63.3. Un organisme public doit publier sur son site Internet des règles encadrant sa gouvernance à l’égard des renseignements personnels. Ces règles doivent être approuvées par son comité sur l’accès à l’information et la protection des renseignements personnels.
Elles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements ainsi qu’un processus de traitement des plaintes relatives à la protection de ceux-ci. Elles incluent une description des activités de formation et de sensibilisation que l’organisme offre à son personnel en matière de protection des renseignements personnels.
Ces règles incluent également les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage, dont une évaluation de:1° la nécessité de recourir au sondage;
2° l’aspect éthique du sondage compte tenu, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation.
Un règlement du gouvernement peut déterminer le contenu et les modalités de ces règles.
2021, c. 252021, c. 25, a. 151.