Règles encadrant la gouvernance des renseignements personnels

L'article 63.3 de la Loi sur l’accès exige d’un organisme public qu’il se dote de règles encadrant sa gouvernance à l’égard des renseignements personnels. Ces règles doivent être publiées sur le site Internet de l’organisme public.

L’adoption de règles de cette nature doit permettre aux membres du personnel d’un organisme public de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels qui sont inhérents à l’exercice de leurs fonctions.

Chaque organisme public doit protéger les renseignements personnels qu’il détient, que ceux-ci soient conservés par lui-même ou par un tiers.

L’exigence d’établir des règles de gouvernance est intimement associée au principe de responsabilité, comme l’indique l’article 52.2 de la Loi sur l’accès.

Aux fins de l’application de cette responsabilité, chaque organisme public doit élaborer des règles encadrant sa gouvernance à l’égard des renseignements personnels. À cet effet, un guide d’application (PDF 740 Ko), résumé de la démarche à suivre (PDF 258 Ko) et un outil d'analyse pour la planification de l'élaboration de ces règles (QQOQCCP) (PDF 226 Ko) ont été conçus pour soutenir les organismes publics à se conformer à cette obligation.

L’élaboration de telles règles devrait se faire sous la responsabilité du comité sur l’accès à l’information et la protection des renseignements personnels, en collaboration avec les intervenants concernés. Par exemple, un organisme public devrait :

• recueillir les opinions, les besoins et les enjeux des membres de son personnel qui traitent des renseignements personnels et des gestionnaires de ces derniers;
• solliciter, dans un tel exercice, les membres du personnel qui ont des responsabilités en lien avec des domaines connexes à la protection des renseignements personnels, comme la sécurité de l’information, la sécurité physique, la gestion documentaire et l’éthique.

Les règles encadrant la gouvernance à l’égard des renseignements personnels doivent également tenir compte :

• de la taille et de la nature des activités de l’organisme public;
• du type d’environnement utilisé, que ces données soient numériques ou physiques;
• des risques et des menaces.

Une réévaluation de ces règles doit être réalisée périodiquement.

Les règles de gouvernance mentionnées à l’article 63.3 de la Loi sur l’accès doivent régir la collecte, l’utilisation, la communication, la conservation, la destruction et d’autres situations particulières en lien avec les renseignements personnels.

Le libellé de l’article 63.3 de la Loi sur l’accès mentionne quelques thèmes à inclure dans les règles de gouvernance, notamment :

• les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
• le processus de traitement des plaintes relatives à la protection des renseignements personnels;
• la description des activités de formation et de sensibilisation que l’organisme offre à son personnel en matière de protection des renseignements personnels;
• les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.

De plus, tout organisme public devrait également avoir des règles de gouvernance quant aux thèmes qui émanent des obligations de la Loi sur l’accès, tels que :

• le traitement d’une demande d’accès à des renseignements personnels ou de rectification, allant de la réception de cette dernière jusqu’à la fin des recours en révision ou en appel;
• la gestion des incidents de confidentialité;
• la gestion des accès aux renseignements personnels;
• la vidéosurveillance;
• la communication de renseignements personnels lors d’un contrat;
• les projets de système d’information ou de prestation électronique de services impliquant des renseignements personnels;
• l’utilisation et la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques.

Afin de se conformer au Règlement sur la diffusion de l’information et sur la protection des renseignements personnels, les organismes publics y étant assujettis ont normalement adopté des règles de gouvernance relativement aux sondages qui recueillent ou qui utilisent des renseignements personnels. L’article 63.3 de la Loi sur l’accès reprend essentiellement ces mêmes exigences.

Cette règle de gouvernance doit inclure :

• une évaluation de la nécessité de recourir au sondage;
• les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés lors d’un sondage, que celui-ci soit réalisé par l’organisme public ou par un tiers qui agit pour son compte;
• une évaluation de l’aspect éthique, compte tenu, notamment, de la nature du sondage, des personnes visées, de la sensibilité des renseignements personnels recueillis et de la finalité de l’utilisation de ceux-ci. Sa réalisation devrait s’effectuer avec le soutien d’une personne qui détient une expertise en éthique.

Les règles encadrant la gouvernance à l’égard des renseignements personnels doivent être rédigées, ou encore intégrées dans un document normatif existant. Par exemple, un organisme public pourrait insérer le processus de traitement des plaintes relatif à la protection des renseignements personnels dans sa politique générale sur le traitement des plaintes.

Le document normatif peut prendre diverses formes telles qu’une politique, une directive ou un guide. Un organisme public pourrait également décider de rédiger un seul document ou plusieurs, puisque c’est lui qui a la responsabilité d’en déterminer la forme.

Le contenu des différents thèmes à aborder, dans une règle de gouvernance, doit demeurer suffisamment général, de manière à ne pas divulguer de renseignements confidentiels ni stratégiques. Ainsi, le contenu ne doit pas détailler les mesures de sécurité qu’utilise un organisme public pour protéger ses systèmes informatiques.

Le Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité recommande que les organismes publics forment et sensibilisent les membres de leur personnel afin de s’assurer d’une compréhension commune de la portée des règles de gouvernance.

Le comité sur l’accès à l’information et la protection des renseignements personnels joue un rôle stratégique, puisqu’il doit approuver les règles de gouvernance préalablement à leur publication.