Directive sur les évaluations des facteurs relatifs à la vie privée (D-13)

Adoption par le comité de direction : 17 octobre 2023

Consulter la version PDF [302 Ko]

La présente directive découle de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1, « Loi sur l’accès ») et de la Politique en matière d’accès à l’information et de protection des renseignements personnels de BAnQ (P-13), qui prévoient la réalisation d’une évaluation des facteurs relatifs à la vie privée dans plusieurs situations précises.

À moins de mention contraire ou que le contexte n’indique un sens différent, les définitions de l’article 1 de la Directive encadrant le corpus règlementaire (D-1) et de la Politique en matière d’accès à l’information et de protection des renseignements personnels (P-13) s’appliquent à la présente directive.  

De plus, dans le cadre de l’application de la présente directive, on entend par :

1. « COMITÉ AIPRP » : comité sur l’accès à l’information et sur la protection des renseignements personnels;     
    
2. « DIRECTION RESPONSABLE » : la direction responsable de la collecte ou de la communication de renseignements personnels, ou la ou les directions qui agissent à titre de clients ou de responsables de produit dans le cadre d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;  
    
3. « DÉTENTEUR PRINCIPAL DE L’INFORMATION » : la direction responsable de l’activité ou du processus auquel se rattache l’information;  
    
4. « ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE » ou « EFVP » : la démarche préventive qui vise à protéger les renseignements personnels et à respecter la vie privée des personnes physiques en considérant tous les facteurs qui auront un effet positif ou négatif quant au respect de la vie privée des personnes concernées;  
    
5. « PRESTATION ÉLECTRONIQUE DE SERVICES » : une prestation de services gouvernementaux, sécurisés ou non, offerts aux citoyens par l’intermédiaire d’Internet;  
    
6. « SYSTÈME D’INFORMATION » : un système constitué des ressources humaines (le personnel), des ressources matérielles (l’équipement) et des procédures permettant d’acquérir, de stocker, de traiter et de diffuser les éléments d’information pertinents pour le fonctionnement d’une entreprise ou d’une organisation (ex. : bases de données, logiciels d’application, procédures, documentation, etc.). Un système d’information se distingue d’un système informatique, ce dernier ne constituant que la partie informatique du système d’information (notamment l’unité centrale de traitement, les périphériques, le système d’exploitation).  

La présente directive vise les objectifs suivants :

1. indiquer quand une EFVP doit être réalisée;
2. déterminer comment une EFVP doit être effectuée;
3. préciser les rôles et les responsabilités des parties prenantes.  

La présente politique vise tous les membres du personnel de BAnQ et s’applique à tous les renseignements personnels détenus par BAnQ.  

Les renseignements personnels contenus dans les archives privées et publiques sont eux aussi visés par la présente directive.  

Le cadre juridique de la présente directive est le même que celui de la Politique en matière d’accès à l’information et de protection des renseignements personnels (P-13).  

5.1 Facteurs à considérer

L’EFVP doit minimalement considérer les facteurs suivants :

1. la conformité du projet ou de l’activité à la législation applicable à la protection des renseignements personnels et le respect des principes qui l’appuient;
2. l’identification des risques d’atteinte à la vie privée engendrés par le projet ou l’activité et l’évaluation de leurs répercussions;
3. la mise en place de stratégies pour éviter ces risques ou les réduire efficacement.

5.2 Proportionnalité

L’ampleur de l’EFVP doit être déterminée selon le principe de proportionnalité. L’EFVP doit être proportionnée à :

1. la sensibilité des renseignements concernés;
2. la finalité de leur utilisation;
3. leur quantité;
4. leur répartition;
5. leur support.  

Une EFVP doit être réalisée dans les cas suivants :

1. lors d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;
2. lorsque BAnQ souhaite collecter des renseignements personnels nécessaires à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d’une mission commune;
3. lorsque BAnQ veut communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques;
4. lorsque BAnQ a l’intention de communiquer des renseignements personnels, sans le consentement des personnes concernées, conformément à l’article 68 de la Loi sur l’accès;
5. lorsque BAnQ veut communiquer à l’extérieur du Québec des renseignements personnels ou qu’elle souhaite confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements;
6. lorsque le responsable de la protection des renseignements personnels ou le comité AIPRP le requiert.  

7.1 Quoi

Une EFVP doit être réalisée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels.

7.2 Quand

7.2.1 L’EFVP doit commencer dès le début d’un projet et doit être mise à jour tout au long de son évolution.

7.3 Qui

7.3.1 L’EFVP doit être réalisée et mise à jour par la direction responsable du projet.   

7.3.2 L’EFVP initiale et toute mise à jour doivent être approuvées par le comité AIPRP.

7.4 Comment

7.4.1 L’EFVP doit être réalisée à l’aide des formulaires et des outils diffusés par le Secrétariat général et direction des affaires juridiques.   

7.4.2 Le comité AIPRP doit être impliqué dès le début d’un projet.   

7.4.3 Le comité AIPRP peut, à toute étape du projet, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :

1. la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
2. l’intégration de mesures de protection des renseignements personnels dans tout document relatif au projet, tel un cahier des charges ou un contrat;
3. une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
4. la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

7.4.4 L’EFVP approuvée par le comité AIPRP et toute mise à jour doivent être transmises au Secrétariat général et direction des affaires juridiques pour conservation.  

8.1 Quoi

Une EFVP doit être réalisée lorsque BAnQ souhaite collecter des renseignements personnels nécessaires à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d’une mission commune.

8.2 Quand

L’EFVP doit être effectuée avant la collecte des renseignements personnels.

8.3 Qui

8.3.1 L’EFVP doit être réalisée par la direction responsable.   

8.3.2 L’EFVP doit être approuvée par le responsable de la protection des renseignements personnels.

8.4 Comment

L’EFVP doit être réalisée à l’aide des formulaires et des outils diffusés par le Secrétariat et direction des affaires juridiques.  

9.1 Quoi

Une EFVP doit être réalisée lorsque BAnQ veut communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.

9.2 Quand

L’EFVP doit être effectuée avant la communication des renseignements personnels.

9.3 Qui

9.3.1 L’EFVP doit être réalisée par la direction responsable.  

9.3.2 L’EFVP doit être approuvée par le directeur principal ou général de la direction responsable, ou tout gestionnaire à qui il délègue ce pouvoir d’approbation.

9.4 Comment

9.4.1 L’EFVP doit être réalisée à l’aide des formulaires et outils diffusés par le Secrétariat général et direction des affaires juridiques.  

9.4.2 L’EFVP doit conclure que :

1. l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
2. il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;
3. l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur les répercussions de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
4. les renseignements personnels seront utilisés de manière à en assurer la confidentialité;
5. seuls les renseignements nécessaires seront communiqués.

9.4.3 L’EFVP finale doit être transmise au Secrétariat général et direction des affaires juridiques pour conservation.  

10.1 Quoi

Un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement personnel :

1. à un organisme public ou à un organisme d’un autre gouvernement lorsque cette communication est nécessaire à l’exercice des attributions de l’organisme receveur ou à la mise en oeuvre d’un programme dont cet organisme fait la gestion;
2. à un organisme public ou à un organisme d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;
3. à une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;
4. à une personne ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service par un organisme public à la personne concernée, notamment aux fins de l’identification de cette personne.

10.2 Quand

L’EFVP doit être effectuée avant la communication des renseignements personnels.

10.3 Qui

10.3.1 L’EFVP doit être réalisée par la direction responsable.   

10.3.2 L’EFVP doit être approuvée par le responsable de la protection des renseignements personnels.

10.4 Comment

10.4.1 L’EFVP doit être réalisée à l’aide des formulaires et outils diffusés par le Secrétariat général et direction des affaires juridiques.   

10.4.2 L’EFVP doit conclure que :

1. l’objectif pour lequel la communication est requise ne peut être atteint que si le renseignement est communiqué sous une forme permettant d’identifier la personne concernée;
2. il est déraisonnable d’exiger l’obtention du consentement de la personne concernée;
3. l’objectif pour lequel la communication est requise l’emporte, eu égard à l’intérêt public, sur les répercussions de la communication et de l’utilisation du renseignement sur la vie privée de la personne concernée;
4. le renseignement personnel sera utilisé de manière à en assurer la confidentialité.  

11.1 Quoi

Une EFVP doit être réalisée lorsque BAnQ veut communiquer à l’extérieur du Québec des renseignements personnels ou qu’elle souhaite confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements.

11.2 Quand

L’EFVP doit être effectuée avant la communication des renseignements personnels.

11.3 Qui

11.3.1 L’EFVP doit être réalisée par la direction responsable.  

11.3.2 L’EFVP doit être approuvée par le comité AIPRP.

11.4 Comment

11.4.1 L’EFVP doit être réalisée à l’aide des formulaires et outils diffusés par le Secrétariat général et direction des affaires juridiques.  

11.4.2 L’EFVP doit tenir compte des éléments suivants :

1. la sensibilité du renseignement;
2. la finalité de son utilisation;
3. les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
4. le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.

11.4.3 L’EFVP doit démontrer que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus.  

11.4.4 Les résultats de l’EFVP et, le cas échéant, les modalités convenues dans le but d’atténuer les risques établis dans le cadre de cette évaluation doivent être pris en compte dans l’entente écrite de communication.  

11.4.5 L’EFVP finale doit être transmise au Secrétariat général et direction des affaires juridiques pour conservation.  

12.1 Direction responsable

La direction responsable du projet, de la collecte ou de la communication de renseignements personnels a la responsabilité de :

1. réaliser une EFVP lorsque la présente directive l’exige;
2. mettre à jour l’EFVP tout au long d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;
3. consulter chaque détenteur principal de l’information visé par le projet, la collecte ou la communication de renseignements personnels;
4. obtenir l’approbation du comité AIPRP ou du responsable de la protection des renseignements personnels lorsque cela est nécessaire;
5. transmettre l’ÉFVP finale et toute mise à jour au Secrétariat général et direction des affaires juridiques.

12.2 Comité AIPRP

Le comité AIPRP a la responsabilité de :

1. approuver les normes, processus et outils pour la réalisation des EFVP;
2. approuver les EFVP lorsque cela est prévu dans la présente directive;
3. suivre tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels, et effectuer des recommandations si requis.

12.3 Secrétaire général et directeur des affaires juridiques

Le secrétaire général et directeur des affaires juridiques a la responsabilité de :

1. proposer au comité AIPRP les normes, processus et outils pour la réalisation des EFVP;
2. conseiller et accompagner les directions dans la réalisation des EFVP;
3. approuver les EFVP lorsque cela est prévu dans la présente directive, en tant que responsable de la protection des renseignements personnels;
4. conserver les EFVP et tenir à jour un registre des EFVP.

12.4 Directeur général des ressources informationnelles

Le directeur général des ressources informationnelles a la responsabilité de collaborer avec la direction responsable dans la réalisation des EFVP pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels.  

Le secrétaire général et directeur des affaires juridiques est responsable de l’application de la présente directive.  

14.1 Entrée en vigueur

La présente directive entre en vigueur au moment de son adoption par le comité de direction.

14.2 Révision

La révision et la mise à jour de la présente directive sont effectuées au besoin, au minimum tous les trois ans.