La Loi sur l’accès prévoit qu’un organisme public doit constituer un comité sur l’accès à l’information et la protection des renseignements personnels. Ce comité est notamment chargé de soutenir l’organisme public dans ses responsabilités et ses obligations en ces matières.
Le comité doit relever :
- De la personne ayant la plus haute autorité au sein de l’organisme public;
- Du sous-ministre, dans le cas d’un ministère;
- Du directeur général, dans le cas d’une municipalité, d’un ordre professionnel ou d’un centre de services scolaire.
La personne détenant la plus haute autorité au sein de l’organisme public n’est pas tenue de présider le comité ou d’en faire partie, mais elle demeure responsable de son bon fonctionnement. Elle doit donc être informée de ses activités et intervenir lorsque nécessaire.
Le comité est composé :
- De la personne responsable de l’accès aux documents;
- De la personne responsable de la protection des renseignements personnels;
- De toute autre personne dont l’expertise est requise, comme le responsable de la sécurité de l’information ou le responsable de la gestion documentaire.
Le comité de chaque organisme public doit assumer les responsabilités suivantes :
- Approuver les règles de l’organisme public encadrant sa gouvernance à l’égard des renseignements personnels;
- Prendre part à l’évaluation des facteurs relatifs à la vie privée dès le début d’un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.
À toute étape de ces projets, le comité pourra suggérer des mesures de protection des renseignements personnels telles que :
- la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
- des mesures de protection des renseignements personnels dans tout document relatif au projet, comme un cahier des charges ou un contrat;
- une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
- la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.
Organismes devant former un comité et exclusions
En principe, tous les organismes publics visés par la Loi sur l’accès doivent constituer un comité sur l’accès à l’information et la protection des renseignements personnels. Toutefois, selon le Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels (en vigueur depuis le 1er juin 2023), les organismes suivants n’ont pas cette obligation :
- Le lieutenant-gouverneur;
- L’Assemblée nationale;
- Tout organisme public qui employait 50 salariés ou moins au cours de l’année civile précédente. La notion de « salarié » est définie par le règlement aux fins de son application.
Dans le cas de ces organismes, les fonctions confiées au comité par la Loi sur l’accès sont alors exercées par le responsable de la protection des renseignements personnels ou par leur directeur général, dans le cas d’une municipalité, d’un ordre professionnel ou d’un centre de services scolaire.
Mise à jour : 31 août 2023