Politique de protection des renseignements personnels
1. Introduction
1.1. Préambule
La Politique sur la protection des renseignements personnels (ci-après la « Politique ») est adoptée en application de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), sanctionnée le 22 septembre 2021, modernisant ainsi l’encadrement applicable à la protection des renseignements personnels.
La Politique traduit l’engagement du Bureau du vérificateur général de la Ville de Montréal (ci-après « BVGM ») à assurer la protection des renseignements personnels qu’il détient dans le respect des exigences de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1) (ci-après la « Loi »).
Elle énonce les principes directeurs de la protection des renseignements personnels et établit les rôles et les responsabilités des parties prenantes.
Rien dans la présente Politique ne vient amoindrir les obligations des membres du personnel du BVGM, d’assurer la sécurité des données qui ne sont pas des renseignements personnels.
1.2. Objectifs
La Politique a pour objectif de préciser la gouvernance à l’égard des renseignements personnels collectés et conservés par le BVGM dans le cadre de ses activités et de renforcer la protection de la vie privée des personnes visées par ceux-ci, de favoriser la transparence et de moderniser l’encadrement applicable à la protection des renseignements personnels.
La Politique vise également à :
- désigner la ou le responsable de la protection des renseignements personnels et définir son rôle et ses responsabilités;
- définir la composition et le mandat du Comité sur l’accès à l’information et la protection des renseignements personnels;
- définir les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- définir le processus de traitement des plaintes relatives à la protection des renseignements personnels;
- décrire les activités de formation et de sensibilisation que le BVGM offre aux membres du personnel en matière de protection des renseignements personnels;
- définir un cadre de gestion des incidents de confidentialité.
1.3.Champs d’application
La présente Politique s’applique à tous les membres du personnel du BVGM. Elle vise tous les documents, tant numériques qu’en format papier, comportant des renseignements personnels qui sont collectés, conservés, utilisés, communiqués et détruits par le BVGM. La Politique s’applique également à toute personne liée au BVGM par un contrat de service.
1.4. Définitions
Dans la Politique, on entend par :
« Calendrier de conservation » : Outil de gestion documentaire qui détermine le traitement et la durée de conservation des documents du BVGM.
« Collecte » : Toute opération par laquelle un renseignement personnel est obtenu, incluant sa création.
« Commission d’accès à l’information » ou « CAI » : Commission responsable de veiller à l’application de la Loi ainsi qu’au respect et la promotion de l’accès aux documents et de la protection des renseignements personnels.
« Confidentiel » : Propriété d’un renseignement de n’être accessible qu’aux personnes ou entités désignées et autorisées et de n’être divulguée qu’à celles-ci.
« Détenu » : Propriété d’un renseignement qui a été collecté et conservé et qui n’a pas encore été détruit.
« Fichier de renseignements personnels » : Une collection de renseignements personnels organisée pour répondre à un besoin du BVGM dans le cadre de ses fonctions.
« Fonctions » : L’ensemble des activités effectuées par les membres du personnel afin d’accomplir les tâches, tant habituelles que ponctuelles, qui leur sont confiées au sein du BVGM.
« Inventaire des fichiers de renseignements personnels » ou « Inventaire » : Description de l’ensemble des fichiers de renseignements personnels détenus par le BVGM tenue par la ou le responsable de la protection des renseignements personnels.
« Membre du personnel » : Toute personne à l’emploi du BVGM et qui en reçoit un traitement ou un salaire, qu’elle soit permanente ou occasionnelle.
Ne sont cependant pas des membres du personnel les personnes qui effectuent une tâche ou un mandat en vertu d’un contrat de service et qui ne sont soumises à aucun lien de subordination.
« Renseignement personnel » : Tout renseignement qui concerne une personne physique et qui permet de l’identifier directement ou indirectement. Le nom d’une personne n’est pas un renseignement personnel, sauf lorsqu’il est mentionné avec un autre renseignement personnel la concernant ou lorsque sa seule mention révélerait un renseignement personnel concernant cette personne.
« Sécurité » : Le respect du niveau de confidentialité de l’information, tant sur format numérique que sur papier, le maintien de son intégrité et de sa disponibilité tout au long de son cycle de vie.
« Traitement d’un renseignement personnel » : Collecte, conservation, utilisation, communication et destruction d’un renseignement personnel.
2. Énoncés de principe
Le BVGM est responsable de la protection des renseignements personnels qu’il détient et reconnaît l’importance d’assurer la protection des renseignements personnels qui lui sont confiés dans le cadre de ses fonctions. À cet effet, le BVGM s’assure que la collecte et la détention des renseignements personnels sont limitées à ce qui est nécessaire, que leur conservation est faite de façon organisée, que les mesures de sécurité raisonnables propres à assurer leur protection sont mises en œuvre et que leur destruction est effectuée de façon confidentielle à la fin de leur cycle de vie.
Sauf s’ils sont désignés comme ayant un caractère public par la Loi, les renseignements personnels sont confidentiels. En conséquence, même au sein du BVGM, ils sont seulement accessibles ou divulgués aux personnes qui y sont autorisées par la présente politique et les documents normatifs qui en découlent.
La personne concernée peut autoriser le BVGM et les membres de son personnel à utiliser et/ou communiquer les renseignements collectés en donnant son consentement éclairé.
En outre, le BVGM et les membres de son personnel peuvent utiliser ou communiquer un renseignement personnel en l’absence du consentement de la personne concernée, dans les cas prévus à la Loi, notamment dans le cadre d’ententes contractuelles et dans les situations d’urgence. Ces utilisations et communications sont limitées à ce qui est nécessaire et documentées à des fins de transparence. Lorsque de telles communications sont récurrentes, le BVGM favorise la conclusion d’ententes permettant d’encadrer les obligations respectives des parties à l’égard des renseignements personnels échangés.
Finalement, le BVGM met en place les moyens pour permettre à une personne d’être informée de l’existence d’un renseignement personnel la concernant détenu par le BVGM, d’en recevoir communication ou d’en demander la rectification, conformément à la Loi.
Pour assurer la bonne mise en œuvre des principes ci-haut énoncés, le BVGM s’assurera que les membres de son personnel sont formés en conséquence et qu’ils ont à leur disposition les outils nécessaires, notamment sous la forme de directives et de procédures, pour guider le traitement des renseignements personnels dans le cadre de leurs fonctions.
3. Rôles et responsabilités
- La vérificatrice ou le vérificateur général veille à assurer le respect et la mise en œuvre de la Loi.
- La vérificatrice ou le vérificateur général est responsable de la protection des renseignements personnels.
- La vérificatrice ou le vérificateur général veille à la protection des renseignements personnels détenus par le BVGM.
- La vérificatrice ou le vérificateur général est responsable de l’application de la Politique.
- La vérificatrice ou le vérificateur général s’assure de la diffusion sur le site Internet du BVGM des documents et renseignements prévus par la Loi.
- Un comité sur l’accès à l’information et la protection des renseignements personnels (CAIPRP) est mis en place afin de renforcer la protection des renseignements personnels et favoriser l’harmonisation des pratiques qui guident les actions et influencent les stratégies.
- Les employés du BVGM sont tenus de veiller à la protection des renseignements personnels et de l’information confidentielle.
4. Comité sur l’accès à l’information et la protection
des renseignements personnels
4.1. Composition
Le CAIPRP est composé des personnes suivantes :
- La ou le responsable de la protection des renseignements personnels;
- La ou le répondant en matière de la protection des renseignements personnels;
- La ou le responsable de la sécurité de l’information;
- La ou le responsable de la gestion documentaire;
- Toute autre personne dont l’expertise est requise.
4.2. Responsabilités
Les responsabilités du CAIPRP sont notamment de :
- soutenir le BVGM dans l’exercice de ses responsabilités et dans l’exécution de ses obligations;
- définir et approuver les orientations en matière de protection des renseignements personnels;
- approuver les règles de gouvernance;
- rendre un avis et suggérer des mesures de protection sur tout projet d’acquisition, de développement et de refonte du système d’information, incluant l’instauration d’une nouvelle technologie;
- planifier et assurer la réalisation d’activités de formation complémentaires à celles offertes par la Ville de Montréal;
- promouvoir les orientations, les directives et les décisions formulées par la Commission d’accès à l’information;
- évaluer annuellement le niveau de protection des renseignements personnels.
5. Responsabilités des membres du personnel
du Bureau du vérificateur général de la Ville de Montréal
Les membres du personnel du BVGM s’assurent que la collecte, la conservation, l’utilisation, la communication et la destruction des renseignements personnels respectent la présente Politique et les documents normatifs qui en découlent ainsi que les directives transmises par la personne responsable de la protection des renseignements personnels. Plus précisément, les membres du personnel s’assurent :
Collecte
- que toute collecte soit limitée aux seuls renseignements nécessaires à la réalisation des activités du BVGM ;
- que la personne concernée soit informée, au moment de la collecte, des fins pour lesquelles les renseignements collectés seront utilisés ;
- que le consentement de la personne concernée soit dûment obtenu et conservé pour toute la durée de conservation des renseignements y étant associés ;
Conservation
- que les renseignements sont à jour pour les fins pour lesquelles ils sont utilisés ;
- de limiter la conservation aux seuls renseignements personnels nécessaires à la réalisation des activités du BVGM ;
- de collaborer avec le Service des ressources humaines (« SRH ») pour s’assurer que les membres du personnel aient signé tout engagement de confidentialité et suivi toute formation jugée nécessaire par le SRH ou la personne responsable de la protection des renseignements personnels;
- de veiller à la sécurité des renseignements personnels conservés, avec l’appui de la personne responsable de la sécurité de l’information, en ce qui a trait à l’analyse de la sécurité des installations physiques et des supports informatiques, à l’implémentation des mesures de sécurité et à la surveillance des supports informatiques ;
- de veiller à la sécurité des renseignements personnels conservés, avec l’appui de la personne responsable de la gestion documentaire, en ce qui a trait à la sécurité des installations physiques ;
- de rapporter immédiatement tout incident affectant la confidentialité des renseignements personnels aux personnes responsables de la protection des renseignements personnels et de la sécurité de l’information et collaborer à la gestion de l’incident;
- d’intégrer les notions de protection des renseignements personnels et de sécurité de l’information dès la conception de tout projet ayant une incidence sur les renseignements personnels détenus par le BVGM, en sollicitant l’avis de la personne responsable de la sécurité de l’information et, au besoin, de la personne responsable de la protection des renseignements personnels;
- de communiquer les informations nécessaires à la tenue de l’inventaire des fichiers de renseignements personnels à la personne responsable de la protection des renseignements personnels;
Utilisation
- que toute utilisation de renseignements par les membres du personnel soit justifiée par le consentement donné par la personne concernée ou expressément prévue aux documents normatifs découlant de la présente Politique ;
- que l’accès aux renseignements soit limité aux seules personnes autorisées, en limitant les droits d’accès des membres du personnel à ce qui est nécessaire à leurs fonctions ;
Communication
- que la communication de renseignements soit autorisée par le consentement de la personne concernée ou expressément prévue aux documents normatifs découlant de la présente Politique ;
- que soient systématiquement documentées les communications effectuées sans le consentement de la personne concernée, selon la manière prescrite aux documents normatifs découlant de la présente Politique ;
Destruction
- de s’assurer de ne pas conserver de renseignements personnels au-delà de ce qui est nécessaire, dans le respect du calendrier de conservation ;
- de déterminer les fins pour lesquelles les renseignements personnels sont collectés, conservés, utilisés, communiqués et détruits ;
- les moyens utilisés pour la destruction des renseignements personnels doivent être irrémédiables et ne doivent pas permettre la reconstruction de ceux-ci.
Les membres du personnel peuvent adresser toute question relative à la mise en œuvre de leurs responsabilités à la personne responsable de la protection des renseignements personnels.
6. Fichiers de renseignements personnels
Le BVGM établit et maintient à jour un inventaire de ses fichiers de renseignements personnels.
Cet inventaire doit contenir les indications suivantes :
- La désignation de chaque fichier, les catégories de renseignements qu’il contient, les fins pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier ;
- La provenance des renseignements versés à chaque fichier ;
- Les catégories de personnes concernées par les renseignements versés à chaque fichier ;
- Les catégories de personnes qui ont accès à chaque fichier dans l’exercice de leurs fonctions ;
- Les mesures de sécurité prises pour assurer la protection des renseignements personnels.
7. Formation des membres du personnel du Bureau du vérificateur général de la Ville de Montréal en vue de la protection des renseignements personnels
La ou le responsable de la protection des renseignements personnels établit le contenu et le choix des formations complémentaires dispensées, en sus de celles offertes par la Ville de Montréal à tous les membres du personnel, et détermine la fréquence à laquelle ces derniers doivent suivre toute formation établie.
Les activités de formation ou de sensibilisation incluent notamment la :
- sensibilisation à l’embauche sur l’importance de la protection des renseignements personnels et les actions à prendre dans le cadre du travail ;
- la formation à tous les membres du personnel sur la mise en œuvre de la présente politique ;
- la formation aux membres du personnel utilisant un nouvel outil informatique impliquant des renseignements personnels ;
- la formation sur les mises à jour de la présente politique ou des mesures de sécurité des renseignements personnels, le cas échéant.
8. Incidents de confidentialité
Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
S’il a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, le BVGM doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Le BVGM assure la gestion de tout incident de confidentialité conformément à la procédure de gestion des incidents de confidentialité dont font partie les règles suivantes :
- Tout incident de confidentialité avéré ou potentiel doit être rapporté le plus rapidement possible au responsable de la protection des renseignements personnels par toute personne qui s’en rend compte ;
- La ou le responsable de la protection des renseignements personnels doit réviser l’information rapportée afin de déterminer s’il s’agit d’un incident de confidentialité et dans l’affirmative :
- Inscrire l’information pertinente au registre des incidents de confidentialité ;
- Aviser la CAI et toute personne concernée par l’incident de confidentialité ;
- Identifier et recommander l’application de mesures d’atténuation appropriées, le cas échéant.
9. Traitement des plaintes
Toute personne visée par un renseignement personnel collecté, conservé, utilisé, communiqué ou détruit par le BVGM peut déposer une plainte à la personne responsable de la protection des renseignements personnels en cas de manquement aux obligations prévues à la présente Politique ou aux directives et procédures qui en découlent de la manière suivante :
- Une plainte ne peut être considérée uniquement que si elle est faite par écrit par une personne physique qui s’identifie;
- Une telle demande est adressée à la personne responsable de la protection des renseignements personnels du BVGM;
- La ou le responsable de la protection des renseignements personnels avise par écrit la requérante ou le requérant de la date de la réception de sa plainte et indique les délais pour y donner suite;
- La personne responsable de la protection des renseignements personnels donne suite à une plainte avec diligence et au plus tard dans les vingt jours suivant la date de sa réception;
- Si le traitement de la plainte dans le délai prévu de la présente Politique paraît impossible à respecter sans nuire au déroulement normal des activités du BVGM, la ou le responsable de la protection des renseignements personnels peut, avant l’expiration de ce délai, le prolonger d’une période raisonnable et en donne avis à la requérante ou au requérant, par tout moyen de communication permettant de joindre ce dernier;
- Dans le cadre du traitement de la plainte, la ou le responsable de la protection des renseignements personnels peut communiquer avec la plaignante ou le plaignant et faire une enquête interne;
- À l’issue de l’examen de la plainte, la ou le responsable de la protection des renseignements personnels transmet à la plaignante ou au plaignant une réponse finale écrite et motivée;
- Si la plaignante ou le plaignant n’est pas satisfait de la réponse obtenue ou du traitement de sa plainte, elle ou il peut s’adresser par écrit à la CAI.
10. Dispositions finales
10.1. Entrée en vigueur
La présente Politique entre en vigueur à la date approuvée par la vérificatrice ou le vérificateur général et abroge toute politique antérieure.
10.2. Révision
La Politique devrait faire l’objet d’un exercice de révision annuel impliquant les différents acteurs afin de s’assurer de son efficacité ainsi que de sa conformité vis-à-vis de la Loi.