Liste de vérification PIV pour nouveaux systèmes - Règlement municipal de Québec

Technologie et données Quebec 4 min de lecture · publié 12 février 2026 Flag of Quebec

Québec, Québec, les départements municipaux et les fournisseurs qui lancent de nouveaux systèmes traitant des renseignements personnels doivent suivre un processus clair d'évaluation d'impact sur la vie privée (PIV) pour respecter les obligations municipales et provinciales. Ce guide explique les étapes pratiques que le personnel municipal, les contractants et les équipes informatiques doivent suivre avant de déployer de nouvelles bases de données, applications ou systèmes de surveillance. Il identifie le cadre juridique, les bureaux responsables, les documents typiques, les calendriers, et comment documenter les atténuations et approbations afin que les systèmes répondent aux normes attendues par les organismes publics de Québec.[1] Pour des orientations sur les évaluations d'impact sur la vie privée, consultez la pratique municipale et les règles provinciales décrites ci-dessous.

Étapes de l'évaluation d'impact sur la vie privée

Suivez ces étapes pratiques lorsqu'un projet collectera, utilisera, divulguera ou stockera des renseignements personnels :

  • Initier tôt : ajouter la PIV à la charte du projet pendant la phase de conception et de planification, avant l'approvisionnement ou les spécifications.
  • Définir la portée des flux de données : lister les éléments de données, les sources, la conservation et les partenaires de partage ; cartographier les déplacements et les contrôles.
  • Évaluer les risques : identifier les risques pour la vie privée, les bases juridiques et la probabilité / gravité des préjudices.
  • Concevoir des atténuations : appliquer des contrôles techniques et organisationnels tels que la minimisation, le chiffrement, les journaux d'accès et les calendriers de conservation.
  • Consigner les décisions : remplir le rapport de PIV, inclure les approbations du chef de service, du service juridique et de la sécurité TI.
  • Approbation et suivi : obtenir les approbations avant le lancement et prévoir une révision post-déploiement et des audits.
Réalisez la PIV tôt pour éviter des refontes coûteuses et des problèmes de conformité.

Rôles et responsabilités

  • Promoteur du projet : s'assure que la PIV est dotée des ressources et approuvée.
  • Responsable de la vie privée ou contact désigné : dirige l'évaluation et la tenue des dossiers.
  • Sécurité TI / architectes : mettent en œuvre les atténuations techniques et fournissent des preuves des contrôles.
  • Conseil juridique : conseille sur les bases légales et les ententes de partage de renseignements.

Sanctions et application

L'exigence municipale d'effectuer une PIV provient généralement de la loi provinciale et des politiques municipales. Les montants d'amendes spécifiques pour l'absence de PIV ne figurent pas habituellement dans les pages de politique municipales ; lorsque des pénalités monétaires existent, elles sont prévues par une loi ou un règlement et doivent être vérifiées dans l'instrument applicable. Pour le cadre juridique provincial relatif à l'accès et à la protection des renseignements personnels, consultez la loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels.[1]

  • Amendes : non précisées sur la page citée pour une omission de PIV ; consultez la loi et les règlements municipaux applicables pour connaître les montants et les plages.
  • Escalade : les règles d'escalade pour les premières et suivantes infractions ne sont pas précisées sur les pages de politique municipales et peuvent être appliquées en vertu d'une législation ou d'un règlement plus large.
  • Sanctions non pécuniaires : ordres de cesser le traitement, mesures correctives, suppression ou obligation de notifier les personnes atteintes et actions judiciaires sont possibles en vertu de la surveillance provinciale.
  • Autorité d'exécution : la surveillance peut impliquer l'autorité provinciale en matière d'accès et de vie privée ainsi que les bureaux municipaux ; les voies de plainte et d'inspection figurent sur les pages municipales et provinciales.[2]
  • Recours : les voies d'appel ou de révision dépendent de l'instrument qui applique la sanction ; les délais d'appel ne sont pas précisés sur les pages municipales citées et doivent être confirmés dans la loi ou le règlement qui impose la sanction.
Si un règlement ou une loi précise des amendes, le texte précisera les montants et les délais d'appel.

Demandes et formulaires

De nombreuses municipalités ne publient pas de formulaire distinct pour la PIV ; les services utilisent plutôt un modèle interne ou le responsable de la vie privée accepte le rapport PIV et la documentation connexe. Si aucun formulaire n'est publié sur le site municipal, indiquer « aucun formulaire requis ou aucun publié officiellement » et conserver le rapport PIV avec les dossiers du projet.[2]

FAQ

Quand une PIV est-elle requise ?
Une PIV est requise pour de nouveaux systèmes ou des changements majeurs qui collectent, utilisent ou divulguent des renseignements personnels et lorsque les risques pour la vie privée sont non triviaux.
Qui doit signer la PIV ?
Le chef de service et le responsable de la vie privée ou le conseil juridique doivent signer la PIV ; la signature de la sécurité TI est recommandée.
Combien de temps conserver les dossiers ?
Les périodes de conservation dépendent de la finalité et des calendriers applicables ; consigner les décisions de conservation dans la PIV.

How-To

  1. Identifier le projet et le déclencheur : confirmer si le nouveau système traite des renseignements personnels et nécessite une PIV.
  2. Remplir le modèle de PIV : cartographier les flux de données, lister les risques et proposer des contrôles avec des responsables.
  3. Examiner et approuver : obtenir les approbations du chef de service, du responsable de la vie privée et de la sécurité TI avant l'approvisionnement.
  4. Mettre en œuvre et surveiller : déployer les contrôles techniques et prévoir une révision post-déploiement dans les six mois.

Points clés

  • Commencez la PIV tôt dans la planification du projet pour réduire les risques.
  • Conservez des dossiers clairs des décisions, approbations et atténuations.

Assistance et ressources

  1. [1] Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (LegisQuébec)
  2. [2] Ville de Québec - Protection des renseignements personnels et pages de politique

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données