Directive relative à l'utilisation sans consentement de renseignements personnels à des fins d'étude, de recherche ou de production de statistiques (D-6)
Adoption par le comité de direction : 26 septembre 2022
Amendement : 17 juin 2024
Consulter la version PDF [242 Ko]
- Définitions
- Objectifs
- Champ d’application
- Cadre juridique
- Principes généraux
- Documents visés par la Loi sur l'accès
- Archives privées qui contiennent des renseignements personnels structurés
- Archives publiques ou privées qui contiennent des renseignements personnels non structurés
- Rôles et responsabilités
- Responsable de la directive
- Entrée en vigueur et révision
Préambule
Bibliothèque et Archives nationales du Québec (« BAnQ »)reçoit régulièrement des demandes de communication de documents, d’informations et de données qui contiennent des renseignements personnels.
La présente directive précise dans quelles circonstances et de quelle manière BAnQ peut communiquer des documents, informations ou données qui contiennent des renseignements personnels, sans le consentement des personnes concernées, dans le cadre d’un projet d’étude, de recherche ou de production de statistiques. Elle se rattache à la Politique en matière d’accès à l’information et de protection des renseignements personnels de BAnQ (P-13).
1. Définitions
À moins de mention contraire ou que le contexte n’indique un sens différent, les définitions de la Politique en matière d’accès à l’information et de protection des renseignements personnels de BAnQ (P-13), de la Politique de gestion de l’information (P-4) et de l’article 1 de la Directive encadrant le corpus règlementaire (D‑1) s’appliquent à la présente directive.
De plus, dans le cadre de l’application de la présente directive, on entend par :
- « DIRECTION RESPONSABLE » : la direction qui traite la demande de communication de l’usager et qui est responsable des données, informations ou documents qui contiennent les renseignements personnels;
- « RENSEIGNEMENTS PERSONNELS NON STRUCTURÉS » : les renseignements personnels qui ne sont pas structurés de façon à être retrouvés par référence au nom d’une personne ou à un signe ou symbole propre à celle-ci et sans qu’il y ait un moyen pour repérer ces renseignements à partir d’une telle référence.
2. Objectifs
La présente directive vise à :
- encadrer les demandes de communication sans consentement de renseignements personnels dans le cadre d’un projet d’étude, de recherche ou de production de statistiques;
- protéger les renseignements personnels qui sont sous la responsabilité de BAnQ;
- définir les rôles et responsabilités des différents intervenants.
3. Champ d’application
3.1 La présente directive s’applique aux documents, informations et données détenus par BAnQ qui contiennent des renseignements personnels et qui sont visés par la Loi sur l’accès.
3.2 Les archives publiques sont visées par la Loi sur l’accès, sous réserve des exclusions et dispositions particulières prévues dans la Loi sur l’accès, dans la Loi sur les archives ou dans toute autre loi.
3.3 Les archives privées sont aussi visées par la présente directive, sous réserve des exclusions et dispositions particulières prévues dans la Loi sur l’accès, dans la Loi sur les archives ou dans la convention de donation.
3.4 La présente directive ne s’applique pas aux demandes de communication formulées par :
- un usager ayant obtenu le consentement de la ou des personnes concernées par les renseignements;
- le ministère, l’organisme public ou le donateur qui a versé les données ou les documents.
3.5 Conformément à l’article 19 de la Loi sur les archives, la présente directive ne s’applique pas aux archives publiques et privées :
4. Cadre juridique
Le cadre juridique de la présente directive est notamment composé des lois suivantes :
- la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1 (« Loi sur l’accès »);
- la Loi sur les archives, RLRQ, c. A-21.1 (« Loi sur les archives »).
Il est complété par les éléments suivants du corpus règlementaire :
- la Politique en matière d’accès à l’information et de protection des renseignements personnels (P-13);
- la Politique de gestion de l'information (P-4);
- la Politique sur le partage et la valorisation des données institutionnelles (P-11);
- la Directive sur les évaluations des facteurs relatifs à la vie privée (D-13) (« Directive sur les EFVP »).
5. Principes généraux
5.1 BAnQ peut communiquer des renseignements personnels, sans le consentement des personnes concernées, à un usager qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.
5.2 La communication doit être effectuée en respect des lois en vigueur, notamment la Loi sur l’accès et la Loi sur les archives, et de toute convention de donation dans le cas d’archives privées.
6. Documents visés par la Loi sur l'accès
6.1 L’usager qui demande la communication de renseignements personnels contenus dans des documents visés par la Loi sur l’accès doit remplir le formulaire prescrit par BAnQ et fournir tout autre document ou information requis par BAnQ pour permettre l’évaluation de la demande. Les archives publiques qui contiennent des renseignements personnels non structurés bénéficient d’une exception prévue à l’article 8.
6.2 Avant de communiquer des renseignements personnels, une évaluation des facteurs relatifs à la vie privée doit être réalisée conformément à la Directive sur les EFVP (D-13).
6.3 Si l’EFVP recommande la communication, BAnQ conclut avec l’usager une entente de communication préparée par la direction responsable, à l’aide du gabarit approuvé par le Secrétariat général et direction des affaires juridiques (« SGDAJ »). L’entente doit être préalablement soumise au SGDAJ, pour révision et numérotation.
6.4 L’entente doit être approuvée conjointement par le responsable de la protection des renseignements personnels et par le directeur principal ou général de la direction responsable, ou tout gestionnaire à qui il délègue ce pouvoir d’approbation.
6.5 L’entente doit être transmise par le SGDAJ à la Commission d’accès à l’information du Québec (la « Commission ») et entre en vigueur 30 jours après sa réception par celle-ci.
6.6 Un engagement de confidentialité doit être signé par toute personne physique ayant accès aux renseignements personnels communiqués. Cet engagement est prévu dans l’entente de communication. La direction responsable doit faire signer les engagements de confidentialité et les transmettre au SGDAJ pour conservation.
7. Archives privées qui contiennent des renseignements personnels structurés
7.1 La communication d’archives privées contenant des renseignements personnels structurés doit être effectuée conformément aux exigences prévues à l’article 6, à l’exception de l’article 6.5 qui ne trouve pas application. L’entente entre en vigueur à la date convenue par les parties et n’a pas à être transmise à la Commission.
8. Archives publiques ou privées qui contiennent des renseignements personnels non structurés
8.1 Les demandes de communication d’archives publiques ou privées qui contiennent des renseignements personnels non structurés doivent être effectuées à l’aide de la procédure et des formulaires prescrits par la Direction générale des Archives nationales (« DGAN »).
8.2 Une EFVP n’est pas obligatoire pour les archives publiques ou privées qui contiennent des renseignements personnels non structurés, à moins que la DGAN ou le responsable de la protection des renseignements personnels ne le requière en raison de la quantité et de la sensibilité des renseignements personnels. Si tel est le cas, une entente de communication doit être conclue conformément à l’article 6 de la présente directive, à l’exception de l’article 6.5 qui ne trouve pas application.
8.3 Avant de communiquer des renseignements personnels, un engagement de confidentialité doit être signé par toute personne physique ayant accès aux renseignements personnels communiqués. La DGAN est responsable de faire signer les engagements de confidentialité préparés à l’aide du gabarit approuvé par le SGDAJ, et de les conserver.
9. Rôles et responsabilités
9.1 Responsable de la protection des renseignements personnels
Le responsable de la protection des renseignements personnels a la responsabilité de :
- approuver et signer toute entente de communication, conjointement avec la direction responsable;
- informer le comité AIPRP des communications de renseignements personnels effectuées en vertu de la présente directive.
9.2 Secrétariat général et direction des affaires juridiques
Le Secrétariat général et direction des affaires juridiques a la responsabilité de :
- fournir et approuver des modèles d’ententes de communication et d’engagements de confidentialité;
- rédiger et mettre à jour le formulaire de demande pour les documents visés par la Loi sur l’accès et pour les archives privées;
- réviser toute entente de communication;
- transmettre à la Commission, lorsque cela est requis, toute entente conclue en vertu de la présente directive et aviser les parties de l’entrée en vigueur de l’entente 30 jours après sa réception par la Commission;
- numéroter et conserver toute entente de communication;
- conseiller les directions sur toute question relative à la présente directive.
9.3 Direction responsable
La direction responsable doit :
- traiter les demandes de communication;
- réaliser des EFVP conformément à la Directive sur les EFVP (D-13) et les transmettre au SGDAJ;
- préparer toute entente de communication et la soumettre au SGDAJ pour révision et numérotation;
- approuver et signer toute entente de communication, conjointement avec le responsable de la protection des renseignements personnels.
9.4 Direction générale des Archives nationales
En plus des responsabilités énumérées à l’article 9.3, la Direction générale des Archives nationales a les responsabilités suivantes pour les demandes qui visent les archives publiques ou privées contenant des renseignements personnels non structurés :
- rédiger et mettre à jour le formulaire de demande et la procédure;
- déterminer si une EFVP est requise en raison de la quantité et de la sensibilité des renseignements personnels et consulter le responsable de la protection des renseignements personnels en cas d’ambiguïté;
- faire signer des engagements de confidentialité à l’aide des gabarits autorisés par le SGDAJ, et les conserver.