7. Un organisme public doit informer le comité visé à l’article 2 des projets d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui recueille, utilise, conserve, communique ou détruit des renseignements personnels.
Le comité suggère, parmi ces projets, ceux qui doivent être encadrés par des mesures particulières de protection des renseignements personnels. Ces mesures comprennent:1° la nomination d’une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels pour chaque projet;
2° l’évaluation, dès l’étude préliminaire du projet, des risques d’atteinte à la protection des renseignements personnels;
3° des mesures propres à assurer la protection des renseignements personnels pendant toute la période de réalisation du projet et son maintien lors de l’utilisation, de l’entretien, de la modification et de l’évolution du système d’information ou de prestation électronique des services visés;
4° la description des exigences de protection des renseignements personnels dans le cahier de charges ou le contrat relatif au projet, à moins que l’exécutant du contrat soit un autre organisme public;
5° la description des responsabilités des participants au projet en matière de protection des renseignements personnels;
6° la tenue d’activités de formation sur la protection des renseignements personnels à l’intention des participants au projet.
Voir le paragraphe 2 de l’article 2.