Introduction

La Loi sur l'accès à l'information et la protection de la vie privée (LAIPVP) et la Loi sur l'accès à l'information municipale et la protection de la vie privée (LAIMPVP) énoncent toutes les deux les exigences que chaque institution doit respecter. Dans bien des cas, il incombe à la personne responsable de l'institution de faire respecter ces exigences, et notamment de faire ce qui suit :

  • répondre aux demandes d'accès à des documents;
  • protéger les documents contre toute destruction ou tout endommagement par inadvertance;
  • protéger la vie privée des particuliers;
  • fournir des renseignements précis au commissaire à l'information et à la protection de la vie privée (le «commissaire»);
  • assurer l'accessibilité de renseignements par le public.

En outre, le Secrétariat du Conseil de gestion a émis une directive en matière d'accès à l'information et de protection de la vie privée qui précise les exigences obligatoires que doivent respecter les institutions qui appliquent la LAIPVP de même que les responsabilités qui leur incombent.

La personne responsable d'une institution et le ministre responsable partagent certaines responsabilités administratives, dont la publication du Répertoire des documents. La LAIPVP explique le mode de sélection du ministre responsable, qui assume la responsabilité générale d'appliquer la LAIPVP et la LAIMPVP. Les deux lois précisent aussi les attributions du ministre responsable (appelé le ministre/président du Conseil de gestion du gouvernement dans la LAIMPVP).

Le présent chapitre brosse un tableau sommaire des responsabilités administratives de la personne responsable d'une institution et du ministre responsable et traite de diverses questions liées à l'application des deux lois.

Personne responsable d'une institution

art. 2 et 62 de la LAIPVP / art. 2, 3 et 49 de la LAIMPVP

La personne responsable d'une institution est chargée des décisions que prend l'institution aux termes de la LAIPVP / LAIMPVP et de la surveillance de l'application de ces deux lois par l'institution. Elle doit notamment veiller à ce que l'institution respecte les dispositions de ces deux lois en matière d'accès à l'information et à ce que les renseignements personnels que détient l'institution soient exacts, à jour, recueillis, utilisés et divulgués uniquement aux fins autorisées. La LAIPVP / LAIMPVP précise les cas où la divulgation de renseignements peut être autorisée ou interdite, ainsi que les cas où la personne responsable peut exercer des pouvoirs discrétionnaires.

Dans le cas des institutions assujetties à la LAIPVP, la personne responsable est soit le ministre qui dirige un ministère, soit la personne désignée dans les règlements. Pour ce qui est des institutions assujetties à la LAIMPVP, la personne responsable est le conseil municipal ou le conseil d'administration d'une commission ou d'un conseil local.

Une fois que la personne responsable est déterminée, ses attributions peuvent être déléguées à un ou à plusieurs dirigeants de l'institution.

Personne responsable dans le cas d'une municipalités

par. 3 (2) de la LAIMPVP


La LAIMPVP précise que les membres du conseil d'une municipalité peuvent désigner une personne membre du conseil ou un comité de celui-ci à titre de personne responsable de la municipalité pour l'application de la Loi. La désignation est faite par règlement municipal. Si personne n'est désigné à titre de personne responsable en vertu du paragraphe 3 (2), la personne responsable est le conseil municipal.

Ce pouvoir accorde au conseil de la municipalité une certaine marge de manoeuvre en ce qui concerne la désignation de la personne responsable. Celle-ci peut être un particulier, comme le maire, le président du conseil de comité, le préfet ou un conseiller municipal, ou un comité du conseil municipal, comme le comité de direction ou un comité chargé spécialement de l'accès à l'information et de la protection de la vie privée. Si un particulier est désigné, l'acte de désignation peut indiquer soit le nom de cette personne, soit le titre de son poste, selon ce qui est approprié.

On doit accorder une attention toute particulière au choix de la personne responsable. La Loi précise que les décisions relatives à l'accès à l'information doivent être prises dans un délai relativement court, ordinairement 30 jours civils. La personne responsable doit donc être disponible pour prendre ces décisions, sauf si elle a délégué tout ou partie de ses attributions. La désignation d'un comité important à titre de personne responsable peut soulever certains problèmes s'il est difficile ou peu réaliste de convoquer les membres du comité pour qu'ils prennent une décision dans le délai imparti de 30 jours.

Le conseil d'une municipalité qui veut révoquer une désignation doit révoquer le règlement municipal relatif à cette désignation.

Annexe I comprend un modèle de règlement que les municipalités peuvent adapter à leur propres fins pour désigner une personne responsable.

Personne responsable d'une commission ou d'un conseil local ou d'une institution à l'exception d'une municipalité

par. 3 (2) de la LAIMPVP

La Loi confère des pouvoirs semblables à ceux d'une municipalité aux conseils, commissions et autres institutions locales. Par exemple, les membres élus ou nommés à un
conseil, à une commission ou à un autre organisme qui est une institution peuvent désigner un particulier ou un comité de l'entité à titre de personne responsable. En l'absence de désignation, la personne responsable est les membres élus ou nommés au conseil, à la commission ou à l'autre organisme.

La désignation doit être par écrit le cas échéant.

Exemple : Le conseil d'administration d'une commission de services publics peut adopter par écrit une résolution visant à désigner le président de la commission à titre de personne responsable de l'institution.

S'il veut annuler la désignation, le conseil doit le faire par écrit.

L'Annexe II comprend un modèle de résolution écrite que les commissions et conseils locaux peuvent adapter à leurs propres fins pour désigner une personne responsable.

Délégation des attributions de la personne responsable

par. 62 (1) de la LAIPVP / par. 49 (1) de la LAIMPVP

Une fois qu'elle a été choisie, la personne responsable peut déléguer tout ou partie des attributions qui lui sont conférées aux termes de la Loi. Toutefois, elle reste responsable, en cas de délégation, des mesures et des décisions prises aux termes de la Loi.

La personne responsable peut déléguer par écrit ses attributions à un ou à plusieurs dirigeants de l'institution ou, dans le cas des institutions assujetties à la LAIMPVP, à une autre institution. Les attributions sont ordinairement déléguées à un poste, et non à une personne donnée. L'acte de délégation précise clairement les attributions déléguées.

La personne responsable peut assortir la délégation de restrictions, de conditions ou d'exigences. Elle peut souhaiter déléguer seulement certaines attributions et garder le pouvoir de prendre certaines décisions. Les institutions doivent respecter la délégation d'attributions. En cas de changement de situation, l'institution doit réviser la délégation.

Exemple : La personne responsable peut souhaiter déléguer certaines fonctions ordinaires, comme l'envoi d'avis (accusés de réception, estimation des droits, etc.), la préparation du rapport annuel et la fixation des droits à acquitter. Elle peut cependant continuer d'exercer certaines fonctions particulièrement importantes, comme décider si une exception au principe de la divulgation s'applique ou non.

Les employés qui délivrent les avis que prévoit la Loi (notamment les avis de décision) doivent s'assurer qu'ils sont habilités à ce faire. Si l'employé d'une institution qui n'est pas habilité par écrit interdit à un particulier d'avoir un accès partiel à des documents, l'institution est réputée avoir refusé un accès total aux documents.

L'Annexe III comprend des modèles de délégation par écrit aux termes de la Loi et indique l'ensemble des attributions qui peuvent être déléguées.

Il importe de déléguer les responsabilités à un ou à plusieurs dirigeants d'une institution qui, le cas échéant, ont accès aux décideurs et peuvent prendre des mesures ou des décisions rapidement et dans les délais prévus par la Loi.

Conflit d'intérêts

Un conflit d'intérêts peut exister si un fonctionnaire sait qu'il a un intérêt privé qui est suffisamment lié à ses fonctions publiques pour influencer l'exercice de ces fonctions. Souvent, le conflit d'intérêts porte sur des questions d'ordre financier. Un conflit d'intérêts peut aussi surgir si la personne responsable exerce les responsabilités que la Loi lui impose en matière de prise de décisions.

Une personne responsable peut se trouver en situation de conflit d'intérêts s'il est raisonnable de présumer qu'elle prend des décisions en fonction de son intérêt personnel, et non de l'intérêt public. Dans certains cas, le conflit d'intérêts peut être plus apparent que réel. Il est recommandé que la délégation des attributions de la personne responsable tienne compte de l'éventualité d'un conflit d'intérêts et prévoit, dans ce cas, le recours à d'autres décideurs.

Responsabilités de la personne responsable

art. 10, 11, 24, 25, 26, 27, 27.1, 28, 29, 30, 33, 34, 36, 39, 40, 44, 46, 48 et 57 de la LAIPVP / art. 4, 5, 17, 18, 19, 20, 21, 22, 25, 26, 28, 29, 30, 31, 34, 35, 37 et 45 de la LAIMPVP

Les deux lois confèrent à la personne responsable certaines responsabilités, notamment :

  • respecter les exigences prévues en matière de délais et d'avis;
  • tenir compte des observations des tierces parties;
  • déterminer la méthode de divulgation;
  • donner suite aux demandes d'accès à des documents;
  • donner suite aux demandes de rectification de renseignements personnels;
  • calculer et prélever des droits;
  • prévoir l'accès par le public aux manuels et directives de l'institution;
  • défendre en cas d'appel les décisions prises aux termes de la Loi;
  • appliquer les dispositions de la Loi en matière de protection de la vie privée.

Autres obligations aux termes de la LAIPVP

art. 44 et par. 46 (3) de la LAIPVP

La LAIPVP stipule que la personne responsable doit faire mettre en mémoire dans une banque de renseignements personnels tous les renseignements personnels dont l'institution a le contrôle et qui sont systématisés ou conçus pour être récupérés à partir du nom d'un particulier, d'un numéro d'identification ou d'un symbole.

Si des renseignements personnels sont utilisés ou divulgués de façon régulière à des fins non énumérées dans le Répertoire des documents dressé aux termes de la LAIPVP, la personne responsable doit s'assurer que cet usage ou cette divulgation est incluse dans l'édition suivante du Répertoire.

La personne responsable doit aussi garder un relevé de toute utilisation par l'institution de renseignements personnels dans une banque de renseignements personnels et de toute nouvelle utilisation ou divulgation qui ne figure pas dans le Répertoire des documents. La nouvelle utilisation ou divulgation doit être consignée et annexée aux renseignements personnels.

Chacune de ces fonctions est explicitée ailleurs dans le Manuel. Le présent chapitre traite plus loin des attributions que la personne responsable partage avec le ministre responsable et des exigences relatives aux rapports qui doivent être présentés au commissaire.

Information accessible au public

art. 31, 32, 33, 34, 35, 36, 45 et 46 de la LAIPVP / art. 24, 25, 34 et 35 de la LAIMPVP

La personne responsable d'une institution doit préparer des descriptions des documents et des banques de renseignements personnels de l'institution et assurer leur accessibilité. Ces descriptions aident le public à déterminer la teneur des renseignements que conserve généralement chaque institution. Une description exacte des documents permet à l'auteur de la demande de présenter une demande plus détaillée, ce qui, par le fait même, simplifie le processus de préparation d'une réponse.

Dans le cas des institutions assujetties à la LAIPVP, l'article 36 stipule que les personnes responsables doivent fournir au ministre responsable, à sa demande, les renseignements dont il a besoin pour préparer le Répertoire des documents visé aux articles 31, 32 et 45 de la Loi.

Les descriptions des documents des institutions assujetties à la LAIMPVP sont rendues accessibles au grand public dans un ou plusieurs endroits, comme le bureau central d'un conseil ou d'une commission, le bureau du secrétaire d'une municipalité ou une bibliothèque publique. La description des documents peut être préparée de bien des façons et peut se faire en fonction du matériel existant. Par exemple, les municipalités et leurs commissions et conseils peuvent se servir des rapports annuels ou des brochures promotionnelles qui décrivent le mode de structuration et d'organisation de l'institution. Le répertoire des dossiers d'une institution peut servir à dresser la liste des documents qu'elle garde.

Les personnes responsables des institutions assujetties à la LAIMPVP doivent elles aussi s'assurer que les descriptions des documents et des banques de renseignements personnels sont exactes et à jour.

La description des documents et des banques de renseignements personnels doit comprendre les éléments suivants :

  • un exposé de la structure et des responsabilités de l'institution;
  • un répertoire des catégories générales ou des genres de documents dont l'institution a la garde ou le contrôle;
  • un répertoire de toutes les banques de données de renseignements personnels dont l'institution a la garde ou le contrôle avec l'information suivante :
    • le nom de la banque de renseignements personnels et le lieu où elle est située,
    • l'autorité légale invoquée,
    • une description du genre de renseignements personnels qui y sont conservés,
    • les usages réguliers faits de ces renseignements personnels,
    • les personnes à qui les renseignements personnels sont divulgués de façon régulière,
    • les catégories de particuliers au sujet desquels des renseignements personnels sont conservés,
    • les politiques et pratiques applicables à la conservation et à la disposition des renseignements personnels,
    • les titre, adresse et numéro de téléphone de la personne responsable,
    • l'adresse à laquelle une demande d'accès aux documents doit être présentée.

Les institutions assujetties à la LAIPVP doivent respecter les exigences supplémentaires en matière d'accessibilité de l'information énoncées aux articles 31, 33 et 46. Les voici :

  • elles doivent préciser l'endroit où les manuels, répertoires et autres documents peuvent être consultés;
  • elles doivent indiquer l'adresse de leur bibliothèque ou de leur salle de lecture accessible au public;
  • chaque fois que des renseignements personnels sont utilisés ou divulgués de façon régulière à une fin autre que celle décrite dans le Répertoire des documents, la personne responsable doit en aviser immédiatement le ministre responsable.

Rapport au commissaire

art. 34 de la LAIPVP / art. 26 de la LAIMPVP

La personne responsable présente au commissaire un rapport annuel qui énonce ce qui suit :

  • le nombre de demandes d'accès reçues;
  • le nombre de demandes rejetées, les dispositions de la Loi à l'appui de ces refus, et la fréquence de renvoi à chacune des dispositions invoquées;
  • pour chaque disposition de la Loi, le nombre d'appels interjetés;
  • le nombre de fois où des renseignements personnels ont été utilisés ou divulgués à une fin non précisée dans les déclarations d'utilisations et d'objectifs décrites aux alinéas 45 d) et e) de la LAIPVP / alinéas 34 (1) d) et e) de la LAIMPVP;
  • le montant des droits perçus aux termes de l'article 57 de la LAIPVP / article 45 de la LAIMPVP;
  • les renseignements relatifs aux mesures prises par l'institution afin de réaliser les objets de la présente loi.

Le commissaire envoie aux institutions les directives et les formulaires nécessaires à la préparation de ce rapport.

Ministre responsable

art. 2, 3, 31, 32, 35, par. 39 (2) et 40 (4), art. 45 et 60 de la LAIPVP / art. 2, 23, 24, par. 29 (2) et art. 47 de la LAIMPVP

Règl. de l'Ont. 460 / Règl. de l'Ont. 823

Le lieutenant-gouverneur en conseil peut, par décret, désigner un ministre de la Couronne comme ministre responsable. Le ministre responsable applique la LAIPVP / LAIMPVP.

Le ministre responsable est tenu de faire ce qui suit :

  • faire publier un répertoire de toutes les institutions, avec des renseignements sur l'endroit où doivent être présentées les demandes d'accès, et préciser si les institutions sont dotées d'une bibliothèque ou d'une salle de lecture accessibles au public et l'adresse de celles-ci, le cas échéant;
  • faire publier annuellement un répertoire des documents, qui est un inventaire répertorié des documents généraux et des banques de renseignements personnels des institutions assujetties à la LAIMPVP.

Le ministre responsable fait aussi préparer des trousses de formation et d'autres documents, y compris le présent manuel, pour appuyer l'application appropriée de la LAIPVP / LAIMPVP.

Le lieutenant-gouverneur en conseil peut, par règlement, traiter de diverses questions, dont les suivantes : formalités d'accès aux documents originaux ou aux renseignements personnels et garanties et normes pour assurer la protection et le caractère confidentiel des documents et des renseignements personnels dont les institutions ont le contrôle. Les règlements sont élaborés par le ministre responsable.

La personne responsable doit normalement obtenir l'approbation du ministre responsable avant de passer outre à l'obligation juridique d'aviser la personne concernée que des renseignements personnels sont recueillis sur elle. Ce document s'appelle une dispense d'avis.

Responsabilité

L'une des premières grandes étapes de l'instauration d'un système de gestion des documents d'une institution consiste à affecter la responsabilité de la sécurité des documents à une personne. Le responsable des documents varie d'une institution à l'autre selon la taille et la complexité de l'institution. Normalement, le gestionnaire directement responsable des activités d'un programme est aussi responsable de la protection des documents constitués dans le cadre de ce programme.

Dans le cas d'institutions plus importantes, le vérificateur interne ou un autre cadre peut coordonner les questions de sécurité à l'échelle de l'organisation et fournir un soutien technique à chacun des gestionnaires. Quant à elles, les petites organisations peuvent confier la responsabilité de la sécurité des documents à l'administrateur principal ou à une personne occupant un poste de responsabilité.

Quel que soit le mode d'affectation de la responsabilité de la gestion des documents, ce mode doit être documenté et la personne en cause doit recevoir une formation appropriée à cet égard.

Sécurité et caractère confidentiel des documents

art. 60 de la LAIPVP / art. 47 de la LAIMPVP

art. 3 du Règl. de l'Ont. 460 de la LAIPVP / art. 3 du Règl. de l'Ont. 823

Des règlements peuvent être pris pour exiger des garanties d'ordre administratif, technique et matériel et en fixer les normes, afin d'assurer la protection et le caractère confidentiel des documents et des renseignements personnels dont une institution a le contrôle.

L'article 3 du Règlement de l'Ontario 460 et l'article 3 du Règlement de l'Ontario 823 exigent que des mesures soient prises pour interdire tout accès non autorisé aux documents de l'institution et empêcher leur destruction ou leur endommagement par inadvertance. Les deux règlements s'appliquent aux questions d'accès et de sécurité dans l'administration ordinaire des documents de l'institution, et non à l'accès aux documents à la suite d'une demande présentée aux termes de la LAIPVP / LAIMPVP.

La personne responsable d'une institution veille à ce que seuls les particuliers qui ont besoin d'un document dans le cadre de l'exercice de leurs fonctions y aient accès. Dans la plupart des cas, l'institution détermine les membres du personnel qui ont besoin d'avoir accès à une catégorie ou à un ensemble donné de documents dans l'exercice de leurs fonctions et prend les mesures nécessaires pour que seules ces personnes aient accès à ces documents.

Si des documents sont détruits par inadvertance avant la date fixée pour leur disposition dans le calendrier de conservation, les auteurs de demande d'accès ne peuvent exercer leur droit d'accès à ces documents. La personne responsable doit donc prendre toutes les mesures raisonnables pour empêcher que les documents de l'institution soient détruits par inadvertance.

Lorsqu'elle établit ces mesures raisonnables, la personne responsable tient compte de tous les facteurs pertinents, dont les suivants :

  • le support sur lequel se trouve le document (par exemple, les mesures de protection prises à l'égard des documents sur support papier peuvent ne pas convenir à d'autres supports);
  • l'existence de copies du document;
  • la valeur inhérente de l'original du document (archives, documents signés, etc.);
  • l'importance du document pour le fonctionnement de l'institution;
  • les coûts de remplacement ou de reconstitution du document;
  • le coût des mesures de protection disponibles.

Même si les mesures que les institutions prennent pour empêcher la destruction de documents par inadvertance varient d'une institution à l'autre, certaines mesures s'appliquent à toutes :

  • création à intervalles réguliers de copies de sauvegarde (disquettes, photocopies, microfilms) et conservation d'une copie ailleurs qu'à l'endroit où se trouve l'original ou la copie de travail;
  • utilisation de classeurs ininflammables;
  • installation des aires d'archivage et des aires de travaux informatiques loin des zones où peuvent se produire des dégâts d'eau ou des incendies (loin des tuyaux apparents, etc.);
  • rangement des documents et de l'équipement servant à la préparation des documents à quelques centimètres du sol afin de parer aux inondations;
  • installation de détecteurs de fumée et de matériel d'extinction d'incendie (signalons cependant que certaines composantes du matériel d'extinction d'incendie automatique, comme les gicleurs, constituent en soi un danger pour les documents et le matériel informatique);
  • pertinence des installations de stockage et des méthodes de conservation au support sur lequel se trouve le document (par exemple, les supports magnétiques peuvent facilement être détruits ou endommagés s'ils ne sont pas stockés adéquatement). De plus, comme les supports magnétiques sont souvent reliés à un système d'exploitation et à un ensemble d'appareils particuliers, les données stockées sur ce type de support peuvent être inutilisables en cas de destruction du système d'exploitation ou des appareils.

L'institution doit documenter les mesures prises pour empêcher la destruction de documents par inadvertance.

Définition des exigences en matière de sécurité

Avant de prendre des mesures pour empêcher tout accès non autorisé à ses documents, l'institution détermine les niveaux d'accès applicables aux documents. Cette détermination se fait ordinairement en fonction des catégories de documents, mais il peut être nécessaire, à l'occasion, de fixer des niveaux d'accès particuliers à l'égard d'un document ou d'un dossier donné. L'établissement des niveaux d'accès doit aussi tenir compte du degré de sécurité applicable aux renseignements les plus délicats compris dans la catégorie visée.

Il importe de prendre en considération tous les facteurs pertinents lorsqu'on étudie la question de l'accès contrôlé à des documents et d'examiner la portée et l'envergure des contrôles prévus. On doit, notamment, tenir compte de ce qui suit :

  • l'application ou non d'exceptions aux documents;
  • la nature des exceptions (obligatoires ou discrétionnaires) susceptibles de s'appliquer;
  • les circonstances dans lesquelles l'institution a reçu ou créé les documents;
  • le préjudice pouvant résulter d'un accès non autorisé
  • le besoin de protéger les documents contre toute tentative d'altération;
  • le besoin de protéger le caractère unique des documents originaux.

Mesures de sécurité

Lorsqu'elle élabore des mesures de sécurité, la personne responsable doit opposer le coût et la complexité des mesures à tout préjudice pouvant résulter d'un accès non autorisé. Les mesures de sécurité doivent être appropriées à la nature du document en question et au niveau de sécurité requis.

Les mesures de sécurité applicables aux documents sur papier comprennent notamment :

  • l'adoption de politiques relatives au rangement des bureaux et le verrouillage des bureaux lorsqu'ils ne sont pas surveillés;
  • le verrouillage des classeurs lorsqu'ils ne sont pas surveillés et le contrôle et la documentation de l'accès aux clés;
  • l'instauration de fichiers centraux, l'adoption de formalités relatives au retrait et au retour des dossiers, et l'imposition de restrictions au droit de faire des photocopies;
  • le verrouillage de la salle des fichiers et le contrôle de l'accès à cette salle par des préposés;
  • l'instauration d'un système d'étiquettes avec un code numérique ou alphanumérique au lieu d'un texte descriptif;
  • l'incorporation de dispositions relatives à la sécurité dans les contrats conclus avec des fournisseurs de services de stockage et de destruction de documents;
  • l'adoption de politiques relatives à la communication et au prêt des documents pour limiter leur divulgation au personnel en fonction du principe de l'accès sélectif;
  • l'adoption de politiques et de procédures relativement à l'utilisation des télécopieurs, y compris les politiques applicables aux genres de renseignements qui ne doivent pas être télécopiés, l'accès par le personnel au télécopieur et l'emplacement physique du télécopieur. Il faut aussi établir des méthodes de vérification (pour s'assurer, par exemple, que la télécopie est envoyée au bon numéro avant sa transmission électronique). Les personnes intéressées peuvent consulter les lignes directrices en matière d'utilisation des télécopieurs que le commissaire a établies.

Sécurité de la technologie de l'information

Le Conseil de gestion du gouvernement a adopté à l'égard des institutions visées par la LAIPVP une directive en matière de sécurité de la technologie de l'information. Cette directive vise les fins suivantes :

  • veiller à ce que les ministères et les organismes garantissent le caractère confidentiel des renseignements de même que l'intégrité et la disponibilité des données pendant les étapes de création, de saisie, de traitement, de communication, de transport, de dissémination, de stockage et de destruction par l'intermédiaire de la technologie de l'information;
  • aider le personnel des ministères et des organismes à prendre conscience des exigences en matière de sécurité applicables à la technologie de l'information et assurer sa sensibilisation continue;
  • définir les responsabilités et les exigences obligatoires concernant l'élaboration, la mise en oeuvre et la gestion des mesures de sécurité applicables à la technologie de l'information.

Cette directive s'applique à tous les ministères et à tous les organismes énumérés à l'Annexe 1, sauf en cas d'exceptions prévues dans un protocole d'entente.

La directive vise ce qui suit :

  1. les renseignements que détiennent les ministères et les organismes sur support électronique;
  2. tous les renseignements que détiennent les ministères et les organismes sur support papier ou sur un support non électrique, si ces renseignements se trouvent sous le contrôle opérationnel d'un fournisseur de services de technologie de l'information.

Remarque : Un manuel du gestionnaire sur la sécurité de la technologie de l'information a été publié afin de faciliter la mise en oeuvre de cette directive.

Toutes les institutions doivent tenir compte des facteurs suivants qui s'appliquent à l'accès contrôlé aux documents et à la nature et à l'étendue des contrôles prévus :

  • le positionnement des terminaux de façon que les allants et venants ne puissent lire les renseignements affichés à l'écran;
  • l'utilisation d'un mot de passe dans le cas du matériel informatique et l'adoption de politiques régissant l'affectation, l'emploi et la suppression d'un identificateur utilisateur et d'un mot de passe;
  • le chiffrage des données transmises ou l'élaboration de lignes directrices applicables à la transmission de renseignements confidentiels (lignes directrices concernant l'utilisation du courrier électronique, etc.);
  • l'instauration de systèmes de suivi pour surveiller l'utilisation des données et identifier l'utilisateur;
  • l'incorporation de dispositions relatives à la sécurité dans les contrats conclus avec des fournisseurs externes de services de technologie de l'information.

Divulgation courante/Dissémination active (DC/DA)

Les concepts de DC/DA sont des concepts distincts qui facilitent tous les deux un plus grand accès aux renseignements gouvernementaux. On parle de divulgation courante lorsqu'une demande d'accès à un document général est ordinairement accueillie, qu'elle soit présentée dans le cadre ou hors du cadre du processus officiel d'accès prescrit par la LAIPVP / LAIMPVP. Quant à elle, la dissémination active s'applique à la diffusion périodique de renseignements ou de documents (sans demande) conformément à une stratégie particulière de divulgation de renseignements.

Ces deux processus permettent à l'institution de garantir un accès plus facile, plus rapide et plus économique aux documents. Le paragraphe 63 (1) de la LAIPVP et le paragraphe 50 (1) de la LAIMPVP prévoient la divulgation de renseignements hors du processus formel d'accès (p. ex. en cas de demandes verbales ou même en l'absence de demandes), même si cela n'est pas expressément prescrit dans les deux lois.

Le commissaire et le SCG ont conjointement publié deux documents qui comprennent des conseils sur les mécanismes d'amélioration de l'accès aux renseignements gouvernementaux grâce aux processus de DC/DA, ainsi que des exemples. On peut se procurer ces documents auprès du commissaire.