Protection des renseignements personnels

Aux fins de la présente politique, les expressions ou les termes suivants ont la signification ci-dessous énoncée :

Conseil : Désigne le Conseil des maires de la MRC de Beauharnois-Salaberry.

Cycle de vie : Désigne l’ensemble des étapes d’existence d’un renseignement détenu par la MRC et plus précisément sa création, sa modification, son transfert, sa consultation, sa transmission, sa conservation, son archivage, son anonymisation ou sa destruction.

Loi sur l’accès : Désigne la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, chapitre A -2,1).

Personne concernée : Désigne toute personne physique pour laquelle la MRC collecte, détient, communique à un tiers, détruit ou rend anonyme, un ou des renseignements personnels.

Renseignement personnel : Toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement — soit par combinaison avec d’autres informations.

Date d’entrée en vigueur : 17 janvier 2024

La présente politique témoigne de l'engagement de la MRC à mettre en œuvre les mécanismes nécessaires pour faciliter l'accès aux documents et protéger les renseignements personnels, sensibles ou confidentiels qu'elle détient. Elle vise à :

• Énoncer les principes encadrant la gouvernance de la MRC à l’égard des renseignements personnels tout au long de leur cycle de vie et de l’exercice des droits des personnes concernées;
• Établir diverses mesures administratives relatives à l’application de la politique (formations, responsabilités, gestion des plaintes).

Champ d'application

La politique concerne les données directement ou indirectement recueillies par la MRC dans le cadre de ses activités ou de la mise en œuvre d’un programme dont elle a la gestion. La politique s’applique aux citoyens, aux employés, aux utilisateurs, aux partenaires ou à toute autre personne qui souhaite connaître les modalités de traitement des données collectées à son sujet.

Cadre normatif

La présente politique, son interprétation, son application, sa validité et ses effets sont assujettis aux lois applicables en vigueur au Québec. Cette politique repose également sur le cadre normatif suivant :

• Code municipal du Québec (RLRQ, chapitre C27.1)
• Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, chapitre A-2.1);
• Loi sur les archives (RLRQ, chapitre A-21.1)
• Règlement numéro 295 établissant les règles d’éthique et de déontologie des employés de la MRC
• Politique d’utilisation des ressources informatiques de la MRC
• Politique de gestion intégrée des ressources documentaires

La MRC ne collecte que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des renseignements personnels, la MRC détermine les fins de leur traitement et veille à ne recueillir que les renseignements personnels strictement nécessaires aux fins indiquées.

La collecte de renseignements personnels se fait auprès de la personne concernée. Au moment de la collecte, et par la suite sur demande, la MRC indique clairement les fins pour lesquelles les renseignements sont recueillis, l'utilisation qui en sera faite et les catégories de personnes qui y auront accès.

Sous réserve des exceptions prévues à la Loi sur l’accès, la MRC ne procède pas à la collecte de renseignements personnels sans avoir préalablement obtenu le consentement de la personne concernée. Ce consentement doit être donné à des fins spécifiques, pour une durée nécessaire à la réalisation des fins pour lesquelles il est demandé. Le consentement de la personne concernée doit être :

a) Manifeste : ce qui signifie qu’il est évident et certain ;

b) Libre : ce qui signifie qu’il doit être exempt de contraintes ;

c) Éclairé : ce qui signifie qu’il est pris en toute connaissance de cause.

Si la personne auprès de laquelle des renseignements personnels sont recueillis est une personne âgée de moins de 14 ans, le consentement doit être obtenu de son parent ou de son tuteur.

Envoi non sollicité de renseignements personnels

La MRC ne souhaite pas recevoir de renseignements personnels ou de nature confidentielle par le biais de son site Web ou par courrier électronique en dehors du cadre spécifiquement prévu à cet effet, c’est-à-dire par le biais d’une entente de gré à gré, d’un formulaire ou d’une page Web sécurisés et conçus à cet effet ou sur demande expresse de sa part. Tous les renseignements ou autres documents qui pourraient être acheminés à la MRC en dehors d’un tel cadre sont considérés comme non confidentiels.

Échange de courriels avec la MRC

Toute personne qui transmet un courriel à la MRC reconnait et accepte que les courriers électroniques qui sont envoyés à la MRC ne sont pas nécessairement sous le contrôle de cette dernière et que ces mêmes courriers électroniques ne sont pas nécessairement protégés avant d’arriver à destination sur les serveurs de la MRC. La confidentialité des renseignements ainsi transmis ne peut être assurée avant que ceux-ci soient effectivement reçus dans les serveurs de la MRC.

Renseignements recueillis sur le Web par le truchement des fichiers témoins

Lors d’une connexion au site Web de la MRC, un message demandant d’autoriser la présence de fichiers témoins supplémentaires apparaîtra. Si le visiteur accepte, les renseignements suivants pourront alors être communiqués à la MRC : les pages Web visitées, le temps passé sur chaque page, l’information envoyée ou reçue et le nom des fichiers téléchargés vers l’amont ou vers l’aval.

La MRC n’est pas responsable de la sécurité et de la confidentialité des hyperliens publiées sur sa page Internet.

La MRC restreint l’utilisation de tout renseignement personnel aux fins pour lesquelles il a été recueilli et pour lesquelles elle a obtenu le consentement de la personne concernée, le tout sous réserve des exceptions définies aux articles 65.1 et suivants de la Loi sur l’accès.

Seul le personnel autorisé et qualifié ayant besoin de consulter des renseignements personnels dans l’exercice de leurs fonctions y a accès.

La MRC exige que tout employé ayant accès à ces renseignements personnels s’engage à respecter la présente politique, la Politique d’utilisation des ressources informatiques ainsi que le Règlement numéro 295 établissant les règles d’éthique et de déontologie des employés de la MRC.

La MRC prend les mesures raisonnables afin que les renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

La MRC établit et maintient à jour un inventaire de ses fichiers de renseignements personnels, dont le contenu est défini par l’article 76 de la Loi sur l’accès.

Sous réserve de ce que prévoient les lois applicables, toute personne qui en fait la demande a droit d'accès aux renseignements personnels la concernant. Elle peut demander à ce que ces renseignements soient corrigés, détruits ou qu'ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.

Toute demande d'accès ou de rectification doit être adressée à la MRC par l’un des moyens suivants :

• Par courriel : En envoyant un courriel à l’adresse info@mrcbhs.ca
• Par la poste : En faisant parvenir votre demande à l’adresse suivante :

Responsable de l’accès à l’information
MRC de Beauharnois-Salaberry
2, rue Ellice
Beauharnois QC J6N 1W6

Lorsque des renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d'un mandat ou d'un contrat de service, la MRC établira, par le biais d’un contrat écrit, les modalités suivantes :

a) Les mesures prises pour assurer la confidentialité des renseignements;

b) Les mesures prises pour que ces renseignements ne soient utilisés que dans le cadre du mandat ou l'exécution du contrat;

c) Les mesures prises pour assurer que les renseignements ne soient pas conservés après l'expiration du mandat ou du contrat;

d) Un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué.

Le mandataire ou le fournisseur doit aviser sans délai le responsable de la protection des renseignements personnels de tout incident de confidentialité, peu importe sa teneur. Lorsque les renseignements personnels sont communiqués à des tiers ou à des tiers hors du Québec, la MRC procède selon les modalités prévues à la Loi.

Sous réserve de l’utilisation énoncée dans la présente Politique, la MRC s’engage à ne pas vendre ou partager lesdites données avec des tiers, sauf dans les cas suivants :

a) si une loi habilitante l’exige ou l’autorise;

b) si cette divulgation est requise dans le cadre de toute procédure judiciaire, aux fins de prouver ou de protéger ses droits.

La MRC indique, dans les registres exigés par la Loi sur l’accès, toute information relative à la transmission de renseignement personnel à un tiers.

La MRC s’engage à prendre tous les moyens raisonnables afin d’assurer un niveau adéquat de confidentialité et de sécurité des renseignements personnels qu’elle détient. Lorsque la MRC le juge nécessaire ou approprié, elle a recours à des outils ou des programmes de cryptage et d’authentification, ou à toute autre méthode afin de protéger les renseignements personnels qu’elle conserve ou entend conserver sur ses serveurs, systèmes de gestion informatique ou bases de données.

Si la MRC a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’elle détient s’est produit, elle prendra les mesures raisonnables afin de diminuer les risques qu’un préjudice soit causé à la personne concernée et éviter que de nouveaux incidents de même nature ne se produisent.

Si l’incident présente un risque qu’un préjudice sérieux soit causé, la MRC avisera la Commission d’accès à l’information ainsi que toute personne dont un renseignement personnel est concerné par l’incident, conformément aux exigences définies par la Loi sur l’accès.

Malgré ce qui précède, puisqu’aucun système informatique n’offre, à ce jour, une sécurité absolue et qu’une part de risque est toujours présente lorsque l’on transmet des renseignements personnels via Internet, les personnes s’adressant à la MRC via ce canal de communication comprennent et reconnaissent que la MRC ne peut être tenue responsable de toute violation de confidentialité (piratage, virus, perte, vol ou altération) impliquant des renseignements personnels transmis ou hébergés sur ses systèmes ou ceux d’un tiers.

Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve de la Loi sur les archives (RLRQ, chapitre A- 21.1), et suivant les délais prévus au calendrier de conservation et aux règles de gestion documentaire de la MRC.

La personne responsable de la protection des renseignements personnels et le greffier-trésorier veilleront à ce que les procédures applicables à la destruction et à l’anonymisation des documents soient respectées, conformément à l’article 199 du Code municipal du Québec (RLRQ, chapitre C27.1).