Me Marie-Hélène Savard
Avocate et directrice | Service d’assistance juridique et de la prévention des sinistres
Fédération québécoise des municipalités
_____
Juridiquement, l’année 2023 aura certainement marqué le monde municipal par le nombre impressionnant de modifications législatives, de réformes, de nouvelles obligations légales et de procédures à mettre en place. Parmi celles-ci et s’appliquant à l’ensemble des organismes municipaux, la protection des renseignements personnels s’est imposée comme un défi de taille auquel les membres de la Fédération québécoise des municipalités (FQM) ont investi temps et énergie pour se conformer à la Loi dans les délais prescrits.
En effet, la sanction le 22 septembre 2021 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1] (Loi 25), envoyait le coup de départ de la course à l’implantation des mesures de protection des renseignements personnels, les unes après les autres, selon un calendrier bien établi qui s’étend jusqu’en 2024. En voici quelques-unes.
La constitution d’un comité
En vertu de l’article 8.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[2] (Loi sur l’accès), les organismes municipaux ont l’obligation de former et de mettre en place un comité sur l’accès à l’information et la protection des renseignements personnels. Ce comité est notamment chargé de soutenir le responsable dans l’exécution de ses obligations légales.
Or, bien que cette nouvelle obligation soit entrée en vigueur le 22 septembre 2022, ce n’est qu’en 2023 que le Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels[3] (le Règlement) a été publié dans la gazette officielle pour exclure de l’obligation de former ce comité les municipalités qui employaient, en moyenne, 50 salariés ou moins lors de l’année civile précédente. Notons toutefois que les pompiers sont notamment exclus de ce nombre.
Ce comité relève du directeur général et en cas d’exemption, c’est ce dernier qui est responsable des obligations dévolues par la Loi sur l’accès au comité, le tout, conformément à l’article 4 du Règlement.
Les règles de gouvernance
À l’instar d’autres nouveautés telles que l’obligation de prêter assistance au requérant pour l’aider à bien comprendre la décision du responsable de l’accès, chaque municipalité doit, depuis le 22 septembre 2023, avoir adopté une politique, une directive ou un guide qui contient les règles encadrant la gouvernance de la municipalité à l’égard des renseignements personnels. Le contenu de ces règles est prévu à l’article 63.3 de la Loi sur l’accès et elles doivent être publiées sur le site Web de l’organisme.
Parmi les règles qui doivent se retrouver dans ce document, on retrouve notamment une description des activités de formation et de sensibilisation que la Municipalité offre à son personnel en matière de protection des renseignements personnels, ainsi que les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.
La politique de confidentialité
En plus des règles de gouvernance, l’article 63.4 précise qu’un organisme public qui recueille par un moyen technologique des renseignements personnels doit publier sur son site Web et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Cette obligation est également effective depuis le 22 septembre 2023.
D’ailleurs, le Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique qui détermine le contenu obligatoire de cette politique a récemment été édicté et entrera en vigueur le 1er janvier 2024.
Des outils efficaces et un accompagnement personnalisé par la fqm
Afin d’accompagner ses membres, la FQM a créé une boîte à outils qui permet aux municipalités de s’y retrouver et de se conformer à la Loi. Composée d’un guide sous forme de calendrier, de modèles de politiques, d’une procédure, d’un inventaire et d’un modèle de registre, ces documents sont facilement adaptables en fonction de chacun des organismes municipaux.
D’ailleurs, cette adaptation a tout avantage à être précédée d’une réflexion approfondie afin que les documents adoptés et processus mis en place reflètent parfaitement la réalité qui peut être différente d’une municipalité à une autre. C’est pourquoi le Service d’assistance juridique (SAJ) offre un accompagnement personnalisé aux membres de la FQM et aux assurés du Fonds d’assurance des municipalités du Québec.
Les critères de validité du consentement
Quant aux critères de validité du consentement, les municipalités doivent s’assurer que les huit critères soient respectés. Pour être valide, un consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques, être granulaire, compréhensible et temporaire. Aussi, la demande de consentement doit être présentée de manière distincte.
Le 31 octobre 2023, la Commission d’accès à l’information du Québec a adopté ses lignes directrices qui aident les organismes publics à respecter ces critères prévus à l’article 53.1 de la Loi sur l’accès. Et bien que la loi ait toujours priorité sur les différents guides et documents explicatifs, ceux-ci sont produits dans le but de faciliter la compréhension des organismes municipaux et de clarifier leurs obligations.
Conclusion
Ce texte ne présente que quelques-unes des nouvelles obligations des organismes municipaux en matière de protection des renseignements personnels. Pour un aperçu complet, nous vous invitons à consulter notre Guide d’implantation des règles de gouvernance et des actions à prendre qui se trouve sur le site Web de la FQM.
[1] L.Q.c.25
[2] RLRQ c.A -2.1
[3] RLRQ c.A -2.1, r.3.2