16 août 2023
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25 ou Projet de loi 64) a été adoptée en septembre 2021, mais l’entrée en vigueur de ses dispositions s’échelonne sur une période de trois ans, soit jusqu’au 22 septembre 2024.
Dans la présente chronique, nous allons examiner les règles de gouvernance des renseignements personnels que tous les organismes publics, incluant les municipalités, les régies intermunicipales et tous les organismes municipaux visés à l’article 5 de la Loi sur l’accès, doivent publier sur leur site internet à partir du 22 septembre 2023.
L’adoption de ces règles doit permettre au personnel de tous les organismes publics de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels qui sont inhérents à l’exercice de leurs fonctions.
L’obligation d’adopter ces règles est intimement liée au principe de responsabilité prévu à l’article 52.2 de la Loi sur l’accès, selon lequel tous les organismes publics sont responsables de la protection des renseignements personnels qu’ils détiennent et ils doivent donc prendre des mesures appropriées pour leur protection.
Ces règles doivent être approuvées par le Comité sur l’accès à l’information et la protection des renseignements personnels de la municipalité, sauf pour les municipalités qui emploient 50 salariés ou moins, puisqu’elles sont exemptées de l’obligation de former ce Comité.
Les règles de gouvernance peuvent prendre la forme d’une politique, d’une directive ou d’un guide, au choix de la municipalité. Selon l’article 63.3 de la Loi sur l’accès, les règles de gouvernance doivent notamment prévoir :
1. Les rôles et responsabilités des membres de son personnel, tout au long du cycle de vie de ces renseignements
Les règles devraient donc décrire les rôles et les responsabilités en matière de collecte, utilisation, communication, conservation et destruction des renseignements personnels, et ce, autant pour la personne responsable de la protection des renseignements personnels que les membres du Comité, mais aussi les autres membres du personnel de la municipalité.
Les règles devraient notamment rappeler le principe émis à l’article 62 de la Loi sur l’accès, à savoir que les renseignements personnels ne sont accessibles qu’aux seules personnes qui ont qualité pour les recevoir au sein de la municipalité et seulement lorsque ces renseignements personnels sont nécessaires à l’exercice de leurs fonctions.
Par d’exemple, le nom d’une personne physique qui a transmis une demande d’accès à la municipalité est un renseignement personnel qui ne devrait être accessible qu’à la personne responsable de l’accès et aux seuls autres membres du personnel pour lesquels ce renseignement est nécessaire au traitement de la demande d’accès. Le nom du demandeur d’accès ne devrait pas être divulgué à tous les membres du personnel de la municipalité qui seront appelés à faire le repérage des documents visés par la demande d’accès;
2. Un processus de traitement des plaintes relatives à la protection des renseignements personnels
La plainte qui peut être déposée à la municipalité en vertu des règles de gouvernance est différente de la demande de révision qui peut être adressée à la Commission d’accès à l’information, lorsqu’une personne est insatisfaite d’une décision relative à une demande de communication ou de rectification de renseignements personnels qui la concerne.
La Loi sur l’accès ne prévoit pas de procédures ou de règles précises que la municipalité doit suivre dans son processus de traitement des plaintes en vertu de ses règles de gouvernance. Les municipalités bénéficient donc d’une latitude pour déterminer le processus de traitement des plaintes qu’elles estiment approprié.
3. Une description des activités de formation et de sensibilisation que l’organisme offre à son personnel en matière de protection des renseignements personnels
4. Des mesures de protection à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage
Un règlement du gouvernement pourra déterminer le contenu et les modalités de ces règles, mais un tel règlement n’a pas encore été adopté.
Le site internet du gouvernement du Québec indique que les thèmes suivants devraient également se retrouver dans les règles de gouvernance :
a) Le processus de traitement d’une demande d’accès à des renseignements personnels ou de rectification;
b) La gestion des incidents de confidentialité;
c) La gestion des accès aux renseignements personnels;
d) La vidéosurveillance;
e) La communication de renseignements personnels lors d’un contrat;
f) Les projets de systèmes d’informations ou de prestations électroniques de services impliquant des renseignements personnels;
g) L’utilisation et la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques.
Une municipalité pourrait décider de répartir ses règles de gouvernance dans plusieurs documents distincts. Par exemple, le processus de traitement des plaintes relatives à la protection des renseignements personnels pourrait être intégré dans une politique générale de la municipalité sur le traitement des plaintes, tandis que les autres règles de gouvernance pourraient se trouver dans une politique spécifique sur les renseignements personnels.
Nous espérons que ces renseignements vous seront utiles pour la rédaction de vos règles de gouvernance qui devront être publiées sur le site Web de votre municipalité au plus tard le 22 septembre 2023.
Bonne rédaction!
ÉCRIT PAR :