Directive concernant les règles de gouvernance à l’égard de la protection des renseignements personnels du ministère du Tourisme

Préambule

Le ministère du Tourisme (Ministère) est responsable de la protection des renseignements personnels qu’il détient, que leur conservation soit assurée par le Ministère ou par un tiers.

Afin de le soutenir dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels  (RLRQ, chapitre A-2.1), ci-après Loi sur l’accès, un comité sur l’accès à l’information et sur la protection des renseignements personnels a été formé en septembre 2022.

La présente directive s’inscrit dans l’élaboration des règles encadrant la gouvernance à l’égard des renseignements personnels, lesquelles ont été recommandées par ce comité le 20 février 2023 avant d’être soumises aux instances du Ministère.

Finalement, la présente directive doit être révisée à l’occasion de changements réglementaires et législatifs ou de toute autre nature qui pourraient la toucher.

Comme définis dans le Cadre de gouvernance et d’application en matière de protection des renseignements personnels.

Responsable de l’accès aux documents et de la protection des renseignements personnels (RADPRP)

La sous-ministre, soit la personne ayant la plus haute autorité au sein du Ministère, veille à assurer le respect et la mise en œuvre de la Loi sur l’accès. Elle exerce la fonction de responsable de l’accès aux documents et celle de responsable de la protection des renseignements personnels (article 8 de cette loi).

Au Ministère, ces fonctions sont déléguées à la personne occupant la fonction de secrétaire générale (article 8, al.2 de cette loi).

Fonctions légales

• Assurer le traitement des demandes d’accès;
• Porter assistance aux demandeurs;
• Assurer la protection des renseignements personnels tout au long du cycle de vie de ceux-ci, soit de la collecte jusqu’à leur destruction;
• Assurer la mise en œuvre du Règlement sur la diffusion de l’information et sur la protection des renseignements personnels (RLRQ, chapitre A-2.1, r. 2);
• Effectuer les redditions de comptes requises en matière d’accès aux documents et de protection des renseignements personnels.

Fonctions administratives

• Respecter les obligations législatives, administratives et réglementaires;
• Accroître la transparence des documents et des renseignements;
• Prendre part à toute question relative à l’accès aux documents ou à la protection des renseignements personnels;
• Veiller à la sensibilisation et à la formation du personnel, y compris le personnel de direction ou d’encadrement, sur les obligations et les pratiques en matière d’accès aux documents et de protection des renseignements personnels;
• Agir à titre de représentant auprès des autres organismes publics et de la Commission d’accès à l’information pour toutes les questions relatives à l’accès aux documents et à la protection des renseignements personnels.

Comité sur l’accès à l’information et la protection des renseignements personnels

Au sein du Ministère, un comité sur l’accès à l’information et la protection des renseignements personnels (CAIPRP) est chargé de soutenir la personne responsable de l’accès aux documents et de la protection des renseignements personnels (RADPRP) dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la Loi sur l’accès.

Ce comité, constitué en vertu de l’article 8.1 de cette loi ainsi que de l’article 2 du Règlement sur la diffusion de l’information et sur la protection des renseignements personnels (RLRQ, chapitre A-2.1, r. 2), contribue à assurer une saine gestion de l’accès aux documents et de la protection des renseignements personnels au sein d’un organisme public.

Le comité relève de la personne ayant la plus haute autorité au sein du Ministère, la sous-ministre.

Mandat

• Soutenir le Ministère dans l’exercice de ses responsabilités et dans l’exécution de ses obligations;
• Promouvoir les orientations, les directives et les décisions formulées par la Commission d’accès à l’information;
• Définir et approuver les orientations en matière de protection des renseignements personnels;
• Formuler des recommandations sur les mesures particulières à respecter quant aux sondages qui recueillent ou utilisent des renseignements personnels;
• Évaluer annuellement le niveau de protection des renseignements personnels et mettre en place des mesures de mitigation au besoin;
• Planifier et assurer la réalisation des activités de formation;
• Agir à titre de cellule de crise en cas d’incident de confidentialité impliquant un ou des renseignements personnels et appliquer les processus de gestion de crise;
• Contribuer à accroître la transparence des documents et des renseignements, notamment au moyen de recommandations à la sous-ministre.
• Approuver des règles de gouvernance d’un organisme public à l’égard de la protection des renseignements personnels;
• Être consulté dès le début d’un projet inhérent à la collecte ou au traitement de renseignements personnels et, aux fins de l’évaluation des facteurs relatifs à la vie privée pour tous projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels.
  • À toutes les étapes du projet, le comité peut également suggérer :
    • la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
    • la tenue d’une évaluation des risques d’atteinte à la protection des renseignements personnels;
    • la mise en place de mesures de protection des renseignements personnels dans les documents relatifs au projet (ex. : un cahier des charges ou un contrat);
    • l’élaboration d’une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
    • la tenue d’activités de formation sur la protection des renseignements personnels à l’intention des participants du projet.
• Approuver des règles de gouvernance d’un organisme public à l’égard de la protection des renseignements personnels;
• Être consulté dès le début d’un projet inhérent à la collecte ou au traitement de renseignements personnels et, aux fins de l’évaluation des facteurs relatifs à la vie privée pour tous projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels.
  À toutes les étapes du projet, le comité peut également suggérer :
  • la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
  • la tenue d’une évaluation des risques d’atteinte à la protection des renseignements personnels;
  • la mise en place de mesures de protection des renseignements personnels dans les documents relatifs au projet (ex. : un cahier des charges ou un contrat);
  • l’élaboration d’une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
  • la tenue d’activités de formation sur la protection des renseignements personnels à l’intention des participants du projet.

Structure

En vertu de l’article 8.1 de la Loi sur l’accès, le CAIPRP doit minimalement être composé de personnes qui occupent les fonctions suivantes :

• Responsable de l’accès aux documents et de la protection des renseignements personnels (RADPRP) :
  Cette personne assure le secrétariat du CAIPRP et convoque les membres du comité à la demande du sous‑ministre. Elle peut déléguer la préparation de l’ordre du jour et la rédaction des comptes rendus.
• Responsable de la sécurité de l’information :
  Cette personne communique les orientations, les exigences, les risques et les priorités d’intervention gouvernementales en matière de sécurité de l’information.
• Responsable de la gestion documentaire :
  Cette personne s’assure que le système de gestion documentaire répond le plus fidèlement possible aux recommandations et exigences approuvées par le CAIPRP en matière de rédaction, d’entreposage et de conservation des dossiers numériques, physiques et des renseignements personnels.
• Responsable de l’audit et de la gestion des risques :
  Cette personne contribue à la préparation des évaluations des facteurs relatifs à la vie privée et s’assure de la cohérence des actions entreprises avec la méthode de gestion des risques adoptée au Ministère. Elle se retire des discussions lors d’un conflit avec ses fonctions de responsable de l’audit interne.

À ces fonctions, le Ministère ajoute celles de responsable de l’éthique et de responsable des communications.

• Responsable de l’éthique :
  Cette personne veille à l’intégration de l’éthique dans les processus de gestion de l’accès à l’information et de la protection des renseignements personnels.
• Responsable des communications :
  Cette personne fournit des conseils en matière de communications au CAIPRP quant aux cadres, aux politiques et aux actions à mettre en œuvre en ce qui a trait à l’information et/ou à la protection des renseignements personnels.

Enfin, il importe de préciser qu’un conseiller juridique ainsi que tout autre membre du personnel ayant une expertise sur un sujet soumis à l’analyse du CAIPRP pourraient être appelés à siéger au comité.

• Conseiller juridique :
  Interpellée au besoin, cette personne fournit des conseils juridiques au CAIPRP quant aux cadres, aux politiques et aux actions à mettre en œuvre en matière d’accès à l’information et/ou de protection des renseignements personnels.
• Tout autre membre du personnel :
  Interpellée au besoin, cette personne fournit une expertise sur un sujet précis soumis à l’analyse du CAIPRP.

Membres du personnel

Les membres du personnel doivent respecter le code d’éthique en vigueur au Ministère. En vertu de l’article 3 du Règlement sur l’éthique et la discipline dans la fonction publique  (RLRQ, chapitre F-3.1.1, r. 3), le fonctionnaire a l’obligation de respecter la confidentialité des renseignements dont il prend connaissance dans l’exercice de ses fonctions, ce qui inclut les renseignements personnels. Une offre de service-conseil est proposée aux membres du personnel afin de les sensibiliser aux pratiques recommandées en matière de gestion des renseignements personnels.

Collecte

Au sein du Ministère, des renseignements personnels sont recueillis principalement :

• lors de communications avec nos services à la clientèle (ex. : gestion des plaintes, accueil touristique);
• dans le cadre de certains programmes de financement;
• en vertu de la Loi sur l’hébergement touristique;
• à l’occasion de certains sondages ou lors de l’inscription à des communications numériques;
• lorsque vous travaillez au sein du Ministère.

Ces renseignements sont recueillis et utilisés afin de permettre au Ministère de réaliser la mission qui lui est confiée, notamment pour :

• communiquer avec la population et les entreprises touristiques;
• traiter les candidatures aux postes affichés;
• permettre la participation aux programmes du Ministère;
• améliorer en continu l’offre de services;
• évaluer la prestation de services à la clientèle;
• offrir des informations et des contenus utiles pour promouvoir les services et programmes;
• respecter les obligations légales et réglementaires;
• prendre les mesures requises lors des situations d’urgence;
• détecter ou prévenir les infractions ou les crimes.

Le Ministère recueille uniquement les renseignements personnels qui sont nécessaires aux fins visées.

De plus, lorsque nous recueillons des renseignements personnels, nous précisons les utilisations envisagées.

Il est possible de consulter nos politiques de confidentialité pour en savoir plus sur le type de renseignements personnels que nous recueillons lors de la navigation sur nos sites Web ainsi que sur la façon dont ces données sont utilisées.

Consentement

Le Ministère s’engage à obtenir le consentement des personnes concernées par les renseignements personnels avant leur utilisation et à indiquer les conséquences suivant un refus de consentement. Dès lors, la personne concernée aura accès à toute l’information nécessaire pour prendre une décision éclairée. À tout moment après l’obtention du consentement, il demeure possible de le retirer.

Utilisation

Les renseignements personnels ne sont utilisés qu’aux fins indiquées lors de la collecte. Pour tout autre usage, les responsables du projet demanderont un consentement supplémentaire au préalable.

Il importe toutefois que vous sachiez que la loi nous permet d’utiliser vos renseignements personnels sans votre consentement dans certaines situations :

• lors de la transmission à des partenaires et à des fournisseurs de services qui traitent ces renseignements personnels pour le compte du Ministère, notamment en matière d’hébergement de données;
• aux autorités réglementaires, ministères et organismes gouvernementaux qui nous le demandent en vertu de pouvoirs qui leur sont accordés par la loi ou lorsque ces renseignements sont nécessaires à l’application d’une loi ou à la mise en œuvre d’un programme dont ils ont la gestion;
• aux services policiers si ces renseignements sont nécessaires à une enquête qu’ils mènent ou si ces renseignements sont visés par un mandat de perquisition ou une ordonnance de communication;
• à un procureur si les renseignements sont nécessaires aux fins d’une poursuite pour infraction à une loi que cet organisme est chargé d’appliquer ou au Directeur des poursuites criminelles et pénales si les renseignements sont nécessaires aux fins d’une poursuite pour infraction à une loi applicable au Québec;
• à un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois, si les renseignements sont nécessaires aux fins d’une poursuite pour infraction à une loi applicable au Québec;
• à des fins de recherche, une fois que les renseignements personnels ont été dépersonnalisés;
• à toute personne ou à tout organisme susceptibles de diminuer un risque suivant un incident de confidentialité impliquant un renseignement personnel, en ne lui communiquant que les renseignements personnels nécessaires à cette fin;
• à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée ou afin de prévenir un acte de violence lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable et que la nature de la menace inspire un sentiment d’urgence.

Quand des renseignements personnels sont communiqués à des fournisseurs de services pour qu’ils puissent rendre les services prévus, le Ministère s’assure que les contrats écrits conclus avec eux stipulent clairement les exigences quant aux mesures qu’ils doivent prendre pour protéger les renseignements. Entre autres, nous veillons à ce que nos fournisseurs utilisent vos renseignements personnels uniquement pour fournir les services retenus.

Évaluation des facteurs relatifs à la vie privée

Au sein du Ministère, tous les projets de sondage recueillant des renseignements personnels, les projets ciblant une clientèle externe ainsi que les projets informatiques de grande envergure doivent effectuer une évaluation des facteurs relatifs à la vie privée qui détaille, le cas échéant :

• la nécessité de communiquer des renseignements personnels permettant d’identifier les personnes concernées pour atteindre l’objectif de l’étude, de la recherche ou de la production de statistiques;
• l’impossibilité d’obtenir le consentement des personnes concernées;
• les bienfaits plus importants de l’objectif de l’étude, de la recherche ou de la production de statistiques pour l’intérêt public que les répercussions de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
• les mesures mises en place pour assurer la confidentialité des renseignements personnels;
• la portée et l’ampleur des renseignements communiqués.

Ces évaluations sont par la suite présentées et approuvées au CAIPRP, qui propose des mesures afin de bien encadrer les projets et d’assurer la protection des renseignements personnels qu’ils contiennent. Une évaluation éthique du projet peut aussi être demandée à cette étape du processus.

Conservation

Le Ministère applique les normes de sécurité de l’information reconnues par le gouvernement du Québec afin de protéger les renseignements personnels détenus pendant toute la durée de leur conservation.

Quand nous décidons des mesures à mettre en œuvre, nous nous assurons qu’elles sont raisonnables, compte tenu de certains facteurs, notamment la sensibilité des renseignements personnels en question et le contexte de leur utilisation.

Les mesures de sécurité que nous prenons se répartissent en trois grandes catégories :

1. Mesures de sécurité technologiques
   Exemples : pare-feu, gestion des privilèges d’accès aux renseignements, cryptage des renseignements.
2. Mesures de sécurité physiques
   Exemples : verrouillage des classeurs et restrictions d’accès aux locaux.
3. Mesures de sécurité organisationnelles
   Exemples : politiques, procédures, formation et sensibilisation en matière de sécurité de l’information, formation d’un comité en accès à l’information chargé de valider et de mettre à jour les processus organisationnels, vérifications de fiabilité et d’intégrité, procédures d’identification et d’authentification lors de la connexion sur les actifs du Ministère.

Nous révisons périodiquement ces mesures de sécurité pour nous assurer qu’elles sont bien appliquées, qu’elles sont encore pleinement efficaces et qu’elles conviennent toujours compte tenu de l’évolution de nos systèmes et des technologies de l’information.

Nous avons également établi des procédures de détection et de gestion des incidents de sécurité qui incluent les incidents de confidentialité impliquant des renseignements personnels. Les membres du personnel du Ministère sont tenus de déclarer tout incident présumé ou avéré.

Durée de conservation

Les renseignements personnels sont conservés tant et aussi longtemps que nécessaire par le Ministère en vue de mener des activités et d’offrir des services, puis pendant la période supplémentaire prévue par les règles de conservation approuvées par Bibliothèque et Archives nationales du Québec. Ce délai additionnel permet de remplir certaines exigences législatives ou réglementaires ou de produire les renseignements en preuve dans l’éventualité où le Ministère serait parti à une réclamation ou à une poursuite.

Si vous avez des questions sur le délai de conservation applicable à une situation particulière, n’hésitez pas à vous adresser à l’équipe responsable de l’accès à l’information et de la protection des renseignements personnels.

Droit à la rectification

L’ensemble des citoyennes et des citoyens ont le droit d’accéder à leurs renseignements personnels afin de les connaître et de les rectifier en cas d’inexactitude.

Il est possible de faire parvenir une demande en ce sens au Ministère au moyen d’une demande d’accès à l’information . À ce moment, nous procéderons à l’identification de la personne à l’aide d’une preuve d’identité.

Le ministère du Tourisme s’engage à porter une attention particulière à la qualité des services qu’il rend à la population Si vous souhaitez formuler une plainte à l’égard du traitement et/ou de la protection de vos renseignements personnels détenus par le Ministère, nous vous invitons à consulter notre page Web Gestion des plaintes .

Le Ministère compte sur l’appui de l’Association des professionnels en accès à l’information et en protection de la vie privée afin de se former et de concevoir des outils qui lui permettent de se conformer aux nouvelles obligations législatives. Parmi les activités de formation, notons les suivantes :

• la participation régulière des responsables en accès à l’information et en protection des renseignements personnels à des formations pour étendre leurs connaissances en la matière;
• la tournée des directions du Ministère pour présenter les principes de base en matière de protection des renseignements personnels;
• la création d’un réseau de répondants en protection des renseignements personnels au sein des directions du Ministère pour discuter de cas précis;
• l’élaboration d’un module de formation à l’accueil du personnel (à venir);
• la participation de membres clés du personnel à des formations portant sur des enjeux propres à leur direction en matière de protection des renseignements personnels.