Adoption
Instance	Date	Décision

 

Modification
Instance	Date	Décision	Commentaires

Révision	Tous les cinq (5) ans
Responsable	La personne responsable de l’accès aux documents et de la protection des renseignements personnels
Parties prenantes	Secrétariat général Service des technologies de l’information Services de la bibliothèque

1. Dispositions générales

1.1 Préambule

Dans le cadre de ses activités, l’Université du Québec à Chicoutimi (ci-après « l’Université ») est amenée à traiter des renseignements personnels. Certains de ces traitements présentent des risques d’atteinte à la vie privée pour les personnes concernées. Ils sont de ce fait soumis à la réalisation d’une évaluation des facteurs relatifs à la vie privée (ci-après « EFVP »), afin d’identifier ces risques et de déterminer les mesures pour les atténuer.

Qu’est-ce qu’une EFVP ?

L’EFVP est une démarche visant à protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Il s’agit d’une forme d’analyse d’impact. Elle consiste à considérer, avant de commencer un projet et tout au long de sa durée, tous les facteurs ayant un effet positif ou négatif sur la vie privée des personnes concernées. Ces facteurs sont les suivants :

• Conformité à la législation et aux principes
  La conformité du projet à la législation applicable en matière de protection des renseignements personnels et le respect des principes l’appuyant;
• Analyse des risques
  L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;
• Stratégies d’atténuation
  La mise en place de stratégies pour éviter ces risques ou les réduire efficacement et assurer leur maintien dans le temps.

L’EFVP permet de démontrer que l’Université fait preuve de diligence en respectant ses obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement les renseignements personnels, et ce, tout au long de leur cycle de vie.

« Par essence, l’EFVP constitue donc un outil nécessaire pour réfléchir à la nécessité et à la proportionnalité de votre projet et les démontrer, en tenant compte de ses objectifs et des risques d’atteinte à la vie privée qu’il engendre. Ces deux notions sont fondamentales en matière de protection des renseignements personnels et sont des conditions incontournables de légalité ».

Réaliser une évaluation des facteurs relatifs à la vie privée, Guide d’accompagnement à la démarche et à sa documentation, avril 2024, CAI

1.2 Objectif

La présente directive précise les balises entourant la réalisation d’une EFVP de même que les rôles et responsabilités des intervenants. Elle doit se lire en concordance avec la Politique relative à la de protection des renseignements personnels de l’Université et les documents en découlant.

1.3 Champ d’application

La présente directive s’applique à toute personne impliquée dans la mise en place et la gestion des activités de traitement des renseignements personnels pour le compte de l’Université, et ce, à travers tout leur cycle de vie (collecte, utilisation, communication, conservation et destruction).

1.4 Références

Textes habilitants :

• Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, RLRQ, c. G-1.03;
• loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1;
• Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c.A-2.1 (ci-après appelé « Loi sur l’accès »);
• Politique relative à la protection des renseignements personnels.

Documents connexes ou nécessaires à l’interprétation de la présente politique :

• Réaliser une évaluation des facteurs relatifs à la vie privée, Guide d’accompagnement à la démarche et à sa documentation, avril 2024, CAI

1.5 Responsable de l’application

La personne responsable de l’accès à l’information et de la protection des renseignements personnels (ci-après « personne responsable AIPRP ») est responsable de l’application de la présente directive.

 

1.6 Définition

Les définitions de la Politique relative à la protection des renseignements personnels s’appliquent à la présente procédure.

2. Modalités

2.1 Membre de la communauté universitaire

Tout membre de la communautaire universitaire qui désire réaliser l’un des projets énumérés au tableau suivant doit au préalable consulter la personne responsable AIPRP. 

 

2.2  Comité sur l’accès à l’information et la protection des renseignements personnels («CAIPRP»)

Dans le cas d’une EFVP requise pour un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels, le CAIPRP doit être consulté dès le début du projet.

Dans les autres cas, la personne responsable AIPRP peut s’adjoindre le CAIPRP si elle le juge nécessaire dans la réalisation de l’EFVP.

2.3 Préparer une EFVP

Une fois qu’il est déterminé qu’une EFVP est requise en vertu de la Loi sur l’accès, la personne responsable AIPRP réalise l’EFVP en collaboration avec les intervenants requis. Selon le projet en question, le Service des technologies de l’information ou les Services de la bibliothèque peuvent par exemple être impliqués.

Aux fins de la réalisation de l’EFVP, la personne responsable AIPRP suit les modalités précisées au Guide d’accompagnement de la Commission d’accès à l’information « Réaliser une évaluation des facteurs relatifs à la vie privée ».

Réaliser une évaluation des facteurs relatifs à la vie privée, Guide d’accompagnement à la démarche et à sa documentation, avril 2024, CAI

2.4 Rédaction d’un rapport d’EFVP

La personne responsable AIPRP documente, sous la forme d’un rapport, la démarche d’EFVP effectuée. Un rapport d’EFVP sert à documenter et à consolider les résultats de l’évaluation de facteurs relatifs à la vie privée.

Le rapport devrait notamment comprendre les points suivants :

•                                   La description du projet;
•                                   Le contexte du projet et les objectifs poursuivis;
•                                Toutes les parties prenantes au projet, en incluant la description     de leur rôle et de leurs responsabilités ;
• Une description des moyens mis en place pour respecter les obligations et les principes en matière de protection des renseignements personnels.

2.5 Reddition de compte annuelle au Comité sur l’accès à l’information et la protection des renseignement personnels («CAIPRP»)

La personne responsable AIPRP soumet au CAIPRP, pour information, un rapport annuel des EFVP traitées dans la dernière année. Le CAIPRP peut émettre des recommandations, notamment quant aux mesures de protection à mettre en place dans le futur.

2.6 Mise en oeuvre du plan d’action compris dans le rapport d’EFVP

Les personnes responsables identifiées dans le rapport d’EFVP doivent mettre en place les mesures retenues.

3. Mise à jour

La présente directive doit être mise à jour au besoin ou au minimum, tous les cinq (5) ans. Les mises à jour sont adoptées par la régie du rectorat, suivant la recommandation du Comité sur l’accès à l’information et sur la protection des renseignements personnels.

 

4. Dispositions finales

La présente directive entre en vigueur au moment de son adoption par le Conseil d’administration, suivant la recommandation du Comité sur l’accès à l’information et sur la protection des renseignements personnels.