Aller au contenu

Ministères et organismes publics

Responsabilité des organismes publics

Qui est responsable de la protection des renseignements personnels dans un organisme public?

Votre organisme public est responsable de protéger les renseignements personnels qu'il recueille, détient, utilise, communique et conserve. Il en est donc imputable. Il doit mettre en place des structures et des règles et adopter des pratiques pour les protéger de manière adéquate. 

Responsable de la protection des renseignements personnels

La personne détenant la plus haute autorité au sein d’un organisme public est responsable de l’accès aux documents et de la protection des renseignements personnels. Elle doit assurer le respect et la mise en œuvre de la Loi sur l'accès.

Délégation de la fonction de responsable

L’ensemble ou une partie des fonctions de responsable de la protection des renseignements personnels peut être délégué, par écrit et par la personne détenant la plus haute autorité, à :

  • Un membre de l’organisme public;

  • Un membre du conseil d’administration;

  • Un membre du personnel de direction.

Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important.

Même s’il y a délégation, la personne détenant la plus haute autorité demeure imputable du respect et de la mise en œuvre de la Loi. Elle doit assurer l’autonomie des personnes qu’elle a désignées et leur fournir les ressources nécessaires à l’exercice de leurs fonctions, qu'elles soient :

  • Humaines;

  • Techniques;

  • Financières.

Publication des coordonnées du responsable et avis à la Commission

L’organisme public doit aviser la Commission, par écrit, de l’identité de son responsable dans les meilleurs délais. L’avis doit contenir le nom et le titre de la personne responsable, ses coordonnées et la date de son entrée en fonction.

Vous devez informer la Commission de tout changement à cet égard en remplissant le formulaire de désignation d’une personne responsable et délégation de responsabilités (DOCX, 68,5 Ko).

La Commission, à cet effet, publie une liste des responsables de la mise en oeuvre de la Loi sur l'accès (PDF, 566 Ko).

Fonctions du responsable

Le responsable de la protection des renseignements personnels assume diverses fonctions importantes au sein de l'organisme public.

Répondre aux demandes d'accès et de rectification

Le responsable de la protection des renseignements personnels est chargé de recevoir et d’assurer le traitement des demandes d’accès à des renseignements personnels ou de rectification de ces renseignements. Il doit :

  • Évaluer les demandes et y répondre dans les 30 jours. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission;

  • Prêter assistance, si la demande n'est pas suffisamment précise ou que le requérant le demande, pour identifier le document susceptible de contenir les renseignements recherchés;

  • Lorsqu’il refuse une demande d’accès ou de rectification, motiver le refus en indiquant la disposition législative appropriée et, sur demande d’un requérant, l’aider à comprendre ce refus. Il pourrait, par exemple, participer à une discussion de vive voix;

  • Communiquer les renseignements personnels d’une personne décédée à son conjoint ou à l’un de ses proches parents qui le demande si le fait de connaître ce renseignement est susceptible d’aider cette personne dans son processus de deuil. Une restriction s’applique, cependant, si une personne décédée a préalablement consigné, par écrit, son refus d’accorder ce droit d’accès.

Consultez la page sur les droits des citoyens pour connaître leurs droits en matière de renseignements personnels.

Tenir un registre des utilisations et des communications de renseignements personnels sans consentement

Le responsable de la protection des renseignements personnels a l'obligation de documenter la plupart des utilisations et les communications de renseignements personnels effectuées sans le consentement de la personne concernée. Il doit ainsi :

  • Inscrire, dans un registre, chaque cas où un renseignement personnel est utilisé sans le consentement de la personne concernée :
    • Quand l’utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
    • Quand l’utilisation est manifestement au bénéfice de la personne concernée;
    • Quand l’utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;

  • Inscrire dans un registre, lorsque la Loi le prévoit, chaque cas où un renseignement personnel est communiqué sans le consentement de la personne concernée;

  • Donner accès à ce registre à toute personne qui en fait la demande, sauf si d’autres dispositions de la Loi s’appliquent.

Le responsable doit également consigner, dans un registre, toute communication de renseignements personnels à des tiers susceptibles de diminuer le risque, dans le cas d’un incident de confidentialité.

Participer à l'évaluation des préjudices causés par un incident de confidentialité

Si un organisme estime qu'un incident de confidentialité risque d'engendrer un préjudice aux personnes concenées, il doit consulter son responsable de la protection des renseignements personnels. Pour en savoir plus, consultez la page sur les incidents de confidentialité.

Recevoir et traiter les avis de violation d’obligations de confidentialité des mandataires

Les mandataires ou les exécutants d’un contrat de services doivent aviser sans délai le responsable de la protection des renseignements personnels de l'organisme concernant :

  • Toute violation ou tentative de violation de l’une ou l’autre des obligations touchant à la confidentialité des renseignements personnels qui leur ont été communiqués par l’organisme.

Ils doivent alors permettre au responsable d’effectuer toute vérification concernant cette confidentialité.

Répondre aux demandes des personnes concernant le droit à la portabilité – 2024

À compter du 22 septembre 2024, le responsable devra répondre aux demandes de citoyens portant sur le droit à la portabilité de leurs renseignements personnels.

La portabilité est la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.

Autres tâches

Le responsable doit également :

  • Siéger au comité sur l’accès à l’information et la protection des renseignements personnels;

  • Sensibiliser et former les membres du personnel;

  • Voir à la reddition de comptes en matière de protection des renseignements personnels.

Comité sur l'accès à l'information et la protection des renseignements personnels

Sauf exception, chaque organisme public doit constituer un comité sur l’accès à l’information et la protection des renseignements personnels.

Organismes devant former un comité et exclusions

En principe, tous les organismes publics visés par la Loi sur l’accès doivent constituer un comité sur l’accès à l’information et la protection des renseignements personnels. Toutefois, selon le Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels, les organismes suivants n’ont pas cette obligation :

  • Le lieutenant-gouverneur;

  • L’Assemblée nationale;

  • Tout organisme public qui employait 50 salariés ou moins au cours de l’année civile précédente. La notion de « salarié » est définie par le règlement aux fins de son application.

Dans le cas de ces organismes, les fonctions confiées au comité par la Loi sont alors exercées par le responsable de l'accès aux documents et de la protection des renseignements personnels ou par leur directeur général, dans le cas d’une municipalité, d’un ordre professionnel ou d’un centre de services scolaire.

Composition du comité

Le comité doit relever :

  • De la personne ayant la plus haute autorité au sein de l’organisme public;

  • Du sous-ministre, dans le cas d’un ministère;

  • Du directeur général, dans le cas d’une municipalité, d’un ordre professionnel ou d’un centre de services scolaire.

La personne détenant la plus haute autorité au sein de l’organisme public n’est pas tenue de présider le comité ou d’en faire partie, mais elle demeure responsable de son bon fonctionnement. Elle doit donc être informée de ses activités et intervenir, au besoin.

Le comité est composé :

  • De la personne responsable de l’accès aux documents;

  • De la personne responsable de la protection des renseignements personnels;

  • De toute autre personne dont l’expertise est requise, comme le responsable de la sécurité de l’information ou le responsable de la gestion documentaire.

Fonctions du comité

En plus de devoir assumer ses responsabilités en matière d'accès aux documents, le comité de chaque organisme public doit soutenir l'organisme dans ses responsabilités et ses obligations en matière de protection des renseignements personnels.

Le comité a ainsi les responsabilités suivantes :

  • Approuver les règles de l’organisme public encadrant sa gouvernance à l’égard des renseignements personnels;

  • Prendre part à l’évaluation des facteurs relatifs à la vie privée dès le début d’un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.

À toute étape de ces projets, le comité pourra suggérer des mesures de protection des renseignements personnels telles que :

  • La nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;

  • Des mesures de protection des renseignements personnels dans tout document relatif au projet, comme un cahier des charges ou un contrat;

  • Une description des responsabilités des participants au projet en matière de protection des renseignements personnels;

  • La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

Règles de gouvernance à l'égard des renseignements personnels

Les organismes publics doivent disposer de règles encadrant leur gouvernance à l’égard des renseignements personnels et les diffuser sur leur site Web. 

Contenu des règles de gouvernance

Les règles encadrant la gouvernance d'un organisme à l'égard des renseignements personnels sont les suivantes :

  • Doivent avoir été approuvées par le comité sur l’accès à l’information et la protection des renseignements personnels;

  • Peuvent prendre la forme d’une politique, d’une directive ou d’un guide;

  • Doivent notamment prévoir :
    • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
    • Un processus de traitement des plaintes concernant la protection des renseignements personnels;
    • Une description des activités de formation et de sensibilisation à la protection des renseignements personnels offerts par l’organisme à son personnel;
    • Des mesures de protection particulières à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.

Il s’agit d’exigences minimales. Le contenu et les modalités de ces règles pourraient être éventuellement déterminés par un règlement du gouvernement.

Publication des règles de gouvernance

Les organismes publics doivent publier l'intégralité des règles de gouvernance dans leur site Web. Cette mesure de transparence permet aux citoyens de mieux comprendre la manière dont leurs renseignements personnels sont traités et protégés. 

Évaluation des facteurs relatifs à la vie privée

Dans certaines situations impliquant des renseignements personnels, un organisme public doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Cette obligation vise évidemment à mieux protéger le droit fondamental des citoyens à la vie privée.

Qu'est-ce qu'une EFVP?

L'EFVP est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes. Ce droit fondamental est protégé par la Charte des droits et libertés de la personne.

Concrètement, l'EFVP est une analyse d’impact. Avant d’entamer un projet et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.

Ces facteurs sont :

  • La conformité du projet aux lois applicables en matière de protection des renseignements personnels et le respect des principes l’appuyant;

  • L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;

  • La mise en place de stratégies pour éviter ces risques ou les réduire efficacement et leur maintien dans le temps.

Pourquoi réaliser une EFVP?

L’EFVP a pour objectifs de :

  • Protéger les personnes concernées par un projet, et ce, de la collecte de leurs renseignements personnels à leur destruction;

  • Mettre en place des mesures adéquates pour respecter les obligations en matière de protection des renseignements personnels;

  • Éviter les problèmes que causerait une gestion inadéquate de ces renseignements (incidents de confidentialité, poursuites, atteintes à l’image, etc.).

La réalisation d’une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

En plus de respecter la loi, un organisme qui réalise une EFVP démontre qu’il assume ses responsabilités quant à la protection des renseignements personnels.

Dans quelles situations l'EFVP est-elle obligatoire?

Vous devez réaliser une EFVP dans cinq situations prévues par la Loi sur l'accès. Au-delà des situations pour lesquelles les lois applicables commandent la réalisation d’une EFVP, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.

Communication de renseignements personnels sans consentement à un tiers à des fins d’étude, de recherche ou de production de statistiques

La communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme souhaitant utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques est permise seulement si une EFVP conclut au respect de certains critères.

La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.

Consultez la section sur la communication de renseignements personnels sans consentement à des fins de recherche.

Projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services

Une EFVP est requise pour tout projet lié à un système d’information ou de prestation électronique de services impliquant des renseignements personnels. Il peut s’agir d’un projet d'acquisition, de développement ou de refonte. Dès le début d'un tel projet, aux fins de l'EFVP, l’organisme doit consulter son comité sur l'accès à l'information et la protection des renseignements personnels.

Un système d’information peut revêtir de multiples formes. Il n’est pas nécessairement informatisé, quoique cela soit fréquent. Il peut s’agir entre autres d’un :

  • Système informatique de traitement des dossiers;

  • Logiciel de vidéoconférence ou de collaboration;

  • Système biométrique;

  • Système d’intelligence artificielle;

  • Système de cartes à puce/RFID;

  • Système de vidéosurveillance;

  • Système statistique;

  • Système de gestion de la paie.

 

Un système de prestation électronique de services peut notamment prendre la forme :

  • D’une borne libre-service;

  • D’un service de paiement par RFID/NFC;

  • D’une zone membre d’un site Web;

  • D’un dossier électronique;

  • D’une application mobile.

Communication d’un renseignement personnel à l’extérieur du Québec

Votre organisme doit procéder à une EFVP avant de :

  • Communiquer un renseignement personnel à une entité située à l’extérieur du Québec;

  • Confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, un tel renseignement.

Consultez la section sur la communication de renseignements personnels à l’extérieur du Québec

Collecte pour le compte d'un autre organisme

Un organisme public peut recueillir des renseignements personnels nécessaires à l'exercice des attributions d'un autre organisme public. Il peut également le faire en vue de la mise en œuvre d’un programme d'un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.

  • Par exemple, un organisme peut recueillir un renseignement personnel afin de vérifier l’admissibilité de personnes à un programme qu’il administre.

Les organismes qui collaborent doivent conclure une entente et la transmettre à la Commission.

Autres communications de renseignements personnels sans consentement dans le cadre d'une entente

Plus précisément, une EFVP doit aussi être réalisée avant de communiquer un renseignement personnel sans consentement :

  • À un organisme public ou à un organisme d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;

  • À un organisme public ou à un organisme d’un autre gouvernement pour l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion;

  • À une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;

  • À une personne ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public, notamment aux fins de l’identification de cette personne.

La communication doit être faite dans le cadre d’une entente écrite transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception. Consultez la section sur les ententes de communication.

Guide d'accompagnement à l'EFVP

Pour vous aider à réaliser votre EFVP et à mieux comprendre cette démarche, consultez le Guide d’accompagnement conçu par la Commission (PDF, 1 108 Ko). La Commission propose également un modèle générique de rapport (DOCX, 151 Ko) permettant de rendre compte des résultats d’une EFVP.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left