Mise en place d’un comité sur l’accès à l’information et la protection des renseignements personnels

L’ajout de l’article 8.1 à la Loi sur l’accès fait en sorte d’élargir la portée de l’obligation de mettre sur pied un comité sur l’accès à l’information et la protection des renseignements personnels à tous les organismes publics assujettis à la Loi sur l’accès. Il est notamment question ici des organismes des réseaux de la santé et de l’éducation ainsi que du secteur municipal. Auparavant, cette obligation était restreinte aux organismes publics soumis au Règlement sur la diffusion de l’information et sur la protection des renseignements personnels.

La mise en place d’un tel comité renforce la protection des renseignements personnels dans chacun des organismes publics et favorise l’harmonisation des pratiques qui guident notamment les actions du personnel et influencent les stratégies des hautes instances.

Le comité relève de la personne ayant la plus haute autorité au sein de l’organisme public. Pour certains organismes publics, le comité relève :

• du sous-ministre dans le cas d’un ministère;
• du directeur général ou de la directrice générale dans le cas d’une municipalité, d’un ordre professionnel ou d’une commission scolaire.

Cette personne est responsable d’établir la composition et le mandat du comité. Elle est également responsable du bon fonctionnement de celui-ci, notamment en s’assurant que des séances ont lieu régulièrement.

Le comité possède donc l’influence nécessaire pour assurer la prise en considération des impératifs liés à la protection des renseignements personnels et à l’accès aux documents considérant qu’il relève de la personne ayant la plus haute autorité au sein de l’organisme public.

L’article 8.1 exige qu’au sein d’un organisme public, un comité sur l’accès à l’information et la protection des renseignements personnels (PDF 233 Ko) soit chargé de soutenir l’organisme dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la Loi sur l’accès.

Ce comité exerce un rôle de leadership et contribue à la promotion d’une culture organisationnelle qui renforce la protection des renseignements personnels et favorise la transparence.

Plus précisément, ce comité a pour fonction de soutenir un organisme public dans l’exercice de ses responsabilités et dans l’exécution de ses obligations énoncées dans la Loi sur l’accès. La loi lui confère également les fonctions suivantes qui entrent en vigueur en septembre 2023 :

• Approuver des règles de gouvernance d’un organisme public à l’égard des renseignements personnels ^{Lire le contenu de la note numéro 1} ;
• Être consulté, dès le début du projet et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels ^{Lire le contenu de la note numéro 2} . Le comité peut également suggérer, à toutes les étapes du projet :
  • La nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
  • Des mesures de protection des renseignements personnels dans les documents relatifs au projet, comme un cahier des charges ou un contrat;
  • Une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
  • La tenue d’activités de formation sur la protection des renseignements personnels pour les participants.

Un organisme public peut décider d’attribuer au comité d’autres fonctions qu’il juge pertinentes et qui permettront une meilleure gestion de l’accès aux documents et de la protection des renseignements personnels au sein de ce dernier.

Le comité est composé :

• De la personne responsable de l’accès aux documents;
• De la personne responsable de la protection des renseignements personnels;
• De toute personne dont l’expertise est requise, incluant, si le cas se présente, la personne responsable de la sécurité de l’information et celle chargée de la gestion documentaire.

Les personnes dont l’expertise est requise peuvent provenir de l’interne ou de l’externe.

La personne ayant la plus haute autorité au sein d’un organisme public n’a pas l’obligation de présider le comité ou de faire partie de celui-ci. Dans ce cas, un suivi des activités du comité doit être effectué auprès de cette personne afin qu’elle puisse faire les interventions nécessaires si l’occasion se présente.

L’exigence de mettre sur pied un comité n’impose pas nécessairement la création d’un nouveau comité. Les fonctions et les obligations applicables à ce comité peuvent être attribuées à un comité qui existe déjà au sein de la structure de gouvernance d’un organisme public. Par exemple, le rôle et les responsabilités de ce comité en ce qui a trait à la protection des renseignements personnels pourraient incomber au comité sur la sécurité de l’information, puisque leurs domaines d’affaires sont intimement liés.

Un organisme public peut également convenir avec un autre organisme public avec qui il a des liens étroits d’une impartition des rôles et des responsabilités de ce comité conformément à l’article 172 de la Loi sur l’accès. Cette impartition s’effectue dans le cadre d’une entente approuvée par la Commission d’accès à l’information.

Le gouvernement a adopté le Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels . Le lieutenant-gouverneur et l’Assemblée nationale sont des organismes exclus d’office.

D’autres organismes peuvent également être exclus, soit ceux employant 50 salariés ou moins lors de l’année civile précédente. À noter que les étudiantes ou les étudiants, les stagiaires, les personnes qui réalisent une activité dans le cadre d’une mesure ou d’un programme d’aide à l’emploi ainsi que les pompières et les pompiers ne sont pas considérés comme des « salariés » pour les fins du Règlement.

Pour les organismes ainsi exclus, les fonctions dévolues au comité seront confiées :

• à la personne responsable de la protection des renseignements personnels; 
• à la directrice générale ou au directeur général lorsqu’il s’agit d’une municipalité, d’un ordre professionnel, d'une commission scolaire ou d’un centre de services scolaire.