Principe de responsabilité d’un organisme public à l’égard de la protection des renseignements personnels

L’ajout de l’article 52.2 à la Loi sur l’accès introduit expressément dans cette loi un des principes de base en matière de protection des renseignements personnels en précisant qu’un organisme public est responsable de la protection des renseignements personnels qu’il détient.

Le principe de responsabilité est la reconnaissance du devoir de chaque organisme public de protéger les renseignements personnels qu’il détient, que leur conservation soit assurée par ce dernier ou par un tiers. Un organisme public doit donc être en mesure de prouver en tout temps qu’il respecte toutes les obligations en matière de protection des renseignements personnels et qu’il prend les mesures nécessaires afin de protéger efficacement ces renseignements.

Ce principe s’articule principalement autour de deux obligations pour les organismes publics :

• Adopter des règles de gouvernance à l’égard des renseignements personnels;
• Rendre compte de sa conformité à la Loi sur l’accès.

Un organisme public doit établir et publier, sur son site Internet, les règles encadrant sa gouvernance à l’égard des renseignements personnels, lesquelles entrent en vigueur en septembre 2023 et régissent :

• La collecte des renseignements personnels;
• Leur utilisation;
• Leur communication;
• Leur conservation;
• Leur destruction;
• Des situations particulières en lien avec les renseignements personnels notamment :
  • Le traitement des plaintes;
  • La gestion des incidents de confidentialité;
  • Les mesures de protection liées à un sondage;
  • La vidéosurveillance;
  • Les activités de formations et de sensibilisation des membres du personnel.

Ces règles peuvent prendre la forme d’une ou de plusieurs politiques, directives ou guides et doivent prévoir les rôles et les responsabilités des membres du personnel d’un organisme public.

L’organisme public doit donc revoir l’ensemble des règles encadrant sa gouvernance à l’égard des renseignements personnels. Au besoin, il doit mettre en place de nouvelles règles, mettre à jour celles existantes et les réévaluer régulièrement.

Un organisme public doit être en mesure de rendre compte de sa conformité à la Loi sur l’accès :

• En produisant une documentation exhaustive et complète décrivant l’ensemble des mesures qu’il applique en matière de protection des renseignements personnels;
• En obtenant les documents nécessaires permettant de démontrer qu’il respecte la Loi sur l’accès, par exemple :
  • Une preuve de consentement;
  • Un engagement à la confidentialité.

Il doit conserver cette documentation afin d’être en mesure de prouver à la Commission d’accès à l’information sa conformité à la Loi sur l’accès lors d’une inspection ou d’une enquête. Il s’agit également de mettre en place des mécanismes de reddition de comptes à l’interne et de contrôle des mesures prises en matière de protection des renseignements personnels pour une vérification interne.

Voici quelques exemples de documents qui permettent à un organisme public de démontrer qu’il se conforme à la Loi sur l’accès :

• Inventaire des renseignements personnels détenus incluant la catégorisation de ceux-ci;
• Inventaire des fichiers de renseignements personnels conformément à l’article 76 de la Loi sur l’accès;
• Documents présentant la cartographie des traitements de renseignements personnels dans un organisme public, comme leur collecte, leur utilisation et leur communication. Cette cartographie précise :
  • Les différents traitements de renseignements personnels,
  • Les catégories de renseignements personnels traités;
  • Les objectifs poursuivis par ces traitements;
  • Les personnes de l’interne ou de l’externe qui traitent ces renseignements personnels et leurs flux, soit la circulation des renseignements personnels de leur point d’origine jusqu’à leur destination.
• Registre conforme à l’article 67.3 de la Loi sur l’accès;
• Documents concernant la gestion des droits d’accès, afin de se conformer notamment à l’article 62 de la Loi sur l’accès et qui prennent la forme, par exemple :
  • De processus d’autorisation des droits d’accès;
  • De demandes d’autorisation;
  • De demandes d’approbation.
• Documentation concernant la gestion des consentements, comme des formulaires et des preuves de consentement;
• Documents en lien avec la communication de renseignements personnels dans le cadre d’un contrat comme :
  • La procédure et les normes en lien avec la communication de renseignements personnels à l’extérieur du Québec;
  • La liste des contractants et des sous-traitants qui détiennent des renseignements personnels de l’organisme public.
• Documents démontrant que les membres du personnel sont au courant des règles en matière de protection des renseignements personnels à respecter, par exemple un programme de sensibilisation et de formation des membres du personnel.