Aller au contenu

Ministères et organismes publics

Responsabilité des organismes publics

Qui est responsable de la protection des renseignements personnels dans un organisme public?

Votre organisme public est responsable de protéger les renseignements personnels qu'il recueille, détient, utilise, communique et conserve. Il en est donc imputable. Il doit mettre en place des structures et des règles et adopter des pratiques pour les protéger de manière adéquate. 

Responsable de la protection des renseignements personnels

La personne détenant la plus haute autorité au sein d’un organisme public est responsable de l’accès aux documents et de la protection des renseignements personnels. Elle doit assurer le respect et la mise en œuvre de la Loi sur l'accès.

Délégation de la fonction de responsable

L’ensemble ou une partie des fonctions de responsable de la protection des renseignements personnels peut être délégué, par écrit et par la personne détenant la plus haute autorité, à :

  • Un membre de l’organisme public;

  • Un membre du conseil d’administration;

  • Un membre du personnel de direction.

Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important.

Même s’il y a délégation, la personne détenant la plus haute autorité demeure imputable du respect et de la mise en œuvre de la Loi. Elle doit assurer l’autonomie des personnes qu’elle a désignées et leur fournir les ressources nécessaires à l’exercice de leurs fonctions, qu'elles soient :

  • Humaines;

  • Techniques;

  • Financières.

Publication des coordonnées du responsable et avis à la Commission

L’organisme public doit aviser la Commission, par écrit, de l’identité de son responsable dans les meilleurs délais. L’avis doit contenir le nom et le titre de la personne responsable, ses coordonnées et la date de son entrée en fonction.

Vous devez informer la Commission de tout changement à cet égard en remplissant le formulaire de désignation d’une personne responsable et délégation de responsabilités (DOCX, 68,5 Ko).

La Commission, à cet effet, publie une liste des responsables de la mise en oeuvre de la Loi sur l'accès (PDF, 566 Ko).

Fonctions du responsable

Le responsable de la protection des renseignements personnels assume diverses fonctions importantes au sein de l'organisme public.

Répondre aux demandes d'accès et de rectification

Le responsable de la protection des renseignements personnels est chargé de recevoir et d’assurer le traitement des demandes d’accès à des renseignements personnels ou de rectification de ces renseignements. Il doit :

  • Évaluer les demandes et y répondre dans les 20 jours. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission;

  • Prêter assistance, si la demande n'est pas suffisamment précise ou que le requérant le demande, pour identifier le document susceptible de contenir les renseignements recherchés;

  • Lorsqu’il refuse une demande d’accès ou de rectification, motiver le refus en indiquant la disposition législative appropriée et, sur demande d’un requérant, l’aider à comprendre ce refus. Il pourrait, par exemple, participer à une discussion de vive voix;

  • Communiquer les renseignements personnels d’une personne décédée à son conjoint ou à l’un de ses proches parents qui le demande si le fait de connaître ce renseignement est susceptible d’aider cette personne dans son processus de deuil. Une restriction s’applique, cependant, si une personne décédée a préalablement consigné, par écrit, son refus d’accorder ce droit d’accès.

Consultez la page sur les droits des citoyens pour connaître leurs droits en matière de renseignements personnels.

Communiquer des renseignements dans un format technologique

Le droit à la portabilité permet à toute personne qui le demande d’obtenir ses renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Ceux-ci doivent cependant avoir été recueillis auprès d’elle. Selon les précisions du gouvernement du Québec, un format est dit  "structuré et couramment utilisé" lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues.

Les organismes publics ont l’obligation de s’assurer que tout nouveau projet d’acquisition, de développement, de refonte d’un système d’information ou de prestation électronique de services permette la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé. 

Cette modalité d’exercice du droit d’accès vise à donner plus de contrôle aux individus sur leurs renseignements personnels et à faciliter leurs démarches lorsqu’ils souhaitent obtenir des services auprès d’un autre organisme public. 

Dans ce contexte, une personne peut aussi demander que ses renseignements personnels informatisés soient communiqués dans un format technologique structuré et couramment utilisé à une personne ou un organisme autorisé à les recevoir. 

Pour assurer la protection des renseignements personnels, tout organisme public qui recueille des renseignements personnels, informatisés ou non, est tenu d’évaluer la nécessité de les recevoir en suivant la démarche proposée.  

Actuellement, aucune exigence législative n’impose aux organismes publics l’obligation de se doter de systèmes interopérables. Toutefois, l’interopérabilité constitue un élément crucial pour favoriser un transfert efficace des renseignements personnels, et pour que les personnes concernées puissent pleinement bénéficier du droit à la portabilité. 

À ce propos, dans un contexte d’actualisation de son architecture d’entreprise gouvernementale, le gouvernement du Québec s’est doté d’un cadre commun favorisant l’interopérabilité des systèmes d’information, le Cadre commun d’interopérabilité du gouvernement du Québec en conformité avec les orientations proposées dans la Politique-cadre sur la gouvernance et la gestion des ressources informationnelles organismes publics et la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement. 

Conditions d’application du droit à la portabilité

Pour que s’applique le droit à la portabilité, les renseignements personnels concernés doivent être : 

  • Informatisés 
    • Le droit à la portabilité est limité aux renseignements personnels informatisés, c’est-à-dire organisés et structurés à l’aide de l’informatique.
       
  • Recueillis auprès de la personne concernée
    • Ces renseignements personnels informatisés doivent aussi avoir été recueillis directement ou indirectement auprès de la personne par l’organisme public. Les renseignements recueillis indirectement sont notamment ceux qui sont générés par les activités de la personne concernée, comme l’historique de ses achats, déplacements, habitudes de conduite, etc.   


Les renseignements créés ou inférés sont exclus du droit à la portabilité, car ils n’ont pas été recueillis directement ou indirectement auprès de la personne concernée. Ils sont plutôt générés par l’analyse, l’observation ou obtenus par des algorithmes et des corrélations. 

De même, les renseignements personnels informatisés qu’un organisme public obtient par des tiers sont également exclus du droit à la portabilité. 

Procédure d’accès aux renseignements personnels informatisés

La procédure à suivre pour répondre à une personne demandant à obtenir dans un format technologique structuré et couramment utilisé la communication de ses renseignements personnels informatisés est la même que pour toute demande d’accès ou de rectification

Une personne insatisfaite de la réponse à sa demande peut déposer une demande de révision à la Commission.

De plus, les organismes publics sont tenus de prendre des mesures de sécurité appropriées quand ils transmettent des renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.

Difficultés pratiques sérieuses 

La communication des renseignements personnels dans un format technologique structuré et couramment utilisé ne doit pas entrainer de difficultés pratiques sérieuses pour l’organisme public. La Loi sur l’accès ne définit pas ce que peuvent être « des difficultés pratiques sérieuses ». L’interprétation jurisprudentielle de la Commission concernant cette expression réfère à une analyse au cas par cas. À titre d’exemple, la Commission a déjà conclu que les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme peuvent être considérés comme des « difficultés pratiques sérieuses ». 

Tenir un registre des utilisations et des communications de renseignements personnels sans consentement

Le responsable de la protection des renseignements personnels a l'obligation de documenter la plupart des utilisations et les communications de renseignements personnels effectuées sans le consentement de la personne concernée. Il doit ainsi :

  • Inscrire, dans un registre, chaque cas où un renseignement personnel est utilisé sans le consentement de la personne concernée :
    • Quand l’utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
    • Quand l’utilisation est manifestement au bénéfice de la personne concernée;
    • Quand l’utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;

  • Inscrire dans un registre, lorsque la Loi le prévoit, chaque cas où un renseignement personnel est communiqué sans le consentement de la personne concernée;

  • Donner accès à ce registre à toute personne qui en fait la demande, sauf si d’autres dispositions de la Loi s’appliquent.

Le responsable doit également consigner, dans un registre, toute communication de renseignements personnels à des tiers susceptibles de diminuer le risque, dans le cas d’un incident de confidentialité.

Participer à l'évaluation des préjudices causés par un incident de confidentialité

Si un organisme estime qu'un incident de confidentialité risque d'engendrer un préjudice aux personnes concenées, il doit consulter son responsable de la protection des renseignements personnels. Pour en savoir plus, consultez la page sur les incidents de confidentialité.

Recevoir et traiter les avis de violation d’obligations de confidentialité des mandataires

Les mandataires ou les exécutants d’un contrat de services doivent aviser sans délai le responsable de la protection des renseignements personnels de l'organisme concernant :

  • Toute violation ou tentative de violation de l’une ou l’autre des obligations touchant à la confidentialité des renseignements personnels qui leur ont été communiqués par l’organisme.

Ils doivent alors permettre au responsable d’effectuer toute vérification concernant cette confidentialité.

Autres tâches

Le responsable doit également :

  • Siéger au comité sur l’accès à l’information et la protection des renseignements personnels;

  • Sensibiliser et former les membres du personnel;

  • Voir à la reddition de comptes en matière de protection des renseignements personnels.

Comité sur l'accès à l'information et la protection des renseignements personnels

Sauf exception, chaque organisme public doit constituer un comité sur l’accès à l’information et la protection des renseignements personnels.

Organismes devant former un comité et exclusions

En principe, tous les organismes publics visés par la Loi sur l’accès doivent constituer un comité sur l’accès à l’information et la protection des renseignements personnels. Toutefois, selon le Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels, les organismes suivants n’ont pas cette obligation :

  • Le lieutenant-gouverneur;

  • L’Assemblée nationale;

  • Tout organisme public qui employait 50 salariés ou moins au cours de l’année civile précédente. La notion de « salarié » est définie par le règlement aux fins de son application.

Dans le cas de ces organismes, les fonctions confiées au comité par la Loi sont alors exercées par le responsable de l'accès aux documents et de la protection des renseignements personnels ou par leur directeur général, dans le cas d’une municipalité, d’un ordre professionnel ou d’un centre de services scolaire.

Composition du comité

Le comité doit relever :

  • De la personne ayant la plus haute autorité au sein de l’organisme public;

  • Du sous-ministre, dans le cas d’un ministère;

  • Du directeur général, dans le cas d’une municipalité, d’un ordre professionnel ou d’un centre de services scolaire.

La personne détenant la plus haute autorité au sein de l’organisme public n’est pas tenue de présider le comité ou d’en faire partie, mais elle demeure responsable de son bon fonctionnement. Elle doit donc être informée de ses activités et intervenir, au besoin.

Le comité est composé :

  • De la personne responsable de l’accès aux documents;

  • De la personne responsable de la protection des renseignements personnels;

  • De toute autre personne dont l’expertise est requise, comme le responsable de la sécurité de l’information ou le responsable de la gestion documentaire.

Fonctions du comité

En plus de devoir assumer ses responsabilités en matière d'accès aux documents, le comité de chaque organisme public doit soutenir l'organisme dans ses responsabilités et ses obligations en matière de protection des renseignements personnels.

Le comité a ainsi les responsabilités suivantes :

  • Approuver les règles de l’organisme public encadrant sa gouvernance à l’égard des renseignements personnels;

  • Prendre part à l’évaluation des facteurs relatifs à la vie privée dès le début d’un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.

À toute étape de ces projets, le comité pourra suggérer des mesures de protection des renseignements personnels telles que :

  • La nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;

  • Des mesures de protection des renseignements personnels dans tout document relatif au projet, comme un cahier des charges ou un contrat;

  • Une description des responsabilités des participants au projet en matière de protection des renseignements personnels;

  • La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

Règles de gouvernance à l'égard des renseignements personnels

Les organismes publics doivent disposer de règles encadrant leur gouvernance à l’égard des renseignements personnels et les diffuser sur leur site Web. 

Contenu des règles de gouvernance

Les règles encadrant la gouvernance d'un organisme à l'égard des renseignements personnels sont les suivantes :

  • Doivent avoir été approuvées par le comité sur l’accès à l’information et la protection des renseignements personnels;

  • Peuvent prendre la forme d’une politique, d’une directive ou d’un guide;

  • Doivent notamment prévoir :
    • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
    • Un processus de traitement des plaintes concernant la protection des renseignements personnels;
    • Une description des activités de formation et de sensibilisation à la protection des renseignements personnels offerts par l’organisme à son personnel;
    • Des mesures de protection particulières à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.

Il s’agit d’exigences minimales. Le contenu et les modalités de ces règles pourraient être éventuellement déterminés par un règlement du gouvernement.

Publication des règles de gouvernance

Les organismes publics doivent publier l'intégralité des règles de gouvernance dans leur site Web. Cette mesure de transparence permet aux citoyens de mieux comprendre la manière dont leurs renseignements personnels sont traités et protégés. 

Évaluation des facteurs relatifs à la vie privée

Dans certaines situations impliquant des renseignements personnels, un organisme public doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Cette obligation vise évidemment à mieux protéger le droit fondamental des citoyens à la vie privée.

Qu'est-ce qu'une EFVP?

L'EFVP est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes. Ce droit fondamental est protégé par la Charte des droits et libertés de la personne.

Concrètement, l'EFVP est une analyse d’impact. Avant d’entamer un projet et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.

Ces facteurs sont :

  • La conformité du projet aux lois applicables en matière de protection des renseignements personnels et le respect des principes l’appuyant;

  • L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;

  • La mise en place de stratégies pour éviter ces risques ou les réduire efficacement et leur maintien dans le temps.

Pourquoi réaliser une EFVP?

L’EFVP a pour objectifs de :

  • Protéger les personnes concernées par un projet, et ce, de la collecte de leurs renseignements personnels à leur destruction;

  • Mettre en place des mesures adéquates pour respecter les obligations en matière de protection des renseignements personnels;

  • Éviter les problèmes que causerait une gestion inadéquate de ces renseignements (incidents de confidentialité, poursuites, atteintes à l’image, etc.).

La réalisation d’une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

En plus de respecter la loi, un organisme qui réalise une EFVP démontre qu’il assume ses responsabilités quant à la protection des renseignements personnels.

Dans quelles situations l'EFVP est-elle obligatoire?

Vous devez réaliser une EFVP dans cinq situations prévues par la Loi sur l'accès. Au-delà des situations pour lesquelles les lois applicables commandent la réalisation d’une EFVP, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.

Communication de renseignements personnels sans consentement à un tiers à des fins d’étude, de recherche ou de production de statistiques

La communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme souhaitant utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques est permise seulement si une EFVP conclut au respect de certains critères.

La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.

Consultez la section sur la communication de renseignements personnels sans consentement à des fins de recherche.

Projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services

Une EFVP est requise pour tout projet lié à un système d’information ou de prestation électronique de services impliquant des renseignements personnels. Il peut s’agir d’un projet d'acquisition, de développement ou de refonte. Dès le début d'un tel projet, aux fins de l'EFVP, l’organisme doit consulter son comité sur l'accès à l'information et la protection des renseignements personnels.

Un système d’information peut revêtir de multiples formes. Il n’est pas nécessairement informatisé, quoique cela soit fréquent. Il peut s’agir entre autres d’un :

  • Système informatique de traitement des dossiers;

  • Logiciel de vidéoconférence ou de collaboration;

  • Système biométrique;

  • Système d’intelligence artificielle;

  • Système de cartes à puce/RFID;

  • Système de vidéosurveillance;

  • Système statistique;

  • Système de gestion de la paie.

 

Un système de prestation électronique de services peut notamment prendre la forme :

  • D’une borne libre-service;

  • D’un service de paiement par RFID/NFC;

  • D’une zone membre d’un site Web;

  • D’un dossier électronique;

  • D’une application mobile.

Communication d’un renseignement personnel à l’extérieur du Québec

Votre organisme doit procéder à une EFVP avant de :

  • Communiquer un renseignement personnel à une entité située à l’extérieur du Québec;

  • Confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, un tel renseignement.

Consultez la section sur la communication de renseignements personnels à l’extérieur du Québec

Collecte pour le compte d'un autre organisme

Un organisme public peut recueillir des renseignements personnels nécessaires à l'exercice des attributions d'un autre organisme public. Il peut également le faire en vue de la mise en œuvre d’un programme d'un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.

  • Par exemple, un organisme peut recueillir un renseignement personnel afin de vérifier l’admissibilité de personnes à un programme qu’il administre.

Les organismes qui collaborent doivent conclure une entente et la transmettre à la Commission.

Autres communications de renseignements personnels sans consentement dans le cadre d'une entente

Plus précisément, une EFVP doit aussi être réalisée avant de communiquer un renseignement personnel sans consentement :

  • À un organisme public ou à un organisme d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;

  • À un organisme public ou à un organisme d’un autre gouvernement pour l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion;

  • À une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;

  • À une personne ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public, notamment aux fins de l’identification de cette personne.

La communication doit être faite dans le cadre d’une entente écrite transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception. Consultez la section sur les ententes de communication.

Guide d'accompagnement à l'EFVP

Pour vous aider à réaliser votre EFVP et à mieux comprendre cette démarche, consultez le Guide d’accompagnement conçu par la Commission (PDF, 1 108 Ko). La Commission propose également un modèle générique de rapport (DOCX, 151 Ko) permettant de rendre compte des résultats d’une EFVP.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left