APPLICATION DE LA LOI

(Dernière mise à jour de cette page : le 9 avril 1998)

Le présent chapitre porte sur les thèmes suivants :

Introduction

Personne responsable d'une institution

Personne responsable dans le cas d'une municipalité

Personne responsable d'une commission ou d'un conseil local ou d'une institution à l'exception d'une municipalité

Délégation des attributions de la personne responsable

Conflit d'intérêts

Responsabilités de la personne responsable

Autres obligations aux termes de la LAIPVP

Information accessible au public

Rapport au commissaire

Ministre responsable

Documents mis à la disposition du public en des lieux accessibles

Coordonnateur de l'accès à l'information et de la protection de la vie privée

Gestion des documents

Responsabilité

Sécurité et caractère confidentiel des documents

Définition des exigences en matière de sécurité

Mesures de sécurité

Sécurité de la technologie de l'information

Divulgation courante/Dissémination active

Introduction

La Loi sur l'accès à l'information et la protection de la vie privée (LAIPVP) et la Loi sur l'accès à l'information municipale et la protection de la vie privée (LAIMPVP) énoncent toutes les deux les exigences que chaque institution doit respecter. Dans bien des cas, il incombe à la personne responsable de l'institution de faire respecter ces exigences, et notamment de faire ce qui suit :

• répondre aux demandes d'accès à des documents;
• protéger les documents contre toute destruction ou tout endommagement par inadvertance;
• protéger la vie privée des particuliers;
• fournir des renseignements précis au commissaire à l'information et à la protection de la vie privée (le «commissaire»);
• assurer l'accessibilité de renseignements par le public.

En outre, le Secrétariat du Conseil de gestion a émis une directive en matière d'accès à l'information et de protection de la vie privée qui précise les exigences obligatoires que doivent respecter les institutions qui appliquent la LAIPVP de même que les responsabilités qui leur incombent.

La personne responsable d'une institution et le ministre responsable partagent certaines responsabilités administratives, dont la publication du Répertoire des documents. La LAIPVP explique le mode de sélection du ministre responsable, qui assume la responsabilité générale d'appliquer la LAIPVP et la LAIMPVP. Les deux lois précisent aussi les attributions du ministre responsable (appelé le ministre/président du Conseil de gestion du gouvernement dans la LAIMPVP).

Le présent chapitre brosse un tableau sommaire des responsabilités administratives de la personne responsable d'une institution et du ministre responsable et traite de diverses questions liées à l'application des deux lois.

Personne responsable d'une institution

art. 2 et 62 de la LAIPVP / art. 2, 3 et 49 de la LAIMPVP

Dans le cas des institutions assujetties à la LAIPVP, la personne responsable est soit le ministre qui dirige un ministère, soit la personne désignée dans les règlements. Pour ce qui est des institutions assujetties à la LAIMPVP, la personne responsable est le conseil municipal ou le conseil d'administration d'une commission ou d'un conseil local.

Une fois que la personne responsable est déterminée, ses attributions peuvent être déléguées à un ou à plusieurs dirigeants de l'institution.

Personne responsable dans le cas d'une municipalité

par. 3 (2) de la LAIMPVP

La LAIMPVP précise que les membres du conseil d'une municipalité peuvent désigner une personne membre du conseil ou un comité de celui-ci à titre de personne responsable de la municipalité pour l'application de la Loi. La désignation est faite par règlement municipal. Si personne n'est désigné à titre de personne responsable en vertu du paragraphe 3 (2), la personne responsable est le conseil municipal.

Ce pouvoir accorde au conseil de la municipalité une certaine marge de manœuvre en ce qui concerne la désignation de la personne responsable. Celle-ci peut être un particulier, comme le maire, le président du conseil de comité, le préfet ou un conseiller municipal, ou un comité du conseil municipal, comme le comité de direction ou un comité chargé spécialement de l'accès à l'information et de la protection de la vie privée. Si un particulier est désigné, l'acte de désignation peut indiquer soit le nom de cette personne, soit le titre de son poste, selon ce qui est approprié.

On doit accorder une attention toute particulière au choix de la personne responsable. La Loi précise que les décisions relatives à l'accès à l'information doivent être prises dans un délai relativement court, ordinairement 30 jours civils. La personne responsable doit donc être disponible pour prendre ces décisions, sauf si elle a délégué tout ou partie de ses attributions. La désignation d'un comité important à titre de personne responsable peut soulever certains problèmes s'il est difficile ou peu réaliste de convoquer les membres du comité pour qu'ils prennent une décision dans le délai imparti de 30 jours.

Le conseil d'une municipalité qui veut révoquer une désignation doit révoquer le règlement municipal relatif à cette désignation.

Personne responsable d'une commission ou d'un conseil local ou d'une institution à l'exception d'une municipalité

par. 3 (2) de la LAIMPVP

La Loi confère des pouvoirs semblables à ceux d'une municipalité aux conseils, commissions et autres institutions locales. Par exemple, les membres élus ou nommés à un conseil, à une commission ou à un autre organisme qui est une institution peuvent désigner un particulier ou un comité de l'entité à titre de personne responsable. En l'absence de désignation, la personne responsable est les membres élus ou nommés au conseil, à la commission ou à l'autre organisme.

Exemple :

Le conseil d'administration d'une commission de services publics peut adopter par écrit une résolution visant à désigner le président de la commission à titre de personne responsable de l'institution.

S'il veut annuler la désignation, le conseil doit le faire par écrit.

L'Annexe II comprend un modèle de résolution écrite que les commissions et conseils locaux peuvent adapter à leurs propres fins pour désigner une personne responsable.

Délégation des attributions de la personne responsable

par. 62 (1) de la LAIPVP / par. 49 (1) de la LAIMPVP

Une fois qu'elle a été choisie, la personne responsable peut déléguer tout ou partie des attributions qui lui sont conférées aux termes de la Loi. Toutefois, elle reste responsable, en cas de délégation, des mesures et des décisions prises aux termes de la Loi.

La personne responsable peut assortir la délégation de restrictions, de conditions ou d'exigences. Elle peut souhaiter déléguer seulement certaines attributions et garder le pouvoir de prendre certaines décisions. Les institutions doivent respecter la délégation d'attributions. En cas de changement de situation, l'institution doit réviser la délégation.

La personne responsable peut souhaiter déléguer certaines fonctions ordinaires, comme l'envoi d'avis (accusés de réception, estimation des droits, etc.), la préparation du rapport annuel et la fixation des droits à acquitter. Elle peut cependant continuer d'exercer certaines fonctions particulièrement importantes, comme décider si une exception au principe de la divulgation s'applique ou non.

L'Annexe III comprend des modèles de délégation par écrit aux termes de la Loi et indique l'ensemble des attributions qui peuvent être déléguées.

Il importe de déléguer les responsabilités à un ou à plusieurs dirigeants d'une institution qui, le cas échéant, ont accès aux décideurs et peuvent prendre des mesures ou des décisions rapidement et dans les délais prévus par la Loi.

Conflit d'intérêts

Une personne responsable peut se trouver en situation de conflit d'intérêts s'il est raisonnable de présumer qu'elle prend des décisions en fonction de son intérêt personnel, et non de l'intérêt public. Dans certains cas, le conflit d'intérêts peut être plus apparent que réel. Il est recommandé que la délégation des attributions de la personne responsable tienne compte de l'éventualité d'un conflit d'intérêts et prévoit, dans ce cas, le recours à d'autres décideurs.

Responsabilités de la personne responsable

art. 10, 11, 24, 25, 26, 27, 27.1, 28, 29, 30, 33, 34, 36, 39, 40, 44, 46, 48 et 57 de la LAIPVP / art. 4, 5, 17, 18, 19, 20, 21, 22, 25, 26, 28, 29, 30, 31, 34, 35, 37 et 45 de la LAIMPVP

Les deux lois confèrent à la personne responsable certaines responsabilités, notamment :

• respecter les exigences prévues en matière de délais et d'avis;
• tenir compte des observations des tierces parties;
• déterminer la méthode de divulgation;
• donner suite aux demandes d'accès à des documents;
• donner suite aux demandes de rectification de renseignements personnels;
• calculer et prélever des droits;
• prévoir l'accès par le public aux manuels et directives de l'institution;
• défendre en cas d'appel les décisions prises aux termes de la Loi;
• appliquer les dispositions de la Loi en matière de protection de la vie privée.

Autres obligations aux termes de la LAIPVP

art. 44 et par. 46 (3) de la LAIPVP

La LAIPVP stipule que la personne responsable doit faire mettre en mémoire dans une banque de renseignements personnels tous les renseignements personnels dont l'institution a le contrôle et qui sont systématisés ou conçus pour être récupérés à partir du nom d'un particulier, d'un numéro d'identification ou d'un symbole.

Si des renseignements personnels sont utilisés ou divulgués de façon régulière à des fins non énumérées dans le Répertoire des documents dressé aux termes de la LAIPVP, la personne responsable doit s'assurer que cet usage ou cette divulgation est incluse dans l'édition suivante du Répertoire.

La personne responsable doit aussi garder un relevé de toute utilisation par l'institution de renseignements personnels dans une banque de renseignements personnels et de toute nouvelle utilisation ou divulgation qui ne figure pas dans le Répertoire des documents. La nouvelle utilisation ou divulgation doit être consignée et annexée aux renseignements personnels.

Chacune de ces fonctions est explicitée ailleurs dans le Manuel. Le présent chapitre traite plus loin des attributions que la personne responsable partage avec le ministre responsable et des exigences relatives aux rapports qui doivent être présentés au commissaire.

Information accessible au public

art. 31, 32, 33, 34, 35, 36, 45 et 46 de la LAIPVP / art. 24, 25, 34 et 35 de la LAIMPVP

La personne responsable d'une institution doit préparer des descriptions des documents et des banques de renseignements personnels de l'institution et assurer leur accessibilité. Ces descriptions aident le public à déterminer la teneur des renseignements que conserve généralement chaque institution. Une description exacte des documents permet à l'auteur de la demande de présenter une demande plus détaillée, ce qui, par le fait même, simplifie le processus de préparation d'une réponse.

Dans le cas des institutions assujetties à la LAIPVP, l'article 36 stipule que les personnes responsables doivent fournir au ministre responsable, à sa demande, les renseignements dont il a besoin pour préparer le Répertoire des documents visé aux articles 31, 32 et 45 de la Loi.

Les descriptions des documents des institutions assujetties à la LAIMPVP sont rendues accessibles au grand public dans un ou plusieurs endroits, comme le bureau central d'un conseil ou d'une commission, le bureau du secrétaire d'une municipalité ou une bibliothèque publique. La description des documents peut être préparée de bien des façons et peut se faire en fonction du matériel existant. Par exemple, les municipalités et leurs commissions et conseils peuvent se servir des rapports annuels ou des brochures promotionnelles qui décrivent le mode de structuration et d'organisation de l'institution. Le répertoire des dossiers d'une institution peut servir à dresser la liste des documents qu'elle garde.

Les personnes responsables des institutions assujetties à la LAIMPVP doivent elles aussi s'assurer que les descriptions des documents et des banques de renseignements personnels sont exactes et à jour.

• un exposé de la structure et des responsabilités de l'institution;
• un répertoire des catégories générales ou des genres de documents dont l'institution a la garde ou le contrôle;
• un répertoire de toutes les banques de données de renseignements personnels dont l'institution a la garde ou le contrôle avec l'information suivante :

  le nom de la banque de renseignements personnels et le lieu où elle est située,

  l'autorité légale invoquée,

  une description du genre de renseignements personnels qui y sont conservés,

  les usages réguliers faits de ces renseignements personnels,

  les personnes à qui les renseignements personnels sont divulgués de façon régulière,

  les catégories de particuliers au sujet desquels des renseignements personnels sont conservés,

  les politiques et pratiques applicables à la conservation et à la disposition des renseignements personnels,

  les titre, adresse et numéro de téléphone de la personne responsable,

  l'adresse à laquelle une demande d'accès aux documents doit être présentée.

Les institutions assujetties à la LAIPVP doivent respecter les exigences supplémentaires en matière d'accessibilité de l'information énoncées aux articles 31, 33 et 46. Les voici :

• elles doivent préciser l'endroit où les manuels, répertoires et autres documents peuvent être consultés;
• elles doivent indiquer l'adresse de leur bibliothèque ou de leur salle de lecture accessible au public;
• chaque fois que des renseignements personnels sont utilisés ou divulgués de façon régulière à une fin autre que celle décrite dans le Répertoire des documents, la personne responsable doit en aviser immédiatement le ministre responsable.

Rapport au commissaire

art. 34 de la LAIPVP / art. 26 de la LAIMPVP

La personne responsable présente au commissaire un rapport annuel qui énonce ce qui suit :

• le nombre de demandes d'accès reçues;
• le nombre de demandes rejetées, les dispositions de la Loi à l'appui de ces refus, et la fréquence de renvoi à chacune des dispositions invoquées;
• pour chaque disposition de la Loi, le nombre d'appels interjetés;
• le nombre de fois où des renseignements personnels ont été utilisés ou divulgués à une fin non précisée dans les déclarations d'utilisations et d'objectifs décrites aux alinéas 45 d) et e) de la LAIPVP / alinéas 34 (1) d) et e) de la LAIMPVP;
• le montant des droits perçus aux termes de l'article 57 de la LAIPVP / article 45 de la LAIMPVP;
• les renseignements relatifs aux mesures prises par l'institution afin de réaliser les objets de la présente loi.

Le commissaire envoie aux institutions les directives et les formulaires nécessaires à la préparation de ce rapport.

Ministre responsable

art. 2, 3, 31, 32, 35, par. 39 (2) et 40 (4), art. 45 et 60 de la LAIPVP / art. 2, 23, 24, par. 29 (2) et art. 47 de la LAIMPVP

Règl. de l'Ont. 460 / Règl. de l'Ont. 823

Le ministre responsable est tenu de faire ce qui suit :

• faire publier un répertoire de toutes les institutions, avec des renseignements sur l'endroit où doivent être présentées les demandes d'accès, et préciser si les institutions sont dotées d'une bibliothèque ou d'une salle de lecture accessibles au public et l'adresse de celles-ci, le cas échéant;
• faire publier annuellement un répertoire des documents, qui est un inventaire répertorié des documents généraux et des banques de renseignements personnels des institutions assujetties à la LAIMPVP.

Le ministre responsable fait aussi préparer des trousses de formation et d'autres documents, y compris le présent manuel, pour appuyer l'application appropriée de la LAIPVP / LAIMPVP.

Le lieutenant-gouverneur en conseil peut, par règlement, traiter de diverses questions, dont les suivantes : formalités d'accès aux documents originaux ou aux renseignements personnels et garanties et normes pour assurer la protection et le caractère confidentiel des documents et des renseignements personnels dont les institutions ont le contrôle. Les règlements sont élaborés par le ministre responsable.

La personne responsable doit normalement obtenir l'approbation du ministre responsable avant de passer outre à l'obligation juridique d'aviser la personne concernée que des renseignements personnels sont recueillis sur elle. Ce document s'appelle une dispense d'avis.

Documents mis à la disposition du public en des lieux accessibles

art. 33 et 35 de la LAIPVP

La personne responsable d'une institution assujettie à la LAIPVP et le ministre responsable doivent collaborer dans l'exercice de leurs responsabilités aux termes de la Loi. Cette coopération est particulièrement nécessaire au chapitre de l'accessibilité du public aux documents.

Le ministre responsable doit rendre accessible au grand public, dans la salle de lecture, la bibliothèque ou le bureau que chaque institution assujettie à la LAIPVP désigne, la documentation suivante :

• le Répertoire des institutions;
• le Répertoire des documents.

• les manuels, directives ou lignes directrices élaborés par l'institution et destinés à ses dirigeants et qui comportent les interprétations données aux dispositions d'un texte législatif ou d'un programme mis en application par l'institution;
• les instructions et lignes directrices à l'intention des dirigeants de l'institution ayant trait aux lignes de conduite à adopter, aux moyens à utiliser ainsi qu'aux objectifs à atteindre dans l'application ou l'exécution des dispositions d'un texte législatif ou d'un programme concernant le public, par l'institution chargée de leur application;
• le rapport annuel au commissaire.

Les manuels, directives ou lignes directrices qui doivent être mis à la disposition du public sont ceux qu'élabore et qu'utilise le personnel de l'institution pour établir l'admissibilité d'un particulier à un programme, un changement de statut, l'imposition de nouvelles conditions touchant un particulier participant à un programme, ou l'imposition d'obligations ou de responsabilités en vertu d'un programme.

Les manuels et autres documents qui ne visent que les activités et l'administration internes de l'institution et qui ne concernent pas le public ne sont pas inclus. Par exemple, les manuels d'instructions sur le fonctionnement d'appareils ou les formalités à suivre pour commander des fournitures de bureaux ne sont pas inclus.

Les exceptions visant les autres documents gouvernementaux s'appliquent aussi aux lignes directrices et aux manuels d'administration. Des parties peuvent en être extraites si elles sont inconsultables aux termes de la LAIPVP. On doit préciser qu'un extrait a été supprimé, indiquer la nature des renseignements supprimés et préciser la disposition de la Loi invoquée pour supprimer ce passage.

Exemple :

Le manuel qui porte sur les mesures ou consignes de sécurité visant un bâtiment ouvert au grand public (comme une prison ou un laboratoire) peut comprendre des passages qui sont supprimés pour plusieurs raisons légitimes.

Les documents suivants peuvent être utiles dans une salle de lecture :

• les calendriers de conservation des documents;
• les répertoires de dossiers;
• les répertoires des publications dont l'institution a la garde.

Coordonnateur de l'accès à l'information et de la protection de la vie privée

Chaque institution désigne une personne chargée de coordonner le programme d'accès à l'information et de protection de la vie privée et d'aider ainsi l'institution à respecter les obligations que lui impose la Loi.

Les responsabilités du coordonnateur sont fonction de la taille de l'institution, de son mandat et de sa structure. Le coordonnateur peut occuper son poste à temps plein ou à temps partiel, auquel cas il peut aussi exercer d'autres fonctions. Le coordonnateur peut assumer les responsabilités suivantes :

• élaborer et surveiller les méthodes d'application de la Loi, y compris instaurer un système de suivi des demandes, préparer des rapports statistiques et veiller au respect des exigences de la Loi;
• formuler des recommandations politiques à l'égard des questions liées à la Loi;
• assurer la formation et l'orientation du personnel;
• consulter les cadres intermédiaires et supérieurs et les conseillers juridiques en ce qui concerne l'interprétation et l'application de la Loi;
• recueillir des renseignements relativement à la mention de l'institution dans le Répertoire des documents ou les répertoires des catégories générales de documents et des banques de renseignements personnels;
• assurer la liaison avec le Bureau central de l'accès à l'information et de la protection de la vie privée, le commissaire et d'autres institutions et organismes centraux;
• prendre des décisions relativement aux demandes présentées aux termes de la Loi (en cas de délégation de ce pouvoir par la personne responsable);
• fournir des services de consultation et de soutien en ce qui concerne la Loi aux organismes liés à l'institution;
• élaborer des mesures pour assurer le respect des dispositions de la Loi en matière de protection de la vie privée.

Gestion des documents

L'amélioration des systèmes de gestion des documents dans les institutions est l'un des principaux avantages à long terme de la Loi. Le public est en droit de s'attendre à ce que chaque institution connaisse les documents dont elle a la garde et le contrôle, de même que le lieu où ils se trouvent à des fins de récupération.

Le Chapitre 3 (Procédures d'accès) traite de la gestion des documents, notamment de la garde et du contrôle des documents, y compris les documents de personnages politiques et d'autres fonctionnaires élus.

Responsabilité

Dans le cas d'institutions plus importantes, le vérificateur interne ou un autre cadre peut coordonner les questions de sécurité à l'échelle de l'organisation et fournir un soutien technique à chacun des gestionnaires. Quant à elles, les petites organisations peuvent confier la responsabilité de la sécurité des documents à l'administrateur principal ou à une personne occupant un poste de responsabilité.

Quel que soit le mode d'affectation de la responsabilité de la gestion des documents, ce mode doit être documenté et la personne en cause doit recevoir une formation appropriée à cet égard.

Sécurité et caractère confidentiel des documents

art. 60 de la LAIPVP / art. 47 de la LAIMPVP

art. 3 du Règl. de l'Ont. 460 de la LAIPVP / art. 3 du Règl. de l'Ont. 823

Des règlements peuvent être pris pour exiger des garanties d'ordre administratif, technique et matériel et en fixer les normes, afin d'assurer la protection et le caractère confidentiel des documents et des renseignements personnels dont une institution a le contrôle.

L'article 3 du Règlement de l'Ontario 460 et l'article 3 du Règlement de l'Ontario 823 exigent que des mesures soient prises pour interdire tout accès non autorisé aux documents de l'institution et empêcher leur destruction ou leur endommagement par inadvertance. Les deux règlements s'appliquent aux questions d'accès et de sécurité dans l'administration ordinaire des documents de l'institution, et non à l'accès aux documents à la suite d'une demande présentée aux termes de la LAIPVP / LAIMPVP.

Si des documents sont détruits par inadvertance avant la date fixée pour leur disposition dans le calendrier de conservation, les auteurs de demande d'accès ne peuvent exercer leur droit d'accès à ces documents. La personne responsable doit donc prendre toutes les mesures raisonnables pour empêcher que les documents de l'institution soient détruits par inadvertance.

Lorsqu'elle établit ces mesures raisonnables, la personne responsable tient compte de tous les facteurs pertinents, dont les suivants :

• le support sur lequel se trouve le document (par exemple, les mesures de protection prises à l'égard des documents sur support papier peuvent ne pas convenir à d'autres supports);
• l'existence de copies du document;
• la valeur inhérente de l'original du document (archives, documents signés, etc.);
• l'importance du document pour le fonctionnement de l'institution;
• les coûts de remplacement ou de reconstitution du document;
• le coût des mesures de protection disponibles.

• création à intervalles réguliers de copies de sauvegarde (disquettes, photocopies, microfilms) et conservation d'une copie ailleurs qu'à l'endroit où se trouve l'original ou la copie de travail;
• utilisation de classeurs ininflammables;
• installation des aires d'archivage et des aires de travaux informatiques loin des zones où peuvent se produire des dégâts d'eau ou des incendies (loin des tuyaux apparents, etc.);
• rangement des documents et de l'équipement servant à la préparation des documents à quelques centimètres du sol afin de parer aux inondations;
• installation de détecteurs de fumée et de matériel d'extinction d'incendie (signalons cependant que certaines composantes du matériel d'extinction d'incendie automatique, comme les gicleurs, constituent en soi un danger pour les documents et le matériel informatique);
• pertinence des installations de stockage et des méthodes de conservation au support sur lequel se trouve le document (par exemple, les supports magnétiques peuvent facilement être détruits ou endommagés s'ils ne sont pas stockés adéquatement). De plus, comme les supports magnétiques sont souvent reliés à un système d'exploitation et à un ensemble d'appareils particuliers, les données stockées sur ce type de support peuvent être inutilisables en cas de destruction du système d'exploitation ou des appareils.

Définition des exigences en matière de sécurité

Avant de prendre des mesures pour empêcher tout accès non autorisé à ses documents, l'institution détermine les niveaux d'accès applicables aux documents. Cette détermination se fait ordinairement en fonction des catégories de documents, mais il peut être nécessaire, à l'occasion, de fixer des niveaux d'accès particuliers à l'égard d'un document ou d'un dossier donné. L'établissement des niveaux d'accès doit aussi tenir compte du degré de sécurité applicable aux renseignements les plus délicats compris dans la catégorie visée.

Il importe de prendre en considération tous les facteurs pertinents lorsqu'on étudie la question de l'accès contrôlé à des documents et d'examiner la portée et l'envergure des contrôles prévus. On doit, notamment, tenir compte de ce qui suit :

• l'application ou non d'exceptions aux documents;
• la nature des exceptions (obligatoires ou discrétionnaires) susceptibles de s'appliquer;
• les circonstances dans lesquelles l'institution a reçu ou créé les documents;
• le préjudice pouvant résulter d'un accès non autorisé
• le besoin de protéger les documents contre toute tentative d'altération;
• le besoin de protéger le caractère unique des documents originaux.

Mesures de sécurité

Lorsqu'elle élabore des mesures de sécurité, la personne responsable doit opposer le coût et la complexité des mesures à tout préjudice pouvant résulter d'un accès non autorisé. Les mesures de sécurité doivent être appropriées à la nature du document en question et au niveau de sécurité requis.

Les mesures de sécurité applicables aux documents sur papier comprennent notamment :

• l'adoption de politiques relatives au rangement des bureaux et le verrouillage des bureaux lorsqu'ils ne sont pas surveillés;
• le verrouillage des classeurs lorsqu'ils ne sont pas surveillés et le contrôle et la documentation de l'accès aux clés;
• l'instauration de fichiers centraux, l'adoption de formalités relatives au retrait et au retour des dossiers, et l'imposition de restrictions au droit de faire des photocopies;
• le verrouillage de la salle des fichiers et le contrôle de l'accès à cette salle par des préposés;
• l'instauration d'un système d'étiquettes avec un code numérique ou alphanumérique au lieu d'un texte descriptif;
• l'incorporation de dispositions relatives à la sécurité dans les contrats conclus avec des fournisseurs de services de stockage et de destruction de documents;
• l'adoption de politiques relatives à la communication et au prêt des documents pour limiter leur divulgation au personnel en fonction du principe de l'accès sélectif;
• l'adoption de politiques et de procédures relativement à l'utilisation des télécopieurs, y compris les politiques applicables aux genres de renseignements qui ne doivent pas être télécopiés, l'accès par le personnel au télécopieur et l'emplacement physique du télécopieur. Il faut aussi établir des méthodes de vérification (pour s'assurer, par exemple, que la télécopie est envoyée au bon numéro avant sa transmission électronique). Les personnes intéressées peuvent consulter les lignes directrices en matière d'utilisation des télécopieurs que le commissaire a établies.

Sécurité de la technologie de l'information

Le Conseil de gestion du gouvernement a adopté à l'égard des institutions visées par la LAIPVP une directive en matière de sécurité de la technologie de l'information. Cette directive vise les fins suivantes :

• veiller à ce que les ministères et les organismes garantissent le caractère confidentiel des renseignements de même que l'intégrité et la disponibilité des données pendant les étapes de création, de saisie, de traitement, de communication, de transport, de dissémination, de stockage et de destruction par l'intermédiaire de la technologie de l'information;
• aider le personnel des ministères et des organismes à prendre conscience des exigences en matière de sécurité applicables à la technologie de l'information et assurer sa sensibilisation continue;
• définir les responsabilités et les exigences obligatoires concernant l'élaboration, la mise en œuvre et la gestion des mesures de sécurité applicables à la technologie de l'information.

Cette directive s'applique à tous les ministères et à tous les organismes énumérés à l'Annexe 1, sauf en cas d'exceptions prévues dans un protocole d'entente.

La directive vise ce qui suit :

• les renseignements que détiennent les ministères et les organismes sur support électronique;
• tous les renseignements que détiennent les ministères et les organismes sur support papier ou sur un support non électrique, si ces renseignements se trouvent sous le contrôle opérationnel d'un fournisseur de services de technologie de l'information.

Remarque : Un manuel du gestionnaire sur la sécurité de la technologie de l'information a été publié afin de faciliter la mise en œuvre de cette directive.

Toutes les institutions doivent tenir compte des facteurs suivants qui s'appliquent à l'accès contrôlé aux documents et à la nature et à l'étendue des contrôles prévus :

• le positionnement des terminaux de façon que les allants et venants ne puissent lire les renseignements affichés à l'écran;
• l'utilisation d'un mot de passe dans le cas du matériel informatique et l'adoption de politiques régissant l'affectation, l'emploi et la suppression d'un identificateur utilisateur et d'un mot de passe;
• le chiffrage des données transmises ou l'élaboration de lignes directrices applicables à la transmission de renseignements confidentiels (lignes directrices concernant l'utilisation du courrier électronique, etc.);
• l'instauration de systèmes de suivi pour surveiller l'utilisation des données et identifier l'utilisateur;
• l'incorporation de dispositions relatives à la sécurité dans les contrats conclus avec des fournisseurs externes de services de technologie de l'information.

Divulgation courante/Dissémination active (DC/DA)

Ces deux processus permettent à l'institution de garantir un accès plus facile, plus rapide et plus économique aux documents. Le paragraphe 63 (1) de la LAIPVP et le paragraphe 50 (1) de la LAIMPVP prévoient la divulgation de renseignements hors du processus formel d'accès (p. ex. en cas de demandes verbales ou même en l'absence de demandes), même si cela n'est pas expressément prescrit dans les deux lois.

Le commissaire et le SCG ont conjointement publié deux documents qui comprennent des conseils sur les mécanismes d'amélioration de l'accès aux renseignements gouvernementaux grâce aux processus de DC/DA, ainsi que des exemples. On peut se procurer ces documents auprès du commissaire.