Politique relative à la protection des renseignements personnels du ministère du Conseil exécutif

Le ministère du Conseil exécutif (Ministère) est responsable de la protection des renseignements personnels qu’il détient, que leur conservation soit assurée par le Ministère ou par un tiers. 

La présente politique, établie en vertu de l’article 63.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, chapitre A-2.1) (Loi sur l’accès), vise à soutenir le Ministère et son personnel dans l’exercice de ses responsabilités et dans l’exécution des obligations prévues par cette loi.

La présente politique doit être lue de concert avec les autres documents du Ministère encadrant la gouvernance de l’information qu’il détient, tout au long de son cycle de vie, et ce, notamment en matière d’accès aux documents, de sécurité de l’information, de gestion documentaire et de gestion intégrée des risques.

La présente politique s’applique à tous les membres du personnel du Ministère, y compris les gestionnaires, les employés occasionnels, les étudiants et les stagiaires, lorsqu’ils recueillent, utilisent, communiquent, conservent ou détruisent des renseignements personnels dans le cadre de leurs fonctions. Elle s’applique à tous les renseignements personnels, quel que soit leur support, de leur collecte jusqu’à leur destruction.

Renseignements personnels

Les renseignements qui concernent une personne physique et permettent, directement ou indirectement, de l’identifier sont des renseignements personnels (art. 54 de la Loi sur l’accès).

Le nom d’une personne physique n’est pas un renseignement personnel, sauf lorsqu’il est mentionné avec un autre renseignement ou lorsque sa seule mention révèle un renseignement personnel concernant cette personne (art. 56 de la Loi sur l’accès).

Le renseignement personnel qui a un caractère public en vertu de la loi n’est pas un renseignement personnel au sens du présent processus. Il en est de même pour le renseignement personnel qui concerne l’exercice par la personne concernée d’une fonction au sein d’une entreprise ou d’un organisme public, par exemple son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail (art. 55 de la Loi sur l’accès).

Incident de confidentialité

Un incident de confidentialité se produit lorsqu’une personne :

• Accède à un renseignement personnel sans y être autorisée par la loi;
• Utilise un renseignement personnel sans y être autorisée par la loi;
• Communique un renseignement personnel sans y être autorisée par la loi;
• Perd un renseignement personnel ou porte autrement atteinte à sa protection (art. 63.9 de la Loi sur l’accès).

Secrétaire générale et greffière du Conseil exécutif

La secrétaire générale et greffière du Conseil exécutif veille à assurer le respect et la mise en œuvre de la Loi sur l’accès.

Elle veille à faciliter l’exercice des fonctions et responsabilités déléguées à la personne responsable de la protection des renseignements personnels.

Comité et Réseau des répondants

Le Comité de concertation en gouvernance stratégique de l’information exerce au Ministère les fonctions prévues par l’article 8.1 de la Loi sur l’accès afin de le soutenir dans l’exercice de ses responsabilités et dans l’exécution de ses obligations prévues par cette loi.

Ce comité relève de la secrétaire générale et greffière du Conseil exécutif et est coprésidé par le chef délégué à la sécurité de l’information et responsable de la gestion intégrée des risques et par la personne responsable de l’accès à l’information et de la protection des renseignements personnels. Il réunit également les personnes suivantes :

• responsable de la sécurité informatique et directeur de l’informatique,
• responsable opérationnel de cyberdéfense,
• répondante en matière de gestion intégrée des risques,
• responsable de la gestion documentaire,
• responsable de la sécurité physique,
• responsable de l’éthique,
• représentant du comité d’audit interne,
• représentant pour les orientations gouvernementales en matière d’accès à l’information et de protection des renseignements personnels,
• responsable des communications numériques gouvernementales.

Dans l’exercice de son mandat, le comité prend en compte l’ensemble des orientations, des encadrements et des enjeux relatifs à toutes les étapes du cycle de vie de l’information détenue par le Ministère afin de dégager une vision commune et d’élaborer des outils de travail concertés. 

À l’égard de la protection des renseignements personnels, le Comité veille au respect des obligations du Ministère. Il établit les priorités d’action en vue de favoriser une culture organisationnelle axée sur les bonnes pratiques en matière de protection des renseignements personnels. Son mandat vise également à :

• Assurer la concertation et la coordination des actions en matière de protection des renseignements personnels avec celles relatives à la sécurité de l’information, à l’accès à l’information, à la gestion documentaire et à la gestion intégrée des risques au Ministère;
• Examiner et formuler à la secrétaire générale et greffière du Conseil exécutif des recommandations concernant les orientations, les politiques, les directives, les cadres de gestion, les plans d’action et les bilans ainsi que toute proposition d’action ou tout état d’avancement de projets;
• Analyser et formuler des recommandations concernant les événements ayant mis ou qui auraient pu mettre en péril la protection des renseignements personnels, tels les incidents de confidentialité;
• Favoriser une meilleure connaissance à l’égard de la protection des renseignements personnels au sein du Ministère par l’intermédiaire d’activités de formation et de sensibilisation;
• Promouvoir les orientations, les directives et les décisions concernant la protection des renseignements personnels.

Il est également consulté pour tout projet impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Ce comité peut également suggérer des mesures de protection des renseignements personnels applicables à ce projet.

Le Comité est soutenu par un réseau de répondants en gouvernance stratégique de l’information, composé de représentants de chacun des secteurs du Ministère. Celui-ci a pour mandat, à l’égard de la protection des renseignements personnels, de :

• Coordonner les collectes de données relatives à la protection des renseignements personnels détenus par leur secteur;
• Participer à l’identification des informations sensibles détenues par leur secteur et des risques auxquels elles sont exposées (p. ex. : classification des actifs informationnels);
• Contribuer à la diffusion des bonnes pratiques en matière de protection des renseignements personnels dans leur secteur.

Responsable de la protection des renseignements personnels

Au ministère, les fonctions de responsable de la protection des renseignements personnels sont déléguées à la directrice du soutien stratégique qui exerce la fonction de responsable de l’accès à l’information et de la protection des renseignements personnels au sein du Secrétariat du Conseil exécutif. Celle-ci exerce notamment les fonctions suivantes :

• Assurer le traitement des demandes de communication ou de rectification relatives aux renseignements personnels;
• Conseiller le Ministère afin d’assurer la protection des renseignements personnels tout au long de leur cycle de vie, soit de leur collecte jusqu’à leur destruction;
• Effectuer les redditions de comptes requises en matière de protection des renseignements personnels;
• Assurer la tenue des registres et inventaires en matière de protection des renseignements personnels prévus par la Loi sur l’accès;
• Prendre part à tout projet du Ministère dans lequel la protection des renseignements personnels devrait être prise en compte, notamment en ce qui concerne l’évaluation des facteurs relatifs à la vie privée lorsque celle-ci est requise en vertu de la Loi sur l’accès;
• Émettre des avis en matière de protection des renseignements personnels pour tout projet du Ministère qui implique des renseignements personnels, notamment en matière de sondage, de développement et de refonte de systèmes d’information ou de prestation électronique de services ou lors d’incidents de confidentialité;
• Veiller à la sensibilisation et à la formation du personnel, y compris le personnel de direction ou d’encadrement, sur les obligations et les bonnes pratiques en matière de protection des renseignements personnels.

Gestionnaires

Dans l’exercice de leurs responsabilités relatives à la protection des renseignements personnels, les gestionnaires bénéficient du soutien des membres du Comité de concertation en gouvernance stratégique de même que l’appui de la représentante ou du représentant de leur secteur au sein du réseau des répondants.

À l’égard de la protection des renseignements personnels, ils ont pour fonction ce qui suit :

• Formuler des attentes spécifiques pour le personnel en matière de protection des renseignements personnels et offrir du soutien aux employés dans la gestion des renseignements personnels auxquels ils ont accès dans l’exercice de leurs fonctions;
• Respecter les mesures de sécurité mises en place par le Ministère et prendre les mesures raisonnables, relevant de leurs attributions, propres à assurer la protection des renseignements personnels tout au long de leur cycle de vie;
• Obtenir les consentements requis avant la collecte de tout renseignement personnel nécessaire à l’exercice des fonctions qui leur sont confiées et s’assurer que ces renseignements personnels sont utilisés aux fins prévues et uniquement pour la durée requise;
• Collaborer avec le Comité et la personne responsable de la protection des renseignements personnels dans le cadre de leurs rôles et responsabilités (incident de confidentialité, inventaire des fichiers de renseignements personnels, tenue des registres, reddition de compte et autres obligations légales);
• Aviser le Comité de tout projet de leur secteur qui implique des renseignements personnels, notamment ceux d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui collecte, utilise, conserve, communique ou détruit des renseignements personnels et assurer la mise en place des mesures recommandées par ce dernier;
• Réaliser les évaluations de facteurs de risques à la vie privée lorsque requises par la Loi sur l’accès;
• Collaborer au processus d’analyse des plaintes sur la protection des renseignements personnels et mettre en œuvre les recommandations.

Tous les membres du personnel

Afin d’assurer le respect des obligations prévues à la Loi sur l’accès et le développement, dans une optique d’amélioration continue, d’une culture de travail favorable à la protection des renseignements personnels, l’implication de chaque membre du personnel est nécessaire. Chacun doit :

• Accéder uniquement aux renseignements personnels nécessaires à l’exercice de ses attributions et assurer le respect des mesures de protection applicables à ces renseignements;
• Veiller à ce que les renseignements personnels utilisés dans le cadre de ses fonctions soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont collectés ou utilisés;
• Aviser sans délai son gestionnaire et l’équipe de la sécurité de l’information, selon les processus mis en place au Ministère, s’il a des motifs de croire qu’un incident de confidentialité s’est produit;
• Obtenir l’avis de la personne responsable de la protection des renseignements personnels pour l’élaboration de sondages, ou pour tout autre questionnement relatif à la protection des renseignements personnels;
• Informer la personne responsable de la protection des renseignements personnels de toute nouvelle communication de renseignements personnels envisagée et appliquer les recommandations formulées en vue de cette communication;
• Participer aux activités de formation et de sensibilisation aux évaluations des facteurs relatifs à la vie privée lorsque requis ainsi qu’aux collectes de renseignements requises aux fins de reddition de compte.

Collecte

Le Ministère ne collecte que les renseignements personnels qui sont nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion, sous réserve des exceptions prévues par la Loi sur l’accès.

Au sein du Ministère, des renseignements personnels sont recueillis principalement aux fins suivantes :

• communications entre les citoyens et les services à la clientèle;
• mise en œuvre de certains programmes de financement;
• tenue de sondages ou lors de l’inscription à des communications numériques;
• gestion des ressources humaines;
• traitement des candidatures aux postes affichés;
• amélioration continue de l’offre de services;
• évaluation de la prestation de services à la clientèle;
• respect des obligations légales;
• mise en place des mesures requises lors des situations d’urgence.

Il est possible de consulter les politiques de confidentialité du Ministère pour en savoir plus sur le type de renseignements personnels recueillis lors de la navigation sur ses sites Web ainsi que sur la façon dont ces données sont gérées et utilisées.

Consentement

Lorsqu’il collecte des renseignements personnels, le Ministère s’assure d’obtenir un consentement de la personne concernée qui respecte les critères prévus par l’article 53.1 de la Loi sur l’accès. Ce consentement doit être :

• Manifeste : il doit être évident, certain, indiscutable et ne laisser aucun doute sur la volonté exprimée par la personne concernée.
• Libre : le consentement est donné sans contrainte.
• Éclairé : le libellé doit être précis et rigoureux permettant à la personne concernée de consentir en toute connaissance de cause.
• Donné à des fins spécifiques : le consentement doit être demandé pour chacune de ses fins et ne peut être général ni englober plusieurs fins. La personne concernée doit pouvoir comprendre et choisir pour quelles fins elle désire consentir.
• D’une durée déterminée : le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles la personne concernée a consenti.  

Conformément à l’article 65 de la Loi sur l’accès, le Ministère indique à la personne concernée, lors de la collecte et par la suite sur demande, les informations suivantes :

• que la collecte est effectuée par le Ministère;
• les fins pour lesquelles les renseignements sont recueillis;
• les moyens par lesquels les renseignements sont recueillis;
• le caractère obligatoire ou facultatif de la demande;
• les conséquences pour la personne concernée d’un refus de répondre à la demande de renseignements;
• le droit d’accès et de rectification de la personne concernée prévu par la Loi sur l’accès.

Le Ministère s’assure que le consentement est manifesté de façon expresse dès que le renseignement personnel concerné est sensible, c’est-à-dire lorsque, de par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.

Utilisation

Le Ministère utilise les renseignements personnels qu’il détient uniquement aux fins pour lesquelles ils ont été recueillis. L’article 65.1 de la Loi sur l’accès prévoit néanmoins que le Ministère peut utiliser les renseignements personnels collectés sur une personne à une autre fin que celle prévue initialement s’il :

• Obtient le consentement de la personne concernée.
  Ou
• Sans son consentement, dans l’un ou l’autre des cas prévus au deuxième alinéa de l’article 65.1 de la Loi sur l’accès, lorsque l’utilisation projetée est :
  • compatible avec les fins pour lesquelles ils ont été recueillis;
  • manifestement au bénéfice de la personne concernée;
  • nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;
  • nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les renseignements personnels sont dépersonnalisés.

Le Ministère privilégie l’utilisation de renseignements personnels dépersonnalisés lorsque possible.

Quand des renseignements personnels sont communiqués à des fournisseurs de services pour qu’ils puissent rendre les services prévus, le Ministère s’assure notamment que les contrats sont écrits et qu’ils stipulent clairement les exigences relatives aux mesures qui doivent être prises pour protéger les renseignements communiqués. Il veille, entre autres, à ce que ses fournisseurs utilisent les renseignements personnels uniquement pour fournir les services retenus et qu’un engagement de confidentialité soit rempli, le cas échéant.

Communication

Lorsque des renseignements personnels sont communiqués à un tiers ou à un autre organisme, le Ministère s’assure que :

• La personne concernée a consenti à cette communication, à moins que cette utilisation ne soit autrement autorisée par la Loi sur l’accès;
• Des mesures de sécurité ont été convenues dans le cadre d’une entente avec l’organisme public concerné ou précisées dans le contrat avec le tiers;
• Les renseignements sont communiqués de manière sécuritaire, par exemple au moyen d’une plateforme d’échange ou d’un courriel sécurisé;
• Cette communication est inscrite dans le registre approprié, lorsque requis.

De plus, la communication des renseignements personnels ne peut s’effectuer que si le Ministère fait une évaluation des facteurs relatifs à la vie privée qui conclut que les critères prévus par la Loi sur l’accès sont respectés.

Conservation

Le Ministère applique les normes de sécurité de l’information reconnues par le gouvernement du Québec afin de protéger les renseignements personnels détenus pendant toute la durée de leur conservation, en s’assurant qu’elles sont raisonnables, compte tenu notamment de leur sensibilité et du contexte de leur utilisation.

Le Ministère révise périodiquement ces mesures de sécurité pour s’assurer qu’elles sont bien appliquées, qu’elles sont encore pleinement efficaces et qu’elles conviennent toujours compte tenu de l’évolution de ses systèmes et des technologies de l’information.

Le Ministère a également établi des procédures de détection et de gestion des incidents de sécurité qui incluent les incidents de confidentialité impliquant des renseignements personnels. Les membres du personnel du Ministère sont tenus de déclarer tout incident présumé ou avéré.

Les renseignements personnels sont conservés tant et aussi longtemps qu’ils sont nécessaires pour mener les activités et offrir des services aux personnes concernées. Ils sont, par la suite, conservés pendant la période supplémentaire prévue aux règles de conservation approuvées par Bibliothèque et Archives nationales du Québec, le cas échéant.

Destruction

Le Ministère détruit de façon sécuritaire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis sont accomplies conformément à l’article 73 de la Loi sur l’accès, sous réserve des lois applicables quant à leur conservation.

Le Ministère a également établi des procédures de détection et de gestion des incidents de sécurité qui incluent les incidents de confidentialité impliquant des renseignements personnels. Les membres du personnel du Ministère sont tenus de déclarer tout incident présumé ou avéré.

Le Comité de concertation en gouvernance stratégique de l’information a mandaté la personne responsable de la protection des renseignements personnels afin qu’elle fournisse des avis en la matière pour tout sondage qui recueille ou qui utilise des renseignements personnels au Ministère.

Afin de respecter cette obligation, toute unité administrative du Ministère doit obtenir un avis sur la protection des renseignements personnels avant d’effectuer un sondage.

Le Ministère a mis en place un processus de collaboration entre les unités administratives concernées pour s’assurer que tout projet de sondage respecte les obligations prévues par la Loi sur l’accès et les orientations du Ministère à l’égard de la collecte, de l’utilisation, de la conservation et de la destruction des renseignements personnels. La nécessité du sondage et l’évaluation de son aspect éthique sont également prises en compte dans le cadre de ce processus.

Le Ministère offre à son personnel des activités de formation continue et ponctuelle, visant à assurer un niveau de connaissances appropriées et le développement d’habiletés en matière de protection des renseignements personnels, soit notamment :

• La sensibilisation à l’accueil du personnel;
• La mise en place de divers outils, gabarits, aide-mémoires applicables à différents aspects de l’encadrement relatif à la protection des renseignements personnels;
• La tenue de rencontres de formation par la personne responsable de la protection des renseignements personnels auprès des secteurs du Ministère et du Réseau des répondants en gouvernance stratégique de l’information;
• L’organisation de formations portant sur des enjeux propres à certains secteurs d’activité du Ministère en matière de protection des renseignements personnels;
• La diffusion, par l’entremise du Ministère, de capsules de sensibilisation et d’invitations à l’autoformation en ligne sur l’intranet du Ministère.

Toute personne a le droit, dans la mesure prévue par la loi, d’accéder aux renseignements personnels détenus à son égard par le Ministère et de les faire rectifier en cas d’inexactitude.

Il est possible de faire parvenir une demande en ce sens au Ministère au moyen d’une demande d’accès à l’information.

Le Ministère s’engage à porter une attention particulière à la qualité des services qu’il rend à la population. Si vous souhaitez formuler une plainte à l’égard du traitement ou de la protection de vos renseignements personnels détenus par le Ministère, vous êtes invités à consulter le processus de gestion des plaintes décrit ci-dessous.

Champ d’application

Ce processus concerne toute plainte relative à la gestion ou aux mesures de protection mises en place à l’égard des renseignements personnels détenus par le ministère du Conseil exécutif (le Ministère) ainsi que le traitement qu’il effectue des incidents de confidentialité pouvant impliquer de tels renseignements.

Le présent processus ne s’applique pas notamment à l’égard des plaintes relatives aux sujets suivants, lesquelles sont régies par des processus distincts :

• La qualité de la prestation des services rendus par le Ministère ou un membre de son personnel à l’égard des citoyens;
• Le traitement des demandes d’accès effectuées en vertu de la Loi sur l’accès et les décisions rendues dans le cadre de ces demandes;
• L’adjudication ou l’attribution d’un contrat public.

Gestion des plaintes 

Toute personne sur laquelle le Ministère détient des renseignements personnels, incluant les membres de son personnel, peut déposer une plainte.

Comment formuler une plainte

Vous devez déposer votre plainte par écrit ou par courriel.

La plainte doit contenir les renseignements suivants :

• nom de la plaignante ou du plaignant;
• coordonnées pour joindre cette personne;
• motifs de cette plainte et faits l’entourant.

Traitement d’une plainte

La personne responsable de l’accès aux documents et de la protection des renseignements personnels assure le traitement des plaintes. S’il y a un conflit d’intérêts, c’est alors la secrétaire générale associée et greffière adjointe du Conseil exécutif qui s’en charge. La personne responsable est tenue à la discrétion dans l’exercice de ses fonctions. Elle assure la confidentialité de l’identité de la personne qui porte plainte ainsi que des renseignements qui lui sont communiqués. Elle ne communique que les renseignements nécessaires au traitement de la plainte, et ce, uniquement aux personnes à qui cette communication est requise dans le cadre du processus de traitement de la plainte.

Tout membre du personnel du Ministère saisi d’une plainte relative à la protection des renseignements personnels doit la transmettre, dès sa réception, à la personne responsable de l’accès aux documents et de la protection des renseignements personnels.

Également, tout membre du personnel du Ministère qui reçoit une plainte verbale doit informer la plaignante ou le plaignant du présent processus et l’inviter à faire parvenir sa plainte par écrit à la personne responsable de l’accès aux documents et de la protection des renseignements personnels.

Un dossier est ouvert pour chaque plainte formulée. La personne responsable analyse d’abord la recevabilité de la plainte puis, si elle est recevable, elle l’examine. Une fois l’analyse de la plainte terminée, une réponse finale, écrite et motivée est transmise à la personne qui a déposé la plainte.

Accusé de réception

La personne responsable de l’accès aux documents et de la protection des renseignements personnels accuse réception de la plainte dans les dix jours suivant sa réception.

Dans le cas d’une plainte recevable, l’accusé de réception contient les renseignements suivants :

• Une description de la plainte reçue;
• Le nom et les coordonnées de la personne responsable du traitement de la plainte;
• Dans le cas d’une plainte incomplète, un avis comportant une demande de complément d’information à laquelle la plaignante ou le plaignant doit répondre dans un délai fixé, à défaut de quoi la plainte est réputée abandonnée;
• Le délai dans lequel la plainte sera traitée, soit 60 jours de la réception de la plainte ou 60 jours suivant la réception du complément d’information demandé.

Dans le cas d’une plainte irrecevable, l’accusé de réception contient :

• Une description de la plainte reçue;
• Le nom et les coordonnées de la personne responsable du traitement de la plainte;
• La conclusion indiquant que la plainte est irrecevable et les motifs appuyant cette conclusion.

Analyse de la plainte

La personne responsable de l’accès aux documents et de la protection des renseignements personnels fait les vérifications nécessaires au traitement de la plainte, communique avec les personnes ou les unités administratives visées par la plainte, le cas échéant, tout en préservant la confidentialité de l’identité de la plaignante ou du plaignant. Elle transmet ensuite une réponse à cette personne dans les 60 jours. Lorsque requis, elle recommande les mesures et les actions nécessaires pour corriger la situation ou éviter que de telles situations se reproduisent.

Lorsque les circonstances le requièrent, la personne responsable rend compte au Comité de concertation en gouvernance stratégique de l’information en lien avec le traitement d’un dossier de plainte.

La présente politique est révisée à l’occasion de changements législatifs, réglementaires ou de toute autre nature qui pourraient la toucher.