12 juillet 2023
La Loi modernisant des dispositions législatives en matière de protection de renseignements personnels (L.Q. 2021, c.25), mieux connue sous le nom de Loi 25, a été adoptée en 2021 et ses dispositions entrent progressivement en vigueur jusqu’en septembre 2024.
La Loi 25 crée une série de nouvelles obligations pour les municipalités, dont l’adoption de mesures en matière de protection des renseignements personnels afin de répondre au développement des nouvelles technologies. Celles-ci s’ajoutent aux obligations imposées par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ ch. A-2.1) et elles touchent à toutes les sphères d’action des municipalités, dont la gestion contractuelle.
Les obligations existantes en matière de comité de sélection
Lorsqu’une municipalité décide de lancer un appel d’offres comportant un système de pondération et d’évaluation qualitative des soumissions, la constitution d’un comité de sélection est obligatoire.
Les lois qui régissent les organismes municipaux, la Loi sur les cités et villes (LCV) et le Code municipal du Québec (CM), encadrent la constitution et la composition du comité de sélection, ainsi que les étapes à suivre pour l’analyse des soumissions. Parmi ces obligations, certaines encadrent la protection des renseignements personnels, à savoir :
- L’obligation de prévoir dans la demande de soumission des dispositions qui assurent, en tout temps, le respect des règles en matière d’accès aux documents publics et de protection des renseignements personnels (art. 573.1.0.5 LCV et 936.0.5 CM);
- L’interdiction aux membres du Conseil ou aux employés municipaux de divulguer des renseignements personnels qui permettent d’identifier un membre du comité de sélection (art. 573.1.0.13 al. 2 LCV et art. 936.0.13 al.2 CM);
- L’obligation pour les membres du comité de sélection de préserver l’intégrité et la confidentialité des informations reçues dans le cadre de leur mandat; ils ne peuvent dévoiler les détails des discussions du comité (art. 573.3.3.5 LCV et art. 938.3.5 CM);
- L’obligation de prévoir dans le rapport du secrétaire du comité de sélection d’attester, entre autres, que toute discussion et toute négociation ont été faites dans le respect des dispositions applicables (art.573.1.0.12 LCV et art. 936.0.12 CM).
À ces dispositions, la Loi 25 ajoute d’autres obligations en matière de protection de renseignements personnels, lesquelles doivent être incorporées afin que le comité de sélection puisse exercer son rôle et ses responsabilités conformément à cette Loi.
Les obligations créées par la Loi 25
De façon non limitative, voici certaines mesures introduites par la Loi 25 :
- Nommer un responsable de la protection des renseignements personnels détenus par la municipalité et un responsable de l’accès aux documents, ou redéfinir son rôle et en aviser la Commission d’accès à l’information (art. 8 Loi sur l’accès);
- Mettre en place un comité sur l’accès à l’information et la protection des renseignements personnels, sauf si la municipalité est exemptée de cette obligation suivant le Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et protection des renseignements personnels1 (art. 8.1 Loi sur l’accès);
- Établir des règles de gouvernance à l’égard des renseignements personnels à protéger et veiller à leur diffusion (art. 63.3 Loi sur l’accès);
- Publier une politique de confidentialité afin de prévenir et de déterminer la marche à suivre en cas d’incident de confidentialité (art. 63.4 et 63.8 Loi sur l’accès);
- Faire l’inventaire des renseignements personnels détenus par la Municipalité, évaluer les risques en matière de vie privée et déterminer la protection adéquate (art. 63.5 et 63.6 Loi sur l’accès);
- Tenir un registre des incidents de confidentialité (art. 63.11 Loi sur l’accès);
- Respecter les règles entourant la communication des renseignements personnels sans le consentement de la personne concernée (art.67.2.1 et 67.2.2 Loi sur l’accès);
- Anonymiser les renseignements personnels pour les utiliser à des fins d’intérêt public (art.73 Loi sur l’accès).
Incorporer ces exigences dans le cadre d’un comité de sélection
Dans le cadre d’un appel d’offres soumis au processus d’évaluation qualitative des soumissions, les membres du comité de sélection reçoivent des informations et des renseignements personnels qu’ils ont l’obligation de protéger. Il est impératif d’informer ceux-ci des nouvelles obligations découlant de la Loi 25.
Voici un énoncé de bonnes pratiques à adopter :
- Établir le rôle et les responsabilités du responsable de la protection des renseignements personnels au sein de la Municipalité;
- Incorporer les règles encadrant la protection des renseignements personnels dans les demandes de soumissions, notamment la communication des renseignements personnels sans consentement pour fin d’étude, recherche ou production de statistiques;
- Intégrer à la procédure encadrant le travail du comité des lignes directrices sur les sujets suivants :
- Le rôle et les responsabilités des membres à l’égard de la protection des renseignements personnels;
- Les mesures de sécurité à mettre en place afin de prévenir ou de traiter un incident de confidentialité;
- Former les membres du comité sur les notions de protection de renseignements personnels;
- Tenir une rencontre préliminaire avec les membres du comité pour faire un rappel des mesures qui concernent la protection des renseignements personnels;
- Prévoir un processus particulier pour la situation où le comité est composé de membres externes à l’organisation;
- Sensibiliser les élus·es et les membres du personnel municipal quant à leur obligation de protéger l’identité des membres du comité de sélection.
En conclusion
Les nouvelles obligations mises en place par la Loi 25 en matière de protection des renseignements personnels requièrent que les municipalités adoptent une série de mesures pour s’y conformer. La municipalité, en tant que responsable des renseignements personnels qu’elle détient, doit veiller à leur protection. Lorsqu’un comité de sélection est formé afin d’analyser des soumissions reçues dans le cadre d’un processus d’appel d’offres suivant un système de pondération et d’évaluation qualitative des offres, celui-ci se doit lui aussi d’appliquer les mesures afin de protéger les renseignements personnels contenus dans les documents analysés.
Pour un accompagnement personnalisé, n’hésitez pas à communiquer avec le Service d’assistance juridique de la Fédération québécoise des municipalités (FQM) à saj@fqm.ca.
[1] Adopté par Décret 744-2023 le 3 mai 2023.
ÉCRIT PAR :