Demande d'accès aux documents et protection des renseignements personnels

Toute personne qui en fait la demande a droit d’accès aux documents de l’INRS, sous réserve des règles prévues à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès).

Une demande d’accès doit donc viser les documents détenus par l’INRS dans l’exercice de ses fonctions. Le document demandé doit exister sans que des calculs ou une comparaison doive être faite.

L’INRS n’est pas tenu de préparer un nouveau document pour répondre à une demande.

Une demande d’accès n’est donc pas une demande d’information.

DÉPÔT D’UNE DEMANDE D’ACCÈS

PERSONNE RESPONSABLE DE L’ACCÈS

PROTECTION DES RENSEIGNEMENTS PERSONNELS

COMITÉ SUR L’ACCÈS À L’INFORMATION ET LA PROTECTION DES RENSEIGENEMENTS PERSONNELS

INCIDENT DE CONFIDENTIALITÉ

ACCÈS AUX RENSEIGNEMENTS PERSONNELS DANS LE CONTEXTE D’UNE SUCCESSION OU D’UNE PRESTATION DE DÉCÈS

FORMATION

Documents de référence

Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (gouvernement du Québec)

Politique sur la gestion et la protection des renseignements personnels (INRS)

1. Demande d’accès

Pour accéder aux documents de l’INRS, votre demande doit :

être transmise à la personne responsable de l’accès à l’adresse accesinformation@inrs.ca ou par courrier postal à l’attention de Institut national de la recherche scientifique (INRS), a/s Michel Fortin, Secrétariat général, 490, de la Couronne, Québec (Québec), G1K 9A9.

être suffisamment précise pour permettre à la personne responsable de l’accès de trouver le document demandé. Au besoin, la personne responsable de l’accès peut vous assister.

Pour toute question concernant le dépôt d’une demande d’accès, communiquez avec nous par courriel à accesinformation@inrs.ca ou par téléphone au 418 654-3818.

1.1 Traitement

La personne responsable de l’accès dispose d’au plus 20 jours civils pour répondre. Toutefois, ce délai peut être prolongé de 10 jours, si cela s’avère nécessaire et à la condition de vous en aviser par écrit.

Par ailleurs, le délai pour répondre peut être également prolongé si votre demande vise un renseignement industriel, financier, commercial, scientifique, technique ou syndical fourni par un tiers. La personne responsable de l’accès peut devoir, en effet, demander à ce tiers s’il consent ou non à vous communiquer un tel renseignement. Il doit néanmoins vous informer de cette démarche dans les 20 jours civils de la réception de votre demande.

1.2 Restrictions au droit d’accès

Si une restriction au droit d’accès s’applique à votre demande, la personne responsable pourra refuser de vous donner accès au document demandé, notamment si les renseignements visés par les restrictions en forment la substance. Dans les autres cas, la personne responsable de l’accès devra caviarder les passages visés par les restrictions et vous donnera accès au reste du document.

Par ailleurs, si votre demande vise des renseignements personnels permettant d’identifier une personne autre que vous, sachez que vous n’aurez généralement pas accès à ces renseignements. Pour respecter la confidentialité de ces renseignements, ils seront retirés du document.

1.3 Révision

En cas de refus de vous donner accès au document ou aux renseignements personnels demandés, vous pouvez faire appel de la décision de l’INRS auprès de la Commission d’accès à l’information du Québec dans les trente jours suivant la date de la décision, ou en l’absence de réponse, dans un délai de trente jours du délai accordé par la Loi sur l’accès pour répondre à votre demande.

1.4 Demande à des fins d’étude, de recherche ou de production de statistiques

Les articles 67.2.1 à 67.2.3 de la Loi sur l’accès prévoient la procédure à suivre ainsi que les critères permettant de communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Toutefois, il s’agit d’un pouvoir discrétionnaire.

L’INRS peut donc refuser de communiquer les renseignements personnels demandés même si les critères et les conditions des articles 67.2.1 et 67.2.2 de la Loi sur l’accès sont remplis.

La communication peut s’effectuer si une évaluation des facteurs relatifs à la vie privée conclut que :

1) L’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées.

En d’autres termes, si l’objectif peut être atteint au moyen de renseignements anonymisés, l’INRS ne doit pas communiquer de renseignements personnels. Les articles 67.2.1 et les suivants ne s’appliquent pas, car les renseignements dûment anonymisés ne constituent pas des renseignements personnels. Par ailleurs, si l’objectif peut être atteint avec des renseignements dépersonnalisés, l’organisme public doit privilégier la communication de tels renseignements et respecter l’ensemble des critères et des conditions prévus aux articles 67.2.1 à 67.2.3.

2) Il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées.

Pour ce critère, on peut tenir compte, par exemple, de la difficulté de joindre les personnes ou de leur nombre important. Si l’INRS juge que le demandeur peut obtenir le consentement des personnes concernées à la communication de leurs renseignements personnels, il doit refuser de communiquer ces renseignements sans leur consentement.

3) L’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées.

Ce critère de proportionnalité implique d’évaluer les bienfaits appréhendés du projet par rapport au niveau de risque qu’il pourrait engendrer sur la vie privée des personnes concernées. Les bienfaits peuvent s’évaluer en fonction :

Des sujets de l’étude;
De la recherche ou de la production de statistiques;
Des bénéfices pour la population ou pour des personnes présentant des caractéristiques similaires telles :
- Des femmes enceintes;
- Des personnes atteintes d’une maladie.
Des bienfaits sociétaux, comme l’avancement des connaissances afin d’appuyer la prise de décision relative aux politiques publiques ou d’améliorer les soins de santé.

Les risques sur la vie privée des personnes concernées dépendent notamment de la sensibilité des renseignements personnels, de leur quantité et de leur utilisation. L’INRS peut s’appuyer, si le cas le permet, sur la décision documentée d’un comité d’éthique de la recherche afin de déterminer si le critère de proportionnalité milite en faveur de la communication des renseignements personnels ou non. Ce document doit être transmis par le demandeur en soutien à sa demande.

4) Les renseignements personnels sont utilisés de manière à en assurer la confidentialité.

L’INRS doit refuser de communiquer des renseignements personnels si le projet implique la diffusion de certains renseignements personnels ou si l’utilisation prévue de ces renseignements ne garantit pas le maintien de leur caractère confidentiel.

5) Seuls les renseignements nécessaires sont communiqués.

L’évaluation des facteurs relatifs à la vie privée doit comprendre une analyse de la nécessité de communiquer chaque renseignement personnel demandé afin que l’INRS communique uniquement les renseignements nécessaires à l’étude, à la recherche ou à la production de statistiques.

Par la suite, pour que la demande soit traitée, l’INRS doit conclure avec le demandeur une entente écrite. Pour effectuer une telle demande, vous devez compléter le formulaire de demande d’autorisation(PDF) et le transmettre à accesinformation@inrs.ca

1.5 Responsable de l’accès aux documents et de la protection des renseignements personnels

La fonction de responsable de l’accès aux documents et celle de responsable de la protection des renseignements personnels relève du Secrétariat général. La personne déléguée à ce titre par la direction générale de l’INRS, la secrétaire générale ou le secrétaire général, exerce de manière autonome les fonctions de responsable de l’accès à l’information et de la protection des renseignements personnels aux termes de la Loi sur l’accès.

1.5.1 Responsabilités

Cette fonction est stratégique, puisque la personne responsable doit veiller au respect du droit à l’information et à la vie privée, reconnu par la Charte des droits et libertés de la personne, au sein de l’INRS. Cette personne doit veiller, en tout temps, au respect et à la mise en œuvre de la Loi sur l’accès. De ce fait, elle doit notamment s’assurer que l’INRS dispose des ressources nécessaires et met en place les moyens appropriés pour se conformer à l’ensemble des exigences de la Loi sur l’accès.

1.5.2 Autonomie de la personne responsable

La personne responsable de l’accès aux documents et de la protection des renseignements personnels doit pouvoir exercer ses fonctions de manière autonome. L’autonomie se définit, ici, comme étant la liberté d’action dans l’exercice de certaines fonctions en provenance d’une délégation de pouvoir. Elle implique que la personne responsable applique les dispositions de la Loi sur l’accès en prenant uniquement en considération les facteurs pertinents mentionnés dans cette dernière. Cette autonomie ne signifie toutefois pas que la personne responsable agit en vase clos. Par exemple, lorsqu’une restriction facultative peut s’appliquer à un renseignement, la décision de l’invoquer ou non revient à l’organisme public, et non pas uniquement à la personne responsable. Enfin, celle-ci doit pouvoir, en tenant compte des circonstances d’une demande, rendre une décision juste, impartiale et équitable, sans être influencée par quiconque.

2. Protection des renseignements personnels

Dans le cadre de la poursuite de sa mission, l’INRS doit collecter, utiliser, conserver, communiquer et détruire des renseignements personnels concernant les membres de la communauté INRS. Ces renseignements personnels sont confidentiels, à l’exception de ceux qui ont un caractère public aux termes de la Loi sur l’accès. L’INRS a donc la responsabilité d’en préserver la confidentialité et de se conformer aux obligations qui lui incombent aux termes de la Loi sur l’accès à leur égard, dont notamment obtenir le consentement des personnes qu’ils concernent avant de les communiquer à des tierces personnes. La Politique sur la gestion et la protection des renseignements personnels vise à mettre en place des mesures concrètes à ces fins.

2.1 Renseignements personnels

Les renseignements personnels visés aux articles 53 et 54 de la Loi sur l’accès sont des renseignements qui concernent une personne physique et permettent, directement ou indirectement de l’identifier. Ce renseignement doit être susceptible de distinguer une personne par rapport à une autre ou de faire connaitre des caractéristiques d’une personne physique. Ainsi, des renseignements qui, en soit, n’identifient pas un individu, mais permettent de le retrouver ou de le distinguer des autres sont considérés personnels.

Exemples : adresse IP, NAS, identifiant, échantillon d’informations permettant d’isoler une personne (ex. : parmi les employé·es : âge, citoyenneté, fonction)

2.2 Renseignement personnel sensible

Un renseignement personnel est considéré comme sensible lorsque, par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée.

Ainsi, certains renseignements personnels sont sensibles par leur nature. Il peut s’agir, par exemple, de renseignements médicaux, biométriques, génétiques ou financiers, ou encore de renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou bien l’origine ethnique.

Quant aux renseignements visés à l’article 59 de la Loi sur l’accès qui sont considérés comme sensibles en raison du contexte de leur utilisation ou de leur communication, leur référence se révèle assez large et englobante. Celle-ci tient compte des circonstances particulières dans lesquelles s’inscrivent cette utilisation ou cette communication eu égard à l’expectative élevée, mais raisonnable, de protection de la vie privée qui en découle. Pour déterminer la sensibilité d’un tel renseignement personnel, il faut évaluer l’attente en matière de respect de la vie privée de la personne concernée. Il faut donc se demander si une personne raisonnable et bien informée, placée dans la même situation que la personne concernée, aurait un haut degré d’attente en matière de respect de sa vie privée.

3. Comité sur l’accès à l’information et la protection des renseignements personnels

La Loi sur l’accès prévoit la mise en place d’un comité qui renforce la protection des renseignements personnels à l’INRS et favorise l’harmonisation des pratiques qui guident notamment les actions du personnel et influencent les stratégies des hautes instances.

Le comité relève de la personne ayant la plus haute autorité au sein de l’INRS, soit la direction générale.

3.1 Rôle et responsabilités du comité

Ce comité exerce un rôle de leadership et contribue à la promotion d’une culture organisationnelle qui renforce la protection des renseignements personnels et favorise la transparence. Le comité possède donc l’influence nécessaire pour assurer la prise en considération des impératifs liés à la protection des renseignements personnels et à l’accès aux documents considérant qu’il relève de la personne ayant la plus haute autorité au sein de l’organisme public.

Plus précisément, ce comité doit notamment :

Approuver des règles de gouvernance à l’égard des renseignements personnels;
Être consulté, dès le début du projet et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels. Le comité peut également suggérer, à toutes les étapes du projet :
- La nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
- Des mesures de protection des renseignements personnels dans les documents relatifs au projet, comme un cahier des charges ou un contrat;
- Une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
- La tenue d’activités de formation sur la protection des renseignements personnels pour les participants.
Soutenir l’INRS dans l’exercice de ses responsabilités et dans l’exécution de ses obligations;
Planifier et assurer la réalisation des activités de formation;
Promouvoir les orientations, les directives et les décisions formulées par la Commission d’accès à l’information;
Évaluer annuellement le niveau de protection des renseignements personnels.

3.2 Composition du comité

Le comité est composé de :

la personne responsable de l’accès;
la personne responsable de la sécurité informatique;
une personne représentante du Secrétariat général;
une personne représentante du Service des archives et de la gestion documentaire;
une personne représentante du Service des ressources informationnelle;
toute autre personne, interne ou externe, dont l’expertise est requise.

4. Incident de confidentialité

L’INRS a l’obligation de gérer les incidents de confidentialité qui pourraient survenir. Les membres de la communauté de l’INRS ont donc l’obligation de déclarer tout incident de confidentialité dont ils ont connaissance. Lors d’un incident de confidentialité, l’INRS doit évaluer s’il en découle un risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné.

4.1 Définition

La Loi sur l’accès définit un incident de confidentialité comme suit :

l’accès non autorisé par la loi à un renseignement personnel;
l’utilisation non autorisée par la loi d’un renseignement personnel;
la communication non autorisée par la loi d’un renseignement personnel;
la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Par ailleurs, l’intention de la personne qui provoque l’incident n’est pas considérée. Qu’il s’agisse d’une erreur, d’une vulnérabilité ou d’un acte intentionnel dont un membre de la communauté de l’INRS a connaissance, il est primordial de déclarer l’incident.

Voici quelques exemples :

Un membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis, ou un pirate informatique qui s’infiltre dans un système.
Un membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne.
Une communication faite par erreur à la mauvaise personne.
Une personne qui perd ou se fait voler des documents contenant des renseignements personnels.
Un employé qui dépose des documents contenant des renseignements personnels sur un serveur accessible à d’autres employé·es pour qui il n’est pas nécessaire d’y avoir accès dans le cadre de leurs fonctions.
Une personne qui utilise des renseignements personnels à d’autres fins que pour lesquels ils ont été collectés.
Une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.

4.2 Évaluation du préjudice

Lors d’un incident de confidentialité, l’INRS doit évaluer s’il en découle un risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné. Il doit alors considérer plusieurs facteurs, dont :

La sensibilité des renseignements personnels tels un renseignement financier ou un renseignement d’identité;
Les conséquences appréhendées de l’utilisation de ces renseignements comme :
- Un vol d’identité;
- Une fraude financière;
- Une atteinte importante à la vie privée.
La probabilité que ces renseignements puissent être utilisés à des fins préjudiciables.

Un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable. Il peut conduire, par exemple :

À l’humiliation;
À une atteinte à la réputation;
À une perte financière;
À un vol d’identité;
À des conséquences négatives sur un dossier de crédit;
À une perte d’emploi.

4.3 Transmission des avis à la Commission d’accès à l’information (CAI) et aux personnes concernées

Lorsqu’un incident présente un risque de préjudice sérieux pour les personnes concernées, l’INRS doit toujours aviser la CAI rapidement. Il doit également aviser les personnes concernées par l’incident, sauf lorsque cela est susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois.

À partir du moment où le fait de les informer n’est plus susceptible d’entraver une telle enquête, l’organisme public doit rapidement aviser les personnes concernées.

4.4 Déclarer un incident de confidentialité

Tout membre de la communauté INRS a le devoir de déclarer un incident de confidentialité dont il a connaissance dans l’exercice de ses fonctions. Pour ce faire, il doit remplir le formulaire ci-dessous. Les informations transmises dans le cadre d’une déclaration d’incidents de confidentialité sont traitées de manière confidentielle.

Formulaire de déclaration d’incident de confidentialité

Déclaration d’incident de confidentialité

Votre prénom *

Votre nom *

Votre courriel *

Votre numéro de téléphone

Description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description *

Prénom et nom de la ou des personnes visées par l’incident *

Brève description des circonstances de l’incident et, si elle est connue, sa cause *

Date ou période au cours de laquelle l’organisation a pris connaissance de l’incident *

Date ou période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période *

reCAPTCHA

Si vous êtes un humain, ne remplissez pas ce champ.

5. Accès aux renseignements personnels dans le contexte d’une succession ou d’une prestation de décès

Le décès d’une personne entraine souvent des démarches qui requièrent l’obtention de renseignements personnels ou de documents qui la concernent. Toutefois, seules les personnes suivantes ont le statut requis pour exercer ce droit d’accès dans le contexte d’une succession ou d’une prestation de décès, sous réserve de certaines conditions (articles 88.1 et 94 de la Loi sur l’accès) :

la ou le titulaire de l’autorité parentale, dans le cas d’un enfant mineur décédé;
la liquidatrice ou le liquidateur de la succession;
la personne bénéficiaire d’une assurance vie;
la personne bénéficiaire d’une indemnité de décès;
l’héritière ou l’héritier (une personne successible qui a accepté l’héritage auquel elle a droit);
la ou le successible, soit une personne qui, en vertu de la loi ou d’un testament, peut hériter d’une personne décédée, mais qui n’a pas encore exercé son option d’accepter ou de renoncer à son droit à la succession (à son héritage).

Une personne est considérée comme héritière ou successible, selon le cas, lorsque, dans un testament, elle est désignée comme légataire :

universelle : la personne qui a rédigé le testament lui a accordé l’universalité de ses biens;
à titre universel : elle a vocation à recueillir une quote-part des biens ou d’une catégorie de biens (ex. : biens meubles ou biens immeubles) ou l’universalité d’une catégorie de biens.

5.1 Procédure à suivre lors d’une demande d’accès à des renseignements personnels

L’article 94 de la Loi sur l’accès détermine les modalités à suivre pour qu’une personne puisse accéder aux renseignements personnels de la personne décédée, conformément à l’article 88.1 de cette loi.

5.1.1 Demande d’accès

La demande d’accès doit être écrite et adressée à la personne responsable accesinformation@inrs.ca

Quant au contenu de la demande, il doit faire état :

des renseignements personnels qui permettent d’identifier la personne décédée en fonction de ceux détenus par l’organisme public;
des renseignements personnels ou des documents demandés au sujet de la personne décédée;
de la nécessité d’obtenir les renseignements ou les documents en faisant valoir les intérêts ou les droits de la personne qui en fait la demande;
du statut de la personne qui formule la demande à l’aide des preuves nécessaires.

5.1.2 Preuve du statut de la personne

La personne qui fait une demande d’accès à des renseignements personnels dans le contexte d’une succession ou d’une prestation de décès doit transmettre des documents qui attestent son statut.

La ou le titulaire de l’autorité parentale, dans le cas d’une personne mineure décédée, doit transmettre :

un certificat de décès;
un certificat de naissance ou le jugement d’adoption.

La liquidatrice ou le liquidateur de la succession désigné dans un testament doit fournir :

un certificat de décès;
un testament;
deux certificats de recherche testamentaire, délivrés par la Chambre des notaires du Québec et par le Barreau du Québec, pour confirmer qu’il s’agit du dernier testament.

La liquidatrice ou le liquidateur de la succession sans testament doit joindre :

un certificat de décès;
deux certificats de recherche testamentaire, délivrés par la Chambre des notaires du Québec et par le Barreau du Québec, pour démontrer que la personne décédée n’avait pas de testament;
une désignation d’une liquidatrice ou d’un liquidateur de succession par les héritières et les héritiers;
une déclaration notariée qui atteste le statut de la liquidatrice ou du liquidateur de la succession.

La ou le bénéficiaire d’une assurance vie ou d’une indemnité de décès doit fournir :

un certificat de décès;
un document qui atteste qu’elle ou qu’il est bénéficiaire de l’assurance vie ou de l’indemnité de décès.

L’héritière ou l’héritier ou encore la personne successible ayant un testament doit produire :

un certificat de décès;
un testament;
deux certificats de recherche testamentaire, délivrés par la Chambre des notaires du Québec et par le Barreau du Québec, pour confirmer qu’il s’agit du dernier testament.

L’héritière ou l’héritier ou la personne successible sans testament doit remettre :

un certificat de décès;
deux certificats de recherche testamentaire, délivrés par la Chambre des notaires du Québec et par le Barreau du Québec, qui prouvent que la personne décédée n’avait pas de testament.

5.1.3 Documents à fournir selon une circonstance particulière

Selon la circonstance particulière liée au statut de la personne, cette dernière peut faire parvenir l’un ou l’autre de ces documents :

un contrat ou un certificat de mariage ou d’union civile;
une déclaration notariée qui atteste le statut de la personne héritière ou successible;
un certificat de naissance ou un jugement d’adoption, ou tout autre document qui permet à l’organisme d’établir qu’elle est successible ou héritière au sens des règles concernant la succession légale.

5.2 Décision de l’INRS

La communication de renseignements personnels ou de documents sur une personne décédée peut être faite uniquement auprès des personnes désignées dans la Loi sur l’accès dans le contexte d’une succession ou d’une prestation de décès.

Dans le doute, la personne responsable au sein d’un organisme public est légitimée de refuser de communiquer les renseignements ou les documents demandés en motivant la décision à laquelle elle est parvenue.

Cela n’empêche toutefois pas une personne de formuler une demande d’accès ultérieurement, lorsqu’elle sera en mesure de fournir les documents nécessaires pour justifier son statut.

6. Formation

Introduction à la protection des renseignements personnels

Cette formation dynamique est une introduction au monde de la protection des renseignements personnels. Le cadre législatif en lien avec la gestion d’un renseignement personnel y est exposé, de sa collecte à sa destruction, ainsi que les rôles et les responsabilités des acteurs clés dans ce domaine. Ces derniers sont une source de soutien qui assure, à l’aide de la contribution de chacun des membres de la fonction publique, les principes de confidentialité.

Introduction à la protection des renseignements personnels – Inscription | Brio (brioeducation.ca)

Demande d’accès aux documents et protection des renseignements personnels