Directive sur les évaluations des facteurs relatifs à la vie privée (D-13)
Adoption par le comité de direction : 17 octobre 2023
Consulter la version PDF [302 Ko]
- Définitions
- Objectifs
- Champ d’application
- Cadre juridique
- Principes généraux
- Cas pour lesquels une EFVP est obligatoire
- Projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services
- Mise en oeuvre d’un programme d’un organisme public avec lequel BAnQ collabore
- Étude, recherche ou production de statistiques
- Communications visées à l’article 68 de la Loi sur l’accès
- Communication à l’extérieur du québec
- Rôles et responsabilités
- Responsable de la directive
- Entrée en vigueur et révision
Préambule
La présente directive découle de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1, « Loi sur l’accès ») et de la Politique en matière d’accès à l’information et de protection des renseignements personnels de BAnQ (P-13), qui prévoient la réalisation d’une évaluation des facteurs relatifs à la vie privée dans plusieurs situations précises.
1. Définitions
À moins de mention contraire ou que le contexte n’indique un sens différent, les définitions de l’article 1 de la Directive encadrant le corpus règlementaire (D-1) et de la Politique en matière d’accès à l’information et de protection des renseignements personnels (P-13) s’appliquent à la présente directive.
De plus, dans le cadre de l’application de la présente directive, on entend par :
- « COMITÉ AIPRP » : comité sur l’accès à l’information et sur la protection des renseignements personnels;
- « DIRECTION RESPONSABLE » : la direction responsable de la collecte ou de la communication de renseignements personnels, ou la ou les directions qui agissent à titre de clients ou de responsables de produit dans le cadre d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;
- « DÉTENTEUR PRINCIPAL DE L’INFORMATION » : la direction responsable de l’activité ou du processus auquel se rattache l’information;
- « ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE » ou « EFVP » : la démarche préventive qui vise à protéger les renseignements personnels et à respecter la vie privée des personnes physiques en considérant tous les facteurs qui auront un effet positif ou négatif quant au respect de la vie privée des personnes concernées;
- « PRESTATION ÉLECTRONIQUE DE SERVICES » : une prestation de services gouvernementaux, sécurisés ou non, offerts aux citoyens par l’intermédiaire d’Internet;
- « SYSTÈME D’INFORMATION » : un système constitué des ressources humaines (le personnel), des ressources matérielles (l’équipement) et des procédures permettant d’acquérir, de stocker, de traiter et de diffuser les éléments d’information pertinents pour le fonctionnement d’une entreprise ou d’une organisation (ex. : bases de données, logiciels d’application, procédures, documentation, etc.). Un système d’information se distingue d’un système informatique, ce dernier ne constituant que la partie informatique du système d’information (notamment l’unité centrale de traitement, les périphériques, le système d’exploitation).
2. Objectifs
3. Champ d’application
4. Cadre juridique
5. Principes généraux
5.1 Facteurs à considérer
L’EFVP doit minimalement considérer les facteurs suivants :
- la conformité du projet ou de l’activité à la législation applicable à la protection des renseignements personnels et le respect des principes qui l’appuient;
- l’identification des risques d’atteinte à la vie privée engendrés par le projet ou l’activité et l’évaluation de leurs répercussions;
- la mise en place de stratégies pour éviter ces risques ou les réduire efficacement.
5.2 Proportionnalité
L’ampleur de l’EFVP doit être déterminée selon le principe de proportionnalité. L’EFVP doit être proportionnée à :
6. Cas pour lesquels une efvp est obligatoire
Une EFVP doit être réalisée dans les cas suivants :
- lors d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;
- lorsque BAnQ souhaite collecter des renseignements personnels nécessaires à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d’une mission commune;
- lorsque BAnQ veut communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques;
- lorsque BAnQ a l’intention de communiquer des renseignements personnels, sans le consentement des personnes concernées, conformément à l’article 68 de la Loi sur l’accès;
- lorsque BAnQ veut communiquer à l’extérieur du Québec des renseignements personnels ou qu’elle souhaite confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements;
- lorsque le responsable de la protection des renseignements personnels ou le comité AIPRP le requiert.
7. Projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services
7.1 Quoi
Une EFVP doit être réalisée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels.
7.2 Quand
7.2.1 L’EFVP doit commencer dès le début d’un projet et doit être mise à jour tout au long de son évolution.
7.3 Qui
7.3.1 L’EFVP doit être réalisée et mise à jour par la direction responsable du projet.
7.3.2 L’EFVP initiale et toute mise à jour doivent être approuvées par le comité AIPRP.
7.4 Comment
7.4.1 L’EFVP doit être réalisée à l’aide des formulaires et des outils diffusés par le Secrétariat général et direction des affaires juridiques.
7.4.2 Le comité AIPRP doit être impliqué dès le début d’un projet.
7.4.3 Le comité AIPRP peut, à toute étape du projet, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :
- la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
- l’intégration de mesures de protection des renseignements personnels dans tout document relatif au projet, tel un cahier des charges ou un contrat;
- une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
- la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.
7.4.4 L’EFVP approuvée par le comité AIPRP et toute mise à jour doivent être transmises au Secrétariat général et direction des affaires juridiques pour conservation.
8. Mise en oeuvre d’un programme d’un organisme public avec lequel BAnQ collabore
8.1 Quoi
Une EFVP doit être réalisée lorsque BAnQ souhaite collecter des renseignements personnels nécessaires à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel elle collabore pour la prestation de services ou pour la réalisation d’une mission commune.
8.2 Quand
L’EFVP doit être effectuée avant la collecte des renseignements personnels.
8.3 Qui
8.3.1 L’EFVP doit être réalisée par la direction responsable.
8.3.2 L’EFVP doit être approuvée par le responsable de la protection des renseignements personnels.
8.4 Comment
L’EFVP doit être réalisée à l’aide des formulaires et des outils diffusés par le Secrétariat et direction des affaires juridiques.
9. Étude, recherche ou production de statistiques
9.1 Quoi
Une EFVP doit être réalisée lorsque BAnQ veut communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.
9.2 Quand
L’EFVP doit être effectuée avant la communication des renseignements personnels.
9.3 Qui
9.3.1 L’EFVP doit être réalisée par la direction responsable.
9.3.2 L’EFVP doit être approuvée par le directeur principal ou général de la direction responsable, ou tout gestionnaire à qui il délègue ce pouvoir d’approbation.
9.4 Comment
9.4.1 L’EFVP doit être réalisée à l’aide des formulaires et outils diffusés par le Secrétariat général et direction des affaires juridiques.
9.4.2 L’EFVP doit conclure que :
- l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
- il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;
- l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur les répercussions de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
- les renseignements personnels seront utilisés de manière à en assurer la confidentialité;
- seuls les renseignements nécessaires seront communiqués.
9.4.3 L’EFVP finale doit être transmise au Secrétariat général et direction des affaires juridiques pour conservation.
10. Communications visées à l’article 68 de la Loi sur l’accès
10.1 Quoi
Un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement personnel :
- à un organisme public ou à un organisme d’un autre gouvernement lorsque cette communication est nécessaire à l’exercice des attributions de l’organisme receveur ou à la mise en oeuvre d’un programme dont cet organisme fait la gestion;
- à un organisme public ou à un organisme d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;
- à une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;
- à une personne ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service par un organisme public à la personne concernée, notamment aux fins de l’identification de cette personne.
10.2 Quand
L’EFVP doit être effectuée avant la communication des renseignements personnels.
10.3 Qui
10.3.1 L’EFVP doit être réalisée par la direction responsable.
10.3.2 L’EFVP doit être approuvée par le responsable de la protection des renseignements personnels.
10.4 Comment
10.4.1 L’EFVP doit être réalisée à l’aide des formulaires et outils diffusés par le Secrétariat général et direction des affaires juridiques.
10.4.2 L’EFVP doit conclure que :
- l’objectif pour lequel la communication est requise ne peut être atteint que si le renseignement est communiqué sous une forme permettant d’identifier la personne concernée;
- il est déraisonnable d’exiger l’obtention du consentement de la personne concernée;
- l’objectif pour lequel la communication est requise l’emporte, eu égard à l’intérêt public, sur les répercussions de la communication et de l’utilisation du renseignement sur la vie privée de la personne concernée;
- le renseignement personnel sera utilisé de manière à en assurer la confidentialité.
11. Communication à l’extérieur du Québec
11.1 Quoi
Une EFVP doit être réalisée lorsque BAnQ veut communiquer à l’extérieur du Québec des renseignements personnels ou qu’elle souhaite confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements.
11.2 Quand
L’EFVP doit être effectuée avant la communication des renseignements personnels.
11.3 Qui
11.3.1 L’EFVP doit être réalisée par la direction responsable.
11.3.2 L’EFVP doit être approuvée par le comité AIPRP.
11.4 Comment
11.4.1 L’EFVP doit être réalisée à l’aide des formulaires et outils diffusés par le Secrétariat général et direction des affaires juridiques.
11.4.2 L’EFVP doit tenir compte des éléments suivants :
- la sensibilité du renseignement;
- la finalité de son utilisation;
- les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
- le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
11.4.3 L’EFVP doit démontrer que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus.
11.4.4 Les résultats de l’EFVP et, le cas échéant, les modalités convenues dans le but d’atténuer les risques établis dans le cadre de cette évaluation doivent être pris en compte dans l’entente écrite de communication.
11.4.5 L’EFVP finale doit être transmise au Secrétariat général et direction des affaires juridiques pour conservation.
12. Rôles et responsabilités
12.1 Direction responsable
La direction responsable du projet, de la collecte ou de la communication de renseignements personnels a la responsabilité de :
- réaliser une EFVP lorsque la présente directive l’exige;
- mettre à jour l’EFVP tout au long d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;
- consulter chaque détenteur principal de l’information visé par le projet, la collecte ou la communication de renseignements personnels;
- obtenir l’approbation du comité AIPRP ou du responsable de la protection des renseignements personnels lorsque cela est nécessaire;
- transmettre l’ÉFVP finale et toute mise à jour au Secrétariat général et direction des affaires juridiques.
12.2 Comité AIPRP
Le comité AIPRP a la responsabilité de :
- approuver les normes, processus et outils pour la réalisation des EFVP;
- approuver les EFVP lorsque cela est prévu dans la présente directive;
- suivre tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels, et effectuer des recommandations si requis.
12.3 Secrétaire général et directeur des affaires juridiques
Le secrétaire général et directeur des affaires juridiques a la responsabilité de :
- proposer au comité AIPRP les normes, processus et outils pour la réalisation des EFVP;
- conseiller et accompagner les directions dans la réalisation des EFVP;
- approuver les EFVP lorsque cela est prévu dans la présente directive, en tant que responsable de la protection des renseignements personnels;
- conserver les EFVP et tenir à jour un registre des EFVP.
12.4 Directeur général des ressources informationnelles
Le directeur général des ressources informationnelles a la responsabilité de collaborer avec la direction responsable dans la réalisation des EFVP pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels.
13. Responsable de la directive
14. Entrée en vigueur et révision
14.1 Entrée en vigueur
La présente directive entre en vigueur au moment de son adoption par le comité de direction.
14.2 Révision
La révision et la mise à jour de la présente directive sont effectuées au besoin, au minimum tous les trois ans.