12 octobre 2022
Habituellement, l’acquisition de matériel informatique se fait de la même manière que n’importe quelle autre acquisition, en ce sens qu’il faut évaluer le montant de la dépense et déterminer le mode approprié d’octroi de contrat.
Or, d’importants changements sont à venir en raison d’une modification à la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels (RLRQ, c. A-2.1, ci-après : « Loi sur l’accès ») issue de l’adoption du projet de loi 64 à l’automne 2021. Une bonne partie des nouvelles dispositions sont entrées en vigueur le 22 septembre dernier et d’autres entreront en vigueur les 22 septembre 2023 et 2024.
En effet, ce projet de loi est venu modifier de façon importante les obligations des organismes publics, incluant les municipalités, en matière de protection des renseignements personnels, notamment en ce qui a trait à la collection et à la conservation des données informatisées.
Il est déjà prévu que les municipalités doivent « prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits »1. Toutefois, d’autres responsabilités s’arrimeront bientôt à celles qui sont existantes, notamment la publication de règles de gouvernance à l’égard des renseignements personnels2, d’une politique de confidentialité3, etc.
La Loi sur l’accès prévoit qu’à compter du 22 septembre 2023 :
« Un organisme public doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
[…]
Cet organisme public doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.
[…] »4.
Ainsi, avant de lancer un appel d’offres ou de conclure un contrat de gré à gré pour renouveler les ordinateurs du bureau municipal, il faudra consulter le nouveau comité sur l’accès5 et s’interroger sur la manière dont le matériel requis permet la protection des renseignements personnels et la communication de ces derniers. Certaines de ces exigences devront fort probablement figurer aux devis d’appel d’offres dans le cas d’acquisitions importantes.
Le nouveau comité sur l’accès pourra également exiger la prise de certaines mesures à toute étape d’un tel projet d’acquisition, par exemple, la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet6.
Ainsi, lorsque viendra le temps réfléchir aux besoins de la municipalité en matière d’outils informatiques qui devront interagir avec des renseignements personnels, il sera crucial d’intégrer les nouvelles exigences de la Loi sur l’accès à la réflexion et de garder en tête la protection des renseignements personnels.
[1] Article 63.1 de la Loi sur l’accès actuellement en vigueur
[2] Article 63.3 de la Loi sur l’accès en vigueur le 22 septembre 2023
[3] Article 63.4 de la Loi sur l’accès en vigueur le 22 septembre 2023
[4] Article 63.5 de la Loi sur l’accès en vigueur le 22 septembre 2023
[5] Article 8.1 de la Loi sur l’accès en vigueur le 22 septembre 2022
[6] Article 63.6 de la Loi sur l’accès en vigueur le 23 septembre 2022
ÉCRIT PAR :