authentification, ou à toute autre méthode afin de protéger les renseignements personnels qu’elle conserve ou entend conserver sur ses serveurs, systèmes de gestion informatique ou bases de données.
Si la MRC a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’elle détient s’est produit, elle prendra les mesures raisonnables afin de diminuer les risques qu’un préjudice soit causé à la personne concernée et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, la MRC avisera la Commission d’accès à l’information ainsi que toute personne dont un renseignement personnel est concerné par l’incident, conformément aux exigences définies par la Loi sur l’accès.
Malgré ce qui précède, puisqu’aucun système informatique n’offre, à ce jour, une sécurité absolue et qu’une part de risque est toujours présente lorsque l’on transmet des renseignements personnels via Internet, les personnes s’adressant à la MRC via ce canal de communication comprennent et reconnaissent que la MRC ne peut être tenue responsable de toute violation de confidentialité (piratage, virus, perte, vol ou altération) impliquant des renseignements personnels transmis ou hébergés sur ses systèmes ou ceux d’un tiers.
Destruction et anonymisation des renseignements personnels
Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives (RLRQ, chapitre A- 21.1), et suivant les délais prévus au calendrier de conservation et aux règles de gestion documentaire de la MRC.
La personne responsable de la protection des renseignements personnels et le greffier-trésorier veilleront à ce que les procédures applicables à la destruction et à l’anonymisation des documents soient respectées, conformément à l’article 199 du Code municipal du Québec (RLRQ, chapitre C27.1).
Mesures administratives
Comité sur l’accès à l’information et la protection des renseignements personnels
Conformément aux exigences énoncées à l’article 8.1 de la Loi sur l’accès, le Comité sur l’accès à l’information et la protection des renseignements personnels de la MRC a pour mandat de formuler les recommandations à l’égard de la mise en œuvre de la présente Politique. Ce comité est également appelé à définir les rôles et responsabilités des différents intervenants.
Responsabilités des personnes ayant accès aux renseignements personnels
Toute personne appelée à traiter ou à accéder aux renseignements personnels détenus par la MRC ainsi que chaque membre du Conseil doit :
a) Agir avec précaution et intégrer les principes énoncés à la présente politique à ses activités;
b) Accéder uniquement aux renseignements nécessaires à l'exercice de ses fonctions;
c) Assurer la protection des renseignements personnels et confidentiels auxquels elle a accès dans le cadre de ses fonctions, entre autres en veillant à ce que seules les personnes autorisées y aient accès;
d) S'abstenir de communiquer les renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire;
e) Collaborer et assurer, avec diligence, le traitement des demandes d'accès aux documents ou aux renseignements personnels qui lui sont adressées par le responsable de l'accès aux documents et de la protection des renseignements personnels;
f) Signaler toute situation ou irrégularité qui pourrait compromettre de quelque façon la sécurité, l'intégrité ou la confidentialité des renseignements personnels ou confidentiels détenus par la MRC peu importe leur support;
g) Signaler immédiatement tout incident de confidentialité, dès qu'elle a le motif de croire ou qu'elle constate qu'il s'est produit, et ce, peu importe sa nature ou sa teneur, au responsable de l'accès au document et de la protection des renseignements personnels, conformément à la Procédure de signalement des incidents de confidentialité;
h) Participer aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées;
i) S'abstenir de conserver, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintenir ses obligations de confidentialité.
Formation du personnel de la MRC en vue de la protection des renseignements personnels
La direction générale ou la personne responsable de la protection des renseignements personnels établit le contenu et le choix des activités de formation ou de sensibilisation dispensée aux employés de la MRC ainsi que la fréquence à laquelle les employés doivent suivre ces formations.
Sondages, étude, recherche ou production de statistiques
Avant d’effectuer, ou de permettre à un tiers d’effectuer au nom de la MRC, un sondage, une étude, une recherche ou la production de statistiques pour les fins identifiées, le Comité sur l’accès à l’information et la protection des renseignements personnels devra procéder à une évaluation du projet, laquelle reposera sur les éléments suivants :
- la nécessité de recourir au sondage, à la recherche ou à la production de statistiques;
- l’aspect éthique du sondage compte tenu, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation.
Acquisition, développement ou refonte d’un système d’information ou de prestation électronique
Avant de procéder à l’acquisition, au développement ou à la refonte des systèmes de gestion des renseignements personnels, le Comité sur l’accès à l’information et la protection des renseignements personnels doit évaluer des facteurs relatifs à la vie privée. Cette évaluation doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
Sanctions et traitement des plaintes
Tout employé de la MRC contrevenant à la présente Politique ou aux lois et à la réglementation applicable en matière de protection des renseignements personnels s’expose, en plus des pénalités prévues aux lois, à une mesure disciplinaire pouvant aller jusqu’au congédiement. La MRC peut également transmettre à toute autorité judiciaire les informations colligées sur tout employé, qui portent à croire qu’une infraction en matière de protection des renseignements personnels a été commise.
Toute personne physique qui estime que la MRC n’assure pas la protection des renseignements personnels de manière conforme à la Loi sur l’accès ou à la présente politique peut formuler une plainte par écrit (courriel ou lettre) adressé à la Responsable de la protection des renseignements personnels. Une plainte ne sera considérée que si elle est déposée par une personne physique s’étant identifiée.
Modification
De manière à suivre l’évolution du cadre normatif applicable en matière de protection des renseignements personnels, la présente politique pourra être mise à jour au besoin. Ces mises à jour feront l’objet d’une publication sur le site Internet de la MRC.
Entrée en vigueur
17 janvier 2024