Les organismes publics doivent disposer de règles encadrant leur gouvernance à l’égard des renseignements personnels et les diffuser sur leur site Web. Ces règles :
- Doivent avoir été approuvées par le comité sur l’accès à l’information et la protection des renseignements personnels;
- Peuvent prendre la forme d’une politique, d’une directive ou d’un guide;
- Doivent notamment prévoir :
- Les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- Un processus de traitement des plaintes concernant la protection des renseignements personnels;
- Une description des activités de formation et de sensibilisation à la protection des renseignements personnels offerts par l’organisme à son personnel;
- Des mesures de protection particulières à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.
Il s’agit d’exigences minimales. Le contenu et les modalités de ces règles pourraient être éventuellement déterminés par un règlement du gouvernement.
Un organisme public peut communiquer un renseignement personnel concernant une personne décédée à son conjoint ou à l’un de ses proches parents. Il faut cependant que ce renseignement soit susceptible d’aider cette personne dans son processus de deuil. De plus, si la personne décédée a consigné par écrit son refus d’accorder ce droit d’accès, l’organisme public ne peut pas donner suite à la demande des proches.
Mise à jour : 31 août 2023