a-2.1, r. 4.1 - Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique

Full text
Updated to 1 January 2024
This document has official status.
chapitre A-2.1, r. 4.1
Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
(chapitre A-2.1, a. 63.4, 2e al. et a. 155, 1er al., par. 6).
SECTION I
CHAMP D’APPLICATION ET DÉFINITION
D. 1544-2023, sec. I.
1. Le présent règlement s’applique à tout organisme public visé à l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1).
Il s’applique également aux ordres professionnels, dans la mesure prévue par le Code des professions (chapitre C-26).
Pour l’application du présent règlement, l’expression «organisme public» comprend un ordre professionnel.
D. 1544-2023, a. 1.
SECTION II
POLITIQUE DE CONFIDENTIALITÉ
D. 1544-2023, sec. II.
2. Une politique de confidentialité visée à l’article 63.4 de la Loi doit minimalement contenir:
1°  le nom de l’organisme public qui recueille les renseignements personnels et, dans le cas où les renseignements sont recueillis par un tiers au nom de l’organisme public, le nom de ce tiers;
2°  une description des renseignements personnels recueillis;
3°  les fins auxquelles les renseignements personnels sont recueillis;
4°  les catégories de personnes qui, au sein de l’organisme public, ont accès aux renseignements personnels;
5°  les moyens par lesquels les renseignements personnels sont recueillis;
6°  le cas échéant, une description des mesures pouvant être prises afin de refuser la collecte des renseignements personnels et les conséquences possibles de ce refus;
7°  le cas échéant, une mention relative aux moyens technologiques disponibles pour que la personne concernée par les renseignements personnels puisse consulter ou rectifier ces renseignements;
8°  une mention relative aux droits d’accès et de rectification prévus par la Loi, de même que le nom du responsable de la protection des renseignements personnels de l’organisme public et les coordonnées permettant de communiquer avec lui;
9°  le cas échéant, le nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer des renseignements personnels aux fins visées au paragraphe 3, en précisant ces renseignements ou les catégories de renseignements et ces fins;
10°  le cas échéant, une mention quant à la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec;
11°  une brève description des mesures prises pour assurer la confidentialité et la sécurité des renseignements personnels;
12°  une mention du droit de la personne concernée par les renseignements personnels de se prévaloir du processus de traitement des plaintes relatives à la protection des renseignements personnels prévu dans les règles de gouvernance de l’organisme public à l’égard des renseignements personnels publiés en vertu de l’article 63.3 de la Loi;
13°  les coordonnées de la personne, de l’organisme concerné ou d’une unité administrative de ce dernier à qui toute question relative à cette politique de confidentialité peut être soumise;
14°  la date de son entrée en vigueur et la date de sa plus récente mise à jour, le cas échéant.
D. 1544-2023, a. 2.
3. Une politique de confidentialité peut être commune à plusieurs organismes publics dans la mesure où ils recueillent en commun des renseignements personnels.
Elle peut également être commune à plusieurs organismes publics dans la mesure où un organisme public recueille des renseignements personnels au nom des autres organismes publics.
D. 1544-2023, a. 3.
SECTION III
AVIS DE MODIFICATION
D. 1544-2023, sec. III.
4. Une politique de confidentialité ne peut être modifiée avant l’expiration d’un délai de 15 jours à compter de la date de publication d’un avis de modification de cette politique ou, le cas échéant, avant l’expiration d’un délai plus court mentionné dans cet avis de modification. Cet avis doit:
1°  indiquer la date de sa publication;
2°  indiquer l’objet général des modifications apportées à la politique de confidentialité, lesquelles doivent être précisées dans une section dédiée à cette politique sur le site Internet de l’organisme public;
3°  indiquer la date de l’entrée en vigueur des modifications;
4°  si l’avis mentionne un délai plus court que le délai de 15 jours, indiquer les motifs pour lesquels la politique doit être modifiée dans ce délai plus court.
D. 1544-2023, a. 4.
SECTION IV
DISPOSITIONS COMMUNES À UNE POLITIQUE DE CONFIDENTIALITÉ ET À UN AVIS DE MODIFICATION
D. 1544-2023, sec. IV.
5. Une politique de confidentialité doit, avant d’être publiée, faire l’objet d’une consultation auprès du comité sur l’accès à l’information et la protection des renseignements personnels visé à l’article 8.1 de la Loi.
Il en est de même de tout avis de modification concernant une modification significative à une politique.
D. 1544-2023, a. 5.
6. Une politique de confidentialité et un avis de modification doivent être publiés dans une section dédiée à cette politique sur le site Internet de l’organisme public.
La plus récente version antérieure de la politique et l’avis de modification correspondant, le cas échéant, doivent aussi être publiés dans cette section. L’organisme public doit veiller à ce que cette version antérieure de la politique ne soit pas confondue avec la version en vigueur.
D. 1544-2023, a. 6.
7. Lors de la collecte de renseignements personnels par un moyen technologique, la politique de confidentialité concernant ces renseignements personnels et, le cas échéant, l’avis de modification de cette politique doivent être portés à l’attention de la personne concernée par ces renseignements.
D. 1544-2023, a. 7.
SECTION V
DISPOSITION FINALE
D. 1544-2023, sec. V.
8. (Omis).
D. 1544-2023, a. 8.
RÉFÉRENCES
D. 1544-2023, 2023 G.O. 2, 4955