Politique en matière d’accès à l’information et de protection des renseignements personnels (P-13)

Adoption par le conseil d'administration : 21 juin 2023

Historique : La présente politique remplace la Politique de Bibliothèque et Archives nationales du Québec en matière d’accès à l’information et de protection des renseignements personnels approuvée par le conseil d’administration le 30 juin 2011. 

Consulter la version PDF [249 Ko]

Le droit au respect de la vie privée et le droit à l’information sont garantis au Québec par le Code civil du Québec et par la Charte des droits et libertés de la personne. L’exercice de ces droits est prévu notamment dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et dans la Loi sur les archives pour le secteur public.

La présente politique constitue le socle de BAnQ pour assurer le respect de ses obligations en matière de droit à la vie privée et de droit à l’information. BAnQ tient à établir et à maintenir une relation de confiance avec le public, son personnel et ses partenaires.

Ainsi, la politique intègre les obligations contenues dans la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée par l’Assemblée nationale le 22 septembre 2021. 

À moins de mention contraire ou que le contexte n’indique un sens différent, les définitions de l’article 1 de la Directive encadrant le corpus règlementaire (D‐1) s’appliquent à la présente politique.

De plus, dans le cadre de l’application de la présente politique, on entend par :

1. « AIPRP » : accès à l’information et protection des renseignements personnels;
    
2. « COMITÉ AIPRP » : le comité sur l’accès à l’information et la protection des renseignements personnels;
    
3. « COMMISSION » : la Commission d’accès à l’information du Québec;
    
4. « DÉTENTEUR PRINCIPAL DE L’INFORMATION » : la direction responsable de l’activité ou du processus d’affaires auquel se rattache l’information;
    
5. « ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE » ou « EFVP » : la démarche préventive qui vise à protéger les renseignements personnels et à respecter la vie privée des personnes physiques en considérant tous les facteurs qui auront un effet positif ou négatif pour le respect de la vie privée des personnes concernées;
    
6. « INCIDENT DE CONFIDENTIALITÉ » : l’accès non autorisé par la loi à un renseignement personnel, l’utilisation non autorisée par la loi d’un renseignement personnel, la communication non autorisée par la loi d’un renseignement personnel ou la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement;
    
7. « PRESTATION ÉLECTRONIQUE DE SERVICE » : une prestation de services gouvernementaux, sécurisés ou non, offerts aux citoyens par l’intermédiaire d’Internet;
    
8. « RENSEIGNEMENT ANONYMISÉ » : un renseignement est dit « anonymisé » lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne concernée;
    
9. « RENSEIGNEMENT PERSONNEL » : un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier;
    
10. « RENSEIGNEMENT PERSONNEL SENSIBLE » : un renseignement personnel qui suscite un haut degré d’attente raisonnable en matière de vie privée de par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication;

11. « SONDAGE » : un instrument d’observation mis au point à partir de deux techniques déjà utilisées séparément, l’échantillonnage, qui appartient au domaine des statistiques, et le questionnaire, utilisé pour la recherche en sciences (par exemple sondage d’opinion, mesure de la qualité du service à la clientèle, mesure de la satisfaction, sondage auto administré par Internet, groupes de discussions, etc.);
     
12. « SYSTÈME D’INFORMATION » : un système constitué des ressources humaines (le personnel), des ressources matérielles (l’équipement) et des procédures permettant d’acquérir, de stocker, de traiter et de diffuser les éléments d’information pertinents pour le fonctionnement d’une entreprise ou d’une organisation (ex. : bases de données, logiciels d’application, procédures, documentation, etc.). Un système d’information se distingue d’un système informatique, ce dernier ne constituant que la partie informatique du système d’information (notamment l’unité centrale de traitement, les périphériques, le système d'exploitation).  

La présente politique vise les objectifs suivants :

1. assurer le respect des dispositions législatives en vigueur en matière d’AIPRP;
2. énoncer les engagements, les orientations et les principes directeurs de BAnQ en matière d’AIPRP;
3. préciser la composition et le mandat du comité AIPRP;
4. définir les rôles et responsabilités des membres du personnel de BAnQ en matière d’AIPRP.   

La présente politique s’applique à l’ensemble des documents et renseignements personnels détenus par BAnQ dans le cadre de ses activités, et qui sont visés par la Loi sur l’accès. Elle s’applique quelle que soit la forme des documents : écrite, graphique, sonore, visuelle, informatisée ou autre.

La présente politique vise tous les membres du personnel de BAnQ. Tout prestataire de services, contractant, partenaire ou mandataire de BAnQ y est également assujetti s’il a accès aux documents et aux renseignements personnels détenus par BAnQ, ou s’il les conserve en son nom.

La présente politique s’applique aux archives conservées par BAnQ en vertu de la Loi sur les archives, sous réserve des dispositions particulières et des exclusions prévues dans la Loi sur l’accès, dans la Loi sur les archives ou dans toute autre loi. Considérant le caractère distinctif des archives, BAnQ doit élaborer des normes, des processus et des outils spécifiques aux différents types d’archives conservées, notamment les archives gouvernementales, judiciaires, civiles et privées. 

Le cadre juridique de la présente politique est notamment composé :

1. de la Charte des droits et libertés de la personne;
2. du Code civil du Québec;
3. de la Loi sur Bibliothèque et Archives nationales du Québec, RLRQ, c. B‐1.2;
4. de la Loi sur les archives, RLRQ, c. A‐21.1;
5. de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A‐2.1 (la « Loi sur l’accès »);
6. de la Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C‐1.1;
7. du Code des professions, RLRQ, c. C‐26.

Il est complété par les éléments suivants du corpus règlementaire de BAnQ :

1. la Politique en matière de sécurité de l’information (P‐3);
2. la Politique de gestion de l’information (P‐4);
3. la Politique de partage et de valorisation des données institutionnelles (P‐11);
4. le Règlement encadrant l’utilisation et la gestion des technologies de l’information (R‐4);
5. la Directive encadrant le corpus règlementaire (D‐1).  

5.1 Principe directeur

BAnQ doit permettre et favoriser l’accès aux documents qu’elle détient dans la mesure où le droit d’accès n’est pas restreint par une disposition législative.

5.2 Traitement des demandes

BAnQ traite les demandes d’accès aux documents visés par la Loi sur l’accès conformément aux dispositions de cette loi. BAnQ doit notamment :

1. prêter assistance au requérant;
2. répondre dans les délais prescrits par la Loi sur l’accès;
3. faire une recherche sérieuse et complète afin d’identifier tous les documents visés par une  demande d’accès;
4. motiver toute décision par laquelle elle refuse de donner accès à un document.  

6.1 Principe directeur

BAnQ est responsable de la protection des renseignements personnels qu’elle détient. À ce titre, elle doit être en mesure de démontrer en tout temps qu’elle respecte ses obligations en matière de protection des renseignements personnels et qu’elle prend les mesures nécessaires afin de les protéger efficacement.

6.2 Collecte

6.2.1 Nécessité

BAnQ ne peut collecter un renseignement personnel que si cela est nécessaire à l’exercice de ses missions ou à la mise en oeuvre d’un programme dont elle a la gestion.

BAnQ peut toutefois collecter un renseignement personnel si cela est nécessaire à l’exercice des missions ou à la mise en oeuvre d’un programme de l’organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d’une mission commune.

6.2.2 Proportionnalité 

BAnQ ne peut collecter un renseignement personnel que si la finalité de sa collecte est proportionnelle  à l’atteinte au droit à la vie privée. La finalité est proportionnelle si : 

1. il existe un lien rationnel avec la collecte du renseignement personnel; 
2. l’atteinte à la vie privée est minimisée; et 
3. la divulgation du renseignement personnel est nettement plus utile à BAnQ que préjudiciable à la personne concernée.

6.2.3 Transparence

Préalablement à la collecte et par la suite sur demande, BAnQ doit fournir à la personne concernée toute l’information lui permettant de prendre une décision éclairée au regard de la transmission de ses renseignements personnels.

6.2.4 Organisation et classification

Dès leur collecte, les renseignements personnels doivent être organisés et classifiés conformément à la Politique de gestion de l’information de BAnQ (P‐4), afin notamment de permettre l’identification des renseignements personnels sensibles en temps utile.

6.3 Utilisation

6.3.1 Les renseignements personnels détenus par BAnQ ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis.

6.3.2 BAnQ peut toutefois utiliser un tel renseignement à une autre fin dans les seuls cas suivants :

1. BAnQ a obtenu le consentement de la personne concernée; ou
2. la Loi sur l’accès en permet expressément l’utilisation à cette autre fin sans le consentement    
   de la personne concernée.

6.4 Communication à un tiers

Les renseignements personnels collectés par BAnQ sont confidentiels. BAnQ ne peut les communiquer à un tiers, à moins d’avoir obtenu le consentement de la personne concernée ou que cette communication ne soit autorisée par la Loi sur l’accès.

Lorsque BAnQ entend communiquer à l’extérieur du Québec des renseignements personnels ou confier à une personne ou à un organisme à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements, BAnQ doit s’assurer qu’ils bénéficieront d’une protection équivalente à celle offerte par la Loi sur l’accès.

6.5 Conservation, anonymisation et destruction

6.5.1 BAnQ veille à ce que les renseignements personnels qu’elle conserve soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

6.5.2 Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont atteintes, BAnQ doit le détruire ou l’anonymiser pour l’utiliser à des fins d’intérêt public, sous réserve de la Loi sur les archives ou du Code des professions.

6.5.3 BAnQ conserve, anonymise ou détruit les renseignements personnels conformément à son calendrier de conservation.

6.6 Droits de la personne concernée

Toute personne a le droit d’être informée de l’existence, dans un fichier de renseignements personnels de BAnQ, d’un renseignement personnel la concernant.

BAnQ répond aux demandes d’information, de communication et de rectification conformément aux modalités prévues par la Loi sur l’accès.

6.7 Consentement

BAnQ obtient tout consentement requis par la Loi sur l’accès lorsqu’elle collecte, utilise, communique ou conserve des renseignements personnels. Pour être valides, les consentements doivent respecter les critères de validité prévus par la Loi sur l’accès.

Afin d’être en mesure de démontrer, à tout moment, que la personne concernée a donné un consentement valide, BAnQ doit documenter les circonstances dans lesquelles elle recueille tout consentement obtenu en application de la Loi sur l’accès.

6.8 Sondage

BAnQ doit prévoir des mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage. BAnQ doit minimalement évaluer :

1. la nécessité de recourir au sondage; et
2. l’aspect éthique du sondage, compte tenu, notamment, de la sensibilité des renseignements personnels à recueillir et de la finalité de leur utilisation.

6.9 Évaluation des facteurs relatifs à la vie privée

6.9.1 BAnQ procède à une évaluation des facteurs relatifs à la vie privée (EFVP) dans chaque cas où la Loi sur l’accès ou ses règles de gouvernance en matière d’AIPRP le requièrent. Par ces évaluations, BAnQ s’assure de la conformité de ses activités aux exigences de la Loi sur l’accès et veille à réduire ou même à éliminer l’incidence de ses activités sur la vie privée des  personnes concernées.

6.9.2 BAnQ doit notamment effectuer une EFVP dans les cas suivants :

1. avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
2. pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels;
3. avant de communiquer un renseignement personnel à l’extérieur du Québec.

6.9.3 Une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

6.10 Sécurité

BAnQ prend les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment, de la sensibilité des renseignements concernés, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

BAnQ gère les droits d’accès aux renseignements personnels conformément à sa Politique en matière de sécurité de l’information (P‐3) afin que seules les personnes autorisées à en prendre connaissance aient accès aux renseignements personnels. BAnQ doit voir à la signature d’ententes de confidentialité lorsque la situation le requiert.

6.11 Incident de confidentialité

BAnQ doit mettre en place un cadre de gestion des incidents de confidentialité impliquant un renseignement personnel conforme à la Loi sur l’accès.

6.12 Vidéosurveillance

BAnQ consulte le comité AIPRP au sujet des mesures particulières à respecter en matière de protection des renseignements personnels relatives à une technologie de vidéosurveillance. Ces mesures doivent comprendre une évaluation de la nécessité de recourir à cette technologie et de la conformité de l’utilisation de cette technologie au droit au respect de la vie privée. 

BAnQ doit tenir tout registre ou inventaire requis par la Loi sur l’accès. Elle publie sur son site Internet les documents et renseignements dont la diffusion est exigée par cette loi, notamment :

1. les règles encadrant la gouvernance de BAnQ à l’égard de l’AIPRP, lesquelles sont approuvées par le comité AIPRP;
2. une description des activités de formation et de sensibilisation offertes à son personnel en matière d’AIPRP;
3. le processus de traitement des plaintes à BAnQ en matière d’AIPRP;
4. la politique de confidentialité de BAnQ;
5. le registre des communications de renseignements personnels de BAnQ;
6. l’inventaire des fichiers de renseignements personnels de BAnQ.  

8.1 Composition du comité AIPRP

8.1.1 Le comité AIPRP est composé :

1. du responsable de l’accès aux documents;
2. du responsable de la protection des renseignements personnels;
3. du responsable de la gestion documentaire;
4. du responsable de la sécurité de l’information;
5. d’un représentant du Secrétariat général et direction des affaires juridiques;
6. d’un représentant de la Direction générale des Archives nationales;
7. d’un représentant de la Direction générale de la Grande Bibliothèque;
8. d’un représentant de la Direction générale de la Bibliothèque nationale;
9. d’un représentant de la Direction générale des ressources informationnelles;
10. d’un représentant de la Direction générale de l’administration et des finances;
11. d’un représentant de la Direction générale des ressources humaines;
12. d’un représentant de la Direction de l’expérience et de la transformation numérique.

8.1.2 Un membre du comité AIPRP peut cumuler plusieurs rôles. Il peut siéger à la fois en raison d’une responsabilité énumérée aux paragraphes a) à d) de l’article 8.1.1 et en tant que représentant d’une direction citée aux paragraphes e) à l) du même article.

8.1.3 Le comité AIPRP relève du président‐directeur général.

8.1.4 Le comité AIPRP est présidé par le responsable de la protection des renseignements personnels.

8.1.5 Le comité AIPRP peut inviter toute personne dont l’expertise est requise et peut mettre en 
place des sous‐comités.

8.2 Mandat du comité AIPRP

8.2.1 Le comité AIPRP a pour mandat de :

1. soutenir BAnQ dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en matière d’AIPRP;
2. approuver les règles de gouvernance en matière d’AIPRP;
3. approuver la politique de confidentialité de BAnQ;
4. développer et approuver les normes, les processus et les outils applicables pour la réalisation d’EFVP;
5. réviser et recommander au comité de direction l’approbation du profil de risque en matière de protection des renseignements personnels;
6. approuver le plan de formation et de sensibilisation du personnel de BAnQ en matière d’AIPRP;
7. recevoir et analyser un rapport produit annuellement portant sur les registres, informations et statistiques devant être tenus, compilés ou publiés en vertu de la Loi sur l’accès;
8. travailler en concertation avec le comité sur la sécurité de l’information de BAnQ en vue de renforcer la protection des renseignements personnels;
9. effectuer toute recommandation au président‐directeur général ou au conseil d’administration qu’il juge utile.

8.2.2 Aux fins de l’EFVP, le comité AIPRP doit être consulté dès le début de tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels. Le comité peut suggérer, à toutes les étapes du projet :

1. la nomination d’une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;
2. des mesures de protection des renseignements personnels dans les documents relatifs au projet, comme un cahier des charges ou un contrat;
3. une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
4. la tenue d’activités de formation sur la protection des renseignements personnels pour les     
   participants.

8.3 Fonctionnement

i. Fréquence des réunions

8.3.1 Le comité AIPRP se rencontre au moins deux fois par année pour remplir son mandat. Il adopte son calendrier de réunions annuellement.

ii. Quorum

8.3.2 Le quorum aux réunions est atteint lorsque la majorité des membres sont présents.

iii. Secrétariat

8.3.3 Le Secrétariat général et direction des affaires juridiques assure le secrétariat du comité AIPRP.  Entre autres, il convoque les réunions, prépare les projets d’ordre du jour et la documentation  afférente, et rédige les comptes rendus.  

9.1 Président‐directeur général

Le président‐directeur général a la responsabilité de :

1. veiller à assurer le respect et la mise en oeuvre de la Loi sur l’accès;
2. exercer la fonction de responsable de l’accès aux documents et celle de responsable de la protection des renseignements personnels ou de déléguer ces fonctions par écrit, en tout ou en partie, à un membre du personnel de BAnQ;
3. faciliter l’exercice de la fonction de responsable de l’accès aux documents lorsqu’il n’exerce pas lui‐même cette fonction et s’assurer que cette personne les exerce de manière autonome;
4. aviser la Commission par écrit du titre, des coordonnées et de la date d’entrée en fonction de la personne responsable de l’accès aux documents et ceux de la personne responsable de la protection des renseignements personnels.

9.2 Secrétaire général

Le secrétaire général a la responsabilité de :

1. assurer le respect et la mise en oeuvre de la présente politique;
2. traiter les demandes d’accès aux documents visés par la Loi sur l’accès;
3. répondre aux demandes d’information, de communication et de rectification de renseignements personnels;
4. mettre en place un processus de traitement des plaintes;
5. tenir tout registre exigé par la Loi sur l’accès;
6. publier sur le site Internet de BAnQ les documents et les renseignements dont la diffusion est exigée par la Loi sur l’accès;
7. élaborer et réviser les règles de gouvernance applicables à BAnQ en matière d’AIPRP;
8. voir à l’adoption de la politique de confidentialité;
9. proposer au comité AIPRP les normes, les processus et les outils pour la réalisation des EFVP;
10. coordonner l’élaboration et la tenue à jour du profil de risque en matière de protection des renseignements personnels;
11. proposer au comité AIPRP la mise en place d’outils et de mesures en matière d’AIPRP ainsi que l’adoption de pratiques en cette matière;
12. préparer et présenter au comité AIPRP un rapport annuel portant sur les registres, informations et statistiques devant être tenus, compilés ou publiés en vertu de la Loi sur l’accès.

9.3 Conservateur et directeur général des Archives nationales

À titre de gestionnaire de l’information, le conservateur et directeur général des Archives nationales a la responsabilité de :

1. fournir aux directions un cadre et des outils qui permettent l’organisation, la classification et l’identification en temps utile des renseignements personnels, y compris les renseignements personnels sensibles;
2. élaborer et de tenir à jour un inventaire des fichiers de renseignements personnels;
3. favoriser une gestion du cycle de vie des renseignements personnels qui respecte la Loi sur l’accès, notamment en ce qui concerne leur collecte, leur conservation, leur anonymisation et leur destruction.

9.4 Directeur général des ressources informationnelles

Le directeur général des ressources informationnelles a la responsabilité de :

1. mettre en place des mesures de sécurité informatique propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits;
2. gérer les droits d’accès informatiques aux renseignements personnels de manière conforme à la Politique en matière de sécurité de l’information (P‐3).

9.5 Directeur général des ressources humaines

Le directeur général des ressources humaines a la responsabilité d’élaborer et de déployer un plan de formation et de sensibilisation des membres du personnel en matière d’AIPRP.

9.6 Directeur principal de l’expérience et de la transformation numérique

Le directeur principal de l’expérience et de la transformation numérique a la responsabilité de :

1. s’assurer de la conformité des prestations électroniques de services de BAnQ, notamment l’utilisation de fichiers témoins ou d’outils de mesure d’audience Web (par exemple Google Analytics ou Microsoft Clarity), à la Loi sur l’accès, à la présente politique ainsi qu’à la politique de confidentialité de BAnQ;
2. appuyer le secrétaire général dans l’élaboration de la politique de confidentialité de BAnQ.

9.7 Directeur de la gestion immobilière et de la sécurité

Le directeur de la gestion immobilière et de la sécurité a la responsabilité de mettre en place des mesures de protection physique des locaux et de sécurisation de leurs accès propres à assurer la protection des renseignements personnels.

9.8 Détenteur principal de l’information

Le détenteur principal de l’information a la responsabilité de s’assurer que ses activités et ses processus d’affaires respectent la présente politique, notamment lors de la collecte et de l’utilisation de renseignements personnels ainsi que lors de leur communication à un tiers.

9.9 Membres du personnel

Tout membre du personnel a la responsabilité de :

1. traiter les renseignements personnels avec précaution et en conformité avec la présente politique;
2. participer aux activités de sensibilisation et de formation qui lui sont destinées;
3. signaler au secrétaire général tout incident de confidentialité et toute situation qui présente des risques en matière de protection des renseignements personnels ou de confidentialité des documents;
4. collaborer lors d’une recherche de documents et d’information faisant l’objet d’une demande d’accès ou d’une demande de rectification.  

Le secrétaire général est responsable de l’application de la présente politique.  

11.1 Entrée en vigueur

La présente politique entre en vigueur au moment de son adoption par le conseil d’administration.

11.2 Révision et mise à jour

La révision et la mise à jour de la présente politique sont effectuées au besoin, au minimum tous les  trois ans.