G-1.03 - Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement

Texte complet
À jour au 31 décembre 2023
Ce document a valeur officielle.
chapitre G-1.03
Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
CHAPITRE I
OBJET ET APPLICATION
1. La présente loi a pour objet d’instaurer un cadre de gouvernance et de gestion en matière de ressources informationnelles applicable aux organismes publics et aux entreprises du gouvernement, lequel vise particulièrement:
1°  à permettre d’offrir aux citoyens et aux entreprises des services simplifiés, intégrés et de qualité qui s’appuient sur les technologies de l’information, incluant les technologies numériques, tout en assurant la pérennité du patrimoine numérique gouvernemental;
2°  à optimiser la gestion des ressources informationnelles et des services publics en favorisant la mise en commun, notamment, du savoir-faire, de l’information, des systèmes, des infrastructures et des ressources;
3°  à assurer la protection adéquate des ressources informationnelles des organismes publics utilisées en soutien à la prestation des services publics ou à l’accomplissement des missions de l’État;
4°  à instaurer une gouvernance et une gestion optimales des données numériques gouvernementales pour simplifier l’accès aux services publics par les citoyens et les entreprises, mieux soutenir l’action gouvernementale, accroître la performance et la résilience de l’administration publique et rehausser la qualité et la protection de ces données;
5°  à coordonner les initiatives de transformation numérique des organismes publics en vue d’offrir des services publics entièrement numériques;
6°  à assurer une gestion rigoureuse et transparente des sommes consacrées aux ressources informationnelles;
7°  à promouvoir l’usage des meilleures pratiques en matière de gouvernance et de gestion des ressources informationnelles et le développement de l’expertise gouvernementale relativement aux technologies de l’information, incluant les technologies numériques;
8°  à favoriser la mise en oeuvre d’orientations et de stratégies communes à l’ensemble des organismes publics.
2011, c. 19, a. 1; 2017, c. 28, a. 1; 2021, c. 22, a. 1.
2. Pour l’application de la présente loi, sont des organismes publics, lesquels organismes forment l’Administration publique aux fins de la présente loi:
1°  les ministères du gouvernement;
2°  les organismes budgétaires énumérés à l’annexe 1 de la Loi sur l’administration financière (chapitre A-6.001), à l’exception de ceux mentionnés au paragraphe 5°, et la Sûreté du Québec;
3°  les organismes autres que budgétaires énumérés à l’annexe 2 de cette loi, à l’exception de ceux mentionnés au paragraphe 5°, de même que la Commission des normes, de l’équité, de la santé et de la sécurité du travail, le Conseil de gestion de l’assurance parentale dans l’exercice de ses fonctions fiduciaires, Retraite Québec et la Société de l’assurance automobile du Québec dans l’exercice de ses fonctions fiduciaires;
4°  les centres de services scolaires, les commissions scolaires et le Comité de gestion de la taxe scolaire de l’île de Montréal;
4.1°  les collèges d’enseignement général et professionnel et les établissements d’enseignement de niveau universitaire mentionnés aux paragraphes 1° à 11° de l’article 1 de la Loi sur les établissements d’enseignement de niveau universitaire (chapitre E-14.1);
5°  les établissements publics visés par la Loi sur les services de santé et les services sociaux (chapitre S-4.2), le gestionnaire des assurances du réseau de la santé et des services sociaux visé à l’article 435.1 de cette loi, la Régie régionale de la santé et des services sociaux du Nunavik instituée en application de l’article 530.25 de cette loi, le Conseil cri de la santé et des services sociaux de la Baie James institué en vertu de la Loi sur les services de santé et les services sociaux pour les autochtones cris (chapitre S-5), les centres de communication santé visés par la Loi sur les services préhospitaliers d’urgence (chapitre S-6.2), le Commissaire à la santé et au bien-être, la Corporation d’urgences-santé, Héma-Québec, l’Institut national d’excellence en santé et en services sociaux, l’Institut national de santé publique du Québec, l’Office des personnes handicapées du Québec et la Régie de l’assurance maladie du Québec;
6°  les autres organismes désignés par le gouvernement.
Sont considérées comme des organismes budgétaires ou autres que budgétaires les personnes désignées ou nommées par le gouvernement ou par un ministre, avec le personnel qu’elles dirigent, dans le cadre des fonctions qui leur sont attribuées par la loi, le gouvernement ou le ministre et qui sont respectivement énumérées aux annexes 1 et 2 de la Loi sur l’administration financière.
2011, c. 19, a. 2; 2013, c. 28, a. 134; 2015, c. 15, a. 237; 2015, c. 20, a. 61; 2017, c. 21, a. 78; 2017, c. 28, a. 2; 2020, c. 1, a. 309; 2020, c. 2, a. 32; 2021, c. 22, a. 2.
3. L’Assemblée nationale, toute personne nommée ou désignée par cette dernière pour exercer une fonction en relevant, avec le personnel qu’elle dirige, ainsi que la Commission de la représentation ne sont assujetties à la présente loi que dans la mesure prévue par une loi.
2011, c. 19, a. 3.
4. Pour l’application de la présente loi, sont des entreprises du gouvernement les organismes énumérés à l’annexe 3 de la Loi sur l’administration financière (chapitre A-6.001), la Caisse de dépôt et placement du Québec et la Commission de la construction du Québec.
2011, c. 19, a. 4; 2017, c. 28, a. 3.
5. Le gouvernement peut, sur recommandation du ministre de la Cybersécurité et du Numérique, soustraire un organisme public ou une catégorie d’organismes publics visés à l’article 2 ou une entreprise du gouvernement visée à l’article 4 à l’application, en tout ou en partie, de la présente loi.
Il peut également, sur recommandation conjointe du ministre de la Cybersécurité et du Numérique et du ministre chargé de l’application de la loi qui régit une entreprise du gouvernement visée à l’article 4, prévoir que les dispositions du chapitre II.2, les dispositions de tout règlement pris en vertu de l’article 22.1.1 ou les orientations, les stratégies, les politiques, les standards, les directives, les règles ou les indications d’application relatifs à la sécurité de l’information pris en vertu de la présente loi s’appliquent, en tout ou en partie et aux conditions qu’il détermine, à une telle entreprise.
2011, c. 19, a. 5; 2021, c. 33, a. 18; 2023, c. 28, a. 1.
5.1. Un organisme public doit appliquer les orientations, les stratégies, les politiques, les standards, les directives, les règles ou les indications d’application pris en vertu de la présente loi.
La responsabilité du respect de cette obligation incombe au dirigeant de l’organisme public, qui doit prendre des moyens pour la faire connaître et respecter par les membres du personnel de celui-ci.
Pour l’application de la présente loi, le dirigeant de l’organisme public correspond à la personne ayant la plus haute autorité administrative, tels le sous-ministre, le président, le directeur général ou toute autre personne responsable de la gestion courante de l’organisme. Toutefois, lorsqu’il s’agit d’un organisme public visé aux paragraphes 4° ou 4.1° du premier alinéa de l’article 2, le conseil d’administration ou, dans le cas d’une commission scolaire visée par la Loi sur l’instruction publique pour les autochtones cris, inuit et naskapis (chapitre I-14), le conseil des commissaires est le dirigeant de l’organisme.
2023, c. 28, a. 2.
CHAPITRE II
DIRIGEANT PRINCIPAL DE L’INFORMATION ET DIRIGEANTS DE L’INFORMATION
2011, c. 19, c. II; 2017, c. 28, a. 4.
SECTION I
DIRIGEANT PRINCIPAL DE L’INFORMATION
6. Le sous-ministre du ministère de la Cybersécurité et du Numérique agit à titre de dirigeant principal de l’information.
2011, c. 19, a. 6; 2021, c. 33, a. 19.
7. Le dirigeant principal de l’information a notamment pour fonctions:
0.1°  de développer et de soumettre au ministre une vision globale en matière de ressources informationnelles, incluant en ce qui concerne la transformation numérique de l’Administration publique, et de proposer les moyens pour la mettre en oeuvre;
0.2°  de favoriser l’adéquation entre, d’une part, les priorités gouvernementales et les priorités des organismes publics et, d’autre part, les possibilités qu’offrent les ressources informationnelles pour soutenir les projets de transformation et les activités courantes de ces organismes;
1°  de mettre en oeuvre les politiques et les directives prises conformément à la présente loi, d’en surveiller l’application et d’en coordonner l’exécution;
1.1°  de formuler et de transmettre aux organismes publics des indications d’application en matière de ressources informationnelles auxquelles ces derniers doivent se conformer;
2°  de conseiller le ministre en matière de ressources informationnelles notamment à l’égard de stratégies, de politiques, de budgets, de cadres de gestion, de standards, de systèmes et d’acquisitions ainsi qu’en matière de ressources humaines liées à ces ressources informationnelles et de formuler des recommandations en ces matières;
3°  de proposer au ministre un plan des investissements et des dépenses en matière de ressources informationnelles des organismes publics visé à l’article 16.1 ainsi que tout autre document de planification que ce dernier lui demande;
4°  de coordonner la mise en oeuvre des initiatives en ressources informationnelles, notamment celles visant la transformation organisationnelle et plus spécifiquement celles visant une administration publique numérique axées sur les besoins des citoyens, des entreprises et des organismes publics;
5°  de concevoir et mettre à jour l’architecture d’entreprise gouvernementale, notamment en sécurité de l’information et des actifs informationnels de même qu’en gestion de l’information;
6°  (paragraphe abrogé);
7°  de diffuser auprès des organismes publics et des entreprises du gouvernement les pratiques exemplaires et les solutions ou approches novatrices en matière de ressources informationnelles et d’informer le ministre des résultats observés et des bénéfices obtenus;
7.1°  de développer une expertise en matière de ressources informationnelles, plus particulièrement en sécurité de l’information, en transformation numérique et en technologies de l’information, incluant les technologies numériques, de manière à offrir aux organismes publics des services, des conseils ou du soutien et à renforcer le savoir-faire de l’État en telles matières;
8°  de prendre les mesures requises pour que les organismes publics considèrent l’ensemble des technologies offrant un potentiel d’économies ou de bénéfices ou la mise en commun ou le partage de celles-ci, ainsi que des modèles de développement ou d’acquisition disponibles pour répondre à leurs besoins, dont les logiciels libres;
9°  de proposer des guides, des pratiques et divers services visant à soutenir les organismes publics et les entreprises du gouvernement en matière de ressources informationnelles;
10°  d’exercer toute autre fonction que lui attribue le ministre ou le gouvernement.
Pour l’application de la présente loi, on entend par «indication d’application» toute instruction donnée par écrit portant sur l’exécution d’activités, l’acquittement de responsabilités ou l’application de mesures en matière de ressources informationnelles.
2011, c. 19, a. 7; 2017, c. 28, a. 5; 2020, c. 2, a. 33; 2021, c. 22, a. 3; 2021, c. 33, a. 20.
7.1. Le dirigeant principal de l’information agit, pour l’Administration publique, à titre de:
1°  chef gouvernemental de la sécurité de l’information, en assumant les responsabilités prévues à l’article 12.6;
2°  chef gouvernemental de la transformation numérique, en assumant les responsabilités prévues à l’article 12.9;
3°  gestionnaire des données numériques gouvernementales, en assumant les responsabilités prévues à l’article 12.12.
Il peut déléguer par écrit à une personne relevant de sa direction l’exercice de l’une ou l’autre des responsabilités qu’il assume.
2021, c. 22, a. 4.
SECTION II
DIRIGEANTS DE L’INFORMATION
2011, c. 19, sec. II; 2017, c. 28, a. 6.
8. Tout ministre titulaire d’un ministère désigne, parmi les membres du personnel de direction qui relèvent directement de son sous-ministre et après recommandation du dirigeant principal de l’information, un dirigeant de l’information pour son ministère ainsi que pour l’ensemble des autres organismes publics relevant de son portefeuille.
Toutefois, le ministre peut, sur recommandation du ministre responsable d’un organisme visé au premier alinéa, autoriser cet organisme à désigner son propre dirigeant de l’information. Le cas échéant, cette désignation est effectuée par le dirigeant de l’organisme public après recommandation du dirigeant principal de l’information. À compter de cette désignation, aucun dirigeant de l’information désigné conformément au premier alinéa n’exerce ses fonctions auprès de cet organisme public.
2011, c. 19, a. 8; 2017, c. 28, a. 6; 2020, c. 1, a. 278; 2020, c. 2, a. 34; 2021, c. 22, a. 5; 2021, c. 33, a. 31; 2023, c. 28, a. 3.
8.1. (Abrogé).
2013, c. 28, a. 135; 2017, c. 28, a. 6.
9. Malgré le premier alinéa de l’article 8, un ministre peut, après consultation du dirigeant principal de l’information, prendre entente avec un autre ministre afin que le dirigeant de l’information que ce dernier désigne en vertu de cet alinéa agisse également en tant que dirigeant de l’information pour son ministère de même que pour les autres organismes publics relevant de sa responsabilité.
2011, c. 19, a. 9; 2017, c. 28, a. 6.
10. Le dirigeant de l’information désigné en vertu du premier alinéa de l’article 8 qui est rattaché aux organismes publics visés aux paragraphes 4°, 4.1° ou 5° du premier alinéa de l’article 2 peut être désigné «dirigeant réseau de l’information».
2011, c. 19, a. 10; 2017, c. 28, a. 6.
10.1. Un dirigeant de l’information a notamment pour fonctions:
1°  de veiller à l’application, par chaque organisme public auquel il est rattaché, des orientations, stratégies, politiques, standards, directives, règles et indications d’application pris en vertu de la présente loi;
2°  de coordonner et de promouvoir la transformation organisationnelle auprès de chacun de ces organismes;
3°  de rendre compte au dirigeant principal de l’information de l’état d’avancement de même que des résultats des projets en ressources informationnelles de chacun de ces organismes ainsi que du respect des obligations découlant de la présente loi;
4°  d’assurer, lorsqu’il est rattaché à plusieurs organismes publics, une consolidation des outils de planification produits par ceux-ci;
5°  de participer au comité de gouvernance institué à l’article 12.1;
6°  de conseiller le dirigeant de chaque organisme public auquel il est rattaché en matière de ressources informationnelles, notamment quant aux solutions ou approches novatrices pouvant répondre à ses besoins;
7°  de définir, si nécessaire, dans le respect des règles établies conformément à la présente loi, des règles particulières en matière de gestion de l’information, incluant celles inhérentes à la sécurité de l’information, qui, après approbation du ministre, seront applicables à l’ensemble ou à une partie des organismes publics auxquels il est rattaché;
8°  de prendre les mesures requises pour que les organismes qui lui sont rattachés considèrent l’ensemble des technologies offrant un potentiel d’économies ou de bénéfices ou la mise en commun ou le partage de celles-ci, ainsi que des modèles de développement ou d’acquisition disponibles pour répondre à leurs besoins, dont les logiciels libres;
9°  de veiller à la pérennité des actifs informationnels des organismes publics auxquels il est rattaché;
9.1°  d’agir à titre de chef délégué de la sécurité de l’information, en assumant les responsabilités prévues à l’article 12.7;
9.2°  d’agir à titre de gestionnaire délégué aux données numériques gouvernementales, en assumant les responsabilités prévues à l’article 12.13, sauf lorsque le ministre titulaire du ministère duquel il relève ou le dirigeant d’un organisme public qui y est autorisé par le ministre désigne une autre personne à titre de gestionnaire délégué aux données numériques gouvernementales en suivant les règles prévues à l’article 8 pour la désignation du dirigeant de l’information, avec les adaptations nécessaires;
10°  d’exercer toute autre fonction requise en vertu de la présente loi.
Les règles particulières définies conformément au paragraphe 7° du premier alinéa par le dirigeant de l’information désigné par le ministre de la Santé et des Services sociaux pourront également, dans les cas prévus par une loi dont l’application relève de ce ministre, s’appliquer aux organismes et aux personnes liés au réseau de la santé et des services sociaux. Ce dirigeant exerce également toute fonction requise en vertu d’une telle loi.
2017, c. 28, a. 6; 2021, c. 22, a. 6; 2021, c. 33, a. 31.
10.2. Lorsque le dirigeant principal de l’information considère qu’un dirigeant de l’information n’exerce pas ses fonctions conformément aux dispositions de la loi, il peut recommander son remplacement à la personne l’ayant désigné.
2017, c. 28, a. 6.
SECTION III
Abrogée, 2017, c. 28, a. 7.
2011, c. 19, sec. III; 2017, c. 28, a. 7.
11. (Abrogé).
2011, c. 19, a. 11; 2013, c. 28, a. 136; 2017, c. 28, a. 7.
12. (Abrogé).
2011, c. 19, a. 12; 2017, c. 28, a. 7.
CHAPITRE II.1
COMITÉ DE GOUVERNANCE
2017, c. 28, a. 8.
12.1. Est institué un comité de gouvernance composé du dirigeant principal de l’information et de l’ensemble des dirigeants de l’information. Ce comité, présidé par le dirigeant principal de l’information, a notamment pour mandat:
0.1°  de recommander au ministre les services en infrastructures technologiques et en systèmes de soutien communs qu’il pourrait fournir;
1°  d’élaborer des orientations à proposer au ministre;
2°  d’assurer une mise en oeuvre concertée des orientations déterminées par le ministre;
3°  d’identifier des opportunités d’optimisation, de partage et de mise en commun de services en ressources informationnelles et d’actifs informationnels, notamment en favorisant leur interopérabilité.
2017, c. 28, a. 8; 2020, c. 2, a. 35; 2021, c. 33, a. 21.
CHAPITRE II.2
SÉCURITÉ DE L’INFORMATION
2021, c. 22, a. 7.
12.2. Tout organisme public doit assurer la sécurité des ressources informationnelles et de l’information qu’il détient ou qu’il utilise en vertu des obligations qui le régissent, en cohérence avec les orientations, les stratégies, les politiques, les standards, les directives, les règles et les indications d’application pris en vertu de la présente loi.
Lorsqu’un organisme public constate qu’une ressource informationnelle ou une information sous sa responsabilité fait ou a fait l’objet d’une atteinte à sa confidentialité, à sa disponibilité ou à son intégrité, ou qu’un risque d’une telle atteinte est appréhendé, il doit prendre toutes les mesures visant à en corriger les impacts ou à en réduire le risque.
Si un tel organisme public constate ou appréhende qu’une ressource informationnelle ou une information d’un autre organisme public est susceptible de subir une telle atteinte, il peut lui communiquer tout renseignement, incluant un renseignement personnel, jugé nécessaire pour en corriger les impacts ou en réduire le risque.
2021, c. 22, a. 7.
12.3. Un organisme public doit, sur demande du chef gouvernemental de la sécurité de l’information, lui communiquer sans délai tout renseignement, incluant un renseignement personnel, même si celui-ci doit être généré ou que sa communication implique des opérations d’extraction, lorsque cela est nécessaire à la prise de mesures visant à corriger les impacts d’une atteinte visée au deuxième alinéa de l’article 12.2 ou à en réduire le risque.
2021, c. 22, a. 7.
12.4. Le ministre peut utiliser les renseignements visés à l’article 12.3 pour soutenir les organismes publics en cas d’atteinte ou de risque d’atteinte visés au deuxième alinéa de l’article 12.2 et il dispose de tous les pouvoirs nécessaires pour ce faire dont celui de conclure, conformément à la loi, des ententes avec toute personne ou avec tout organisme au Canada ou à l’étranger lorsqu’il l’estime nécessaire pour assurer la sécurité de l’information.
Le ministre peut communiquer à ces personnes ou à ces organismes les renseignements visés au premier alinéa qui sont nécessaires afin de prévenir, de détecter ou de diminuer les impacts en cas d’atteinte ou de risque d’atteinte.
2021, c. 22, a. 7; 2021, c. 33, a. 31.
12.5. Le ministre maintient, au sein du ministère de la Cybersécurité et du Numérique et sous la direction du chef gouvernemental de la sécurité de l’information, une unité administrative spécialisée en sécurité de l’information.
2021, c. 22, a. 7; 2021, c. 33, a. 22.
12.5.1. Le ministre peut, par arrêté, prévoir l’obligation pour un organisme public qu’il désigne de recourir à ses services pour réaliser des activités de cybersécurité, selon les conditions et modalités qu’il détermine.
2023, c. 28, a. 4.
12.5.2. Le ministre peut, par tout moyen et dans l’objectif de soutenir un organisme public en cas d’atteinte ou de risque d’atteinte visé au deuxième alinéa de l’article 12.2, lui ordonner de retirer de ses infrastructures ou de ses systèmes tout logiciel, toute application ou tout autre actif informationnel qu’il détermine.
Le pouvoir prévu au premier alinéa peut être exercé uniquement dans l’un ou l’autre des cas suivants:
1°  le ministre estime qu’il y a urgence d’agir sans délai en matière de cybersécurité ou qu’il y a danger que soit causé un préjudice irréparable à une ressource informationnelle ou à de l’information sous la responsabilité de l’organisme public visé;
2°  le ministre estime qu’il y a urgence d’agir dans un court délai en matière de cybersécurité.
Dans le cas prévu au paragraphe 2° du deuxième alinéa, le ministre ne peut exercer le pouvoir prévu au premier alinéa qu’à la suite de vérifications sérieuses et documentées. Il ne peut en outre l’exercer sans qu’une consultation entre le chef gouvernemental de la sécurité de l’information et le chef délégué de la sécurité de l’information rattaché à cet organisme ait eu lieu et sans avoir préalablement avisé le dirigeant de l’organisme public concerné de son intention de le faire.
2023, c. 28, a. 4.
12.6. Le chef gouvernemental de la sécurité de l’information assume les responsabilités suivantes:
1°  diriger l’action gouvernementale en matière de sécurité de l’information;
2°  recommander au ministre des règles pour assurer la sécurité de l’information, incluant celles relatives à l’authentification et à l’identification, ainsi que des cibles applicables aux organismes publics en matière de sécurité de l’information;
3°  établir le modèle de classification de sécurité des données numériques gouvernementales en fonction de leur nature, de leurs caractéristiques, de leur utilisation et des règles qui les régissent, et le faire approuver par le ministre;
4°  signifier aux organismes publics des attentes en matière de sécurité de l’information et leur formuler des indications d’application;
4.1°  mettre à la disposition des organismes publics des outils et des pratiques exemplaires en telle matière et informer le ministre des résultats observés;
5°  surveiller la mise en oeuvre par les organismes publics des obligations en matière de sécurité de l’information découlant de l’application de la présente loi, veiller à leur respect et évaluer les mesures prises par les organismes publics en telle matière;
6°  rendre compte au ministre, selon les conditions et modalités déterminées par ce dernier, des résultats liés aux cibles ainsi que du respect des obligations et lui formuler toute recommandation nécessaire;
7°  exercer toute autre fonction que lui attribue le ministre ou le gouvernement.
2021, c. 22, a. 7; 2021, c. 33, a. 23; 2023, c. 28, a. 5.
12.7. Un chef délégué de la sécurité de l’information assume, à l’égard des organismes publics auxquels il est rattaché, les responsabilités suivantes:
1°  appuyer le chef gouvernemental de la sécurité de l’information dans la prise en charge de l’action gouvernementale en matière de sécurité de l’information;
2°  appliquer, sous la direction du chef gouvernemental de la sécurité de l’information, les standards, les directives, les règles ou les indications d’application relatifs à la sécurité de l’information pris en vertu de la présente loi;
3°  assurer la protection des ressources informationnelles et de l’information, notamment par la gestion des risques et des vulnérabilités, ainsi que par la mise en oeuvre de mesures visant à les protéger de toute forme d’atteinte, telles des menaces ou des cyberattaques;
4°  prendre toute action requise en cas d’atteinte à la protection des ressources informationnelles et de l’information;
5°  formuler, en matière de sécurité de l’information, des indications d’application particulières pour ces organismes;
6°  surveiller la mise en oeuvre des obligations en matière de sécurité de l’information découlant de l’application de la présente loi, veiller à leur respect et évaluer les mesures prises par ces organismes en telle matière;
7°  rendre compte de sa gestion au chef gouvernemental de la sécurité de l’information et lui transmettre tout renseignement demandé, selon les modalités que détermine le ministre.
En cas d’incompatibilité entre les dispositions d’une indication d’application du chef gouvernemental de la sécurité de l’information prise en vertu du paragraphe 4° de l’article 12.6 et celles d’une indication d’application du chef délégué de la sécurité de l’information prise en vertu du paragraphe 5° du premier alinéa portant sur le même objet, les premières prévalent sur les secondes.
2021, c. 22, a. 7; 2021, c. 33, a. 31.
CHAPITRE II.3
TRANSFORMATION NUMÉRIQUE
2021, c. 22, a. 7.
12.8. Un organisme public doit, en conformité avec les orientations définies par le ministre concernant les initiatives de transformation numérique, établir un plan de transformation numérique et le transmettre au chef gouvernemental de la transformation numérique.
Le ministre détermine les renseignements que ce plan doit comprendre, la période couverte par celui-ci, sa forme et la périodicité des révisions dont il doit faire l’objet.
Le ministre peut demander à un organisme public d’apporter toute modification à son plan de transformation numérique s’il estime que celle-ci est nécessaire afin d’assurer sa cohérence avec la stratégie gouvernementale de transformation numérique.
2021, c. 22, a. 7; 2021, c. 33, a. 31; 2023, c. 28, a. 6.
12.8.1. Le ministre propose annuellement au gouvernement, dans les 60 jours suivant le dépôt à l’Assemblée nationale du plan des investissements et des dépenses en matière de ressources informationnelles des organismes publics visé à l’article 16.1, un portefeuille des projets prioritaires en ressources informationnelles afin que soient établies les priorités gouvernementales au regard des initiatives de transformation numérique des organismes publics.
Sous réserve de l’obtention des autorisations requises conformément à la présente loi, un organisme public doit prioriser la réalisation de tout projet visé par les priorités gouvernementales dont il est responsable.
Le ministre peut prendre une directive pour préciser les orientations quant aux critères de priorisation des projets en ressources informationnelles des organismes publics et établir les règles visant à assurer une gouvernance centralisée de la gestion de portefeuille des projets prioritaires, entre autres en ce qui concerne le suivi des projets.
Une directive prise en vertu du présent article doit être approuvée par le gouvernement et est applicable à la date qui y est fixée. Une fois approuvée, elle lie les organismes publics concernés et les règles qu’elle établit s’ajoutent à celles qui leur sont déjà applicables en vertu de la présente loi, notamment en matière de reddition de comptes et de vérification.
2023, c. 28, a. 7.
12.8.2. Le ministre présente au gouvernement, au moment qu’il juge opportun, la consolidation des états d’avancement des projets en ressources informationnelles des organismes publics visés par le portefeuille des projets prioritaires.
2023, c. 28, a. 7.
12.9. Le chef gouvernemental de la transformation numérique assume les responsabilités suivantes:
1°  conseiller le ministre en matière de transformation numérique, notamment en proposant des orientations, des stratégies, des plans d’action et des initiatives en vue d’optimiser et de simplifier les services offerts aux citoyens et aux entreprises, de soutenir les missions de l’État et d’accroître la performance de l’Administration publique;
2°  mettre à la disposition des organismes publics les outils, les services et l’expertise en soutien à la transformation numérique;
3°  présenter annuellement au ministre un portefeuille des projets prioritaires en vue d’accélérer la transformation numérique de l’Administration publique;
3.1°  maintenir à jour une consolidation des états d’avancement des projets en ressources informationnelles des organismes publics visés par le portefeuille des projets prioritaires;
4°  évaluer l’action des organismes publics visant à concrétiser la vision gouvernementale de la transformation numérique, notamment à partir de l’information recueillie auprès de ceux-ci et en faisant les suivis appropriés;
5°  (paragraphe abrogé);
6°  exercer toute autre fonction que lui attribue le ministre ou le gouvernement.
2021, c. 22, a. 7; 2021, c. 33, a. 31; 2023, c. 28, a. 8.
CHAPITRE II.4
DONNÉES NUMÉRIQUES GOUVERNEMENTALES
2021, c. 22, a. 7.
SECTION I
DISPOSITIONS GÉNÉRALES
2021, c. 22, a. 7.
§ 1.  — Principes et définitions
2021, c. 22, a. 7.
12.10. Les données numériques gouvernementales constituent un actif informationnel stratégique du patrimoine numérique gouvernemental. Leur mobilité et leur valorisation au sein de l’Administration publique à des fins administratives ou de services publics, en tenant compte de leur nature, de leurs caractéristiques et des règles d’accès et de protection qui autrement les régissent, sont d’intérêt gouvernemental.
Pour l’application de la présente loi, on entend par:
1°  «donnée numérique gouvernementale» toute information portée par un support technologique, incluant un support numérique, détenue par un organisme public, à l’exclusion:
a)  d’une information sous le contrôle d’un tribunal judiciaire ou d’un autre organisme public lorsqu’il exerce des fonctions juridictionnelles;
b)  d’une information déterminée par règlement du gouvernement ou faisant partie d’une catégorie déterminée par un tel règlement, notamment une information visée par une restriction au droit d’accès en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1);
2°  «fin administrative ou de services publics» l’une ou l’autre des fins suivantes:
a)  l’optimisation ou la simplification des services offerts aux citoyens ou aux entreprises;
b)  le soutien aux différentes missions de l’État, à la prestation par plus d’un organisme public de services communs ou à la réalisation de missions communes à plus d’un organisme public;
c)  l’accomplissement d’un mandat attribué conformément à une loi ou d’une initiative à portée gouvernementale;
d)  la planification, la gestion, l’évaluation ou le contrôle de ressources, de programmes ou de services gouvernementaux;
e)  la production d’information en soutien à la prise de décision ministérielle ou gouvernementale;
f)  la vérification de l’admissibilité d’une personne à un programme ou à une mesure;
g)  la recherche et le développement;
3°  «mobilité» le fait, pour une donnée numérique gouvernementale, d’être communiquée ou transmise entre organismes publics à une fin administrative ou de services publics;
4°  «valorisation» la mise en valeur d’une donnée numérique gouvernementale au sein de l’Administration publique à une fin administrative ou de services publics, excluant sa vente ou toute autre forme d’aliénation.
Le premier alinéa ne doit pas être interprété comme ayant pour effet de modifier les obligations qu’ont les organismes publics à l’égard des renseignements personnels qu’ils détiennent ou les droits d’une personne à l’égard de tels renseignements.
2021, c. 22, a. 7.
12.11. Les pouvoirs conférés par le présent chapitre doivent être exercés de manière à respecter le droit à la vie privée et le principe de transparence ainsi qu’à promouvoir la confiance du public dans les mesures permettant d’assurer la sécurité, la confidentialité, la disponibilité et l’intégrité des données numériques gouvernementales.
2021, c. 22, a. 7.
§ 2.  — Gestion des données numériques gouvernementales
2021, c. 22, a. 7.
12.12. Le gestionnaire des données numériques gouvernementales assume les responsabilités suivantes:
1°  conseiller le ministre en matière de données numériques gouvernementales, notamment quant à leur mobilité et à leur valorisation;
2°  maintenir à jour une consolidation des inventaires de telles données que doivent tenir les organismes publics conformément au règlement pris en vertu du paragraphe 1° de l’article 12.21 et identifier celles ayant un potentiel de mobilité ou de valorisation;
3°  élaborer et mettre en oeuvre des stratégies de mobilité ou de valorisation des données;
4°  autoriser, à toute fin administrative ou de services publics précisée dans un décret pris en application de l’article 12.14, la mobilité ou la valorisation des données numériques gouvernementales concernées en cohérence, le cas échéant, avec les stratégies de mobilité ou de valorisation;
5°  s’assurer de l’application du modèle de classification de sécurité des données établi par le chef gouvernemental de la sécurité de l’information en application du paragraphe 3° de l’article 12.6 ainsi que des normes de qualité des données numériques gouvernementales déterminées par le gouvernement en vertu du paragraphe 2° de l’article 12.21;
6°  contrôler la qualité des données numériques gouvernementales et les mesures qui en assurent la sécurité et requérir à ce sujet tout renseignement qu’il juge nécessaire des organismes publics qui les détiennent;
7°  veiller à l’application des règles ou des mesures prises par le gouvernement en vertu des paragraphes 4° et 5° de l’article 12.21;
8°  soutenir et accompagner les organismes publics ainsi que les gestionnaires délégués aux données numériques gouvernementales des organismes publics aux fins de la mise en oeuvre des obligations prévues au présent chapitre;
8.1°  proposer au ministre des stratégies pour favoriser l’approche de gouvernement ouvert et voir à la mise en œuvre de celles-ci;
9°  exercer toute autre fonction que lui attribue le ministre ou le gouvernement.
Tout organisme public doit, dans le délai et selon les modalités que détermine le gestionnaire des données numériques gouvernementales, lui transmettre l’information permettant la tenue de la consolidation visée au paragraphe 2° du premier alinéa.
2021, c. 22, a. 7; 2021, c. 33, a. 31; 2023, c. 28, a. 9.
12.13. Un gestionnaire délégué aux données numériques gouvernementales assume, à l’égard des organismes publics auxquels il est rattaché, les responsabilités suivantes:
1°  soutenir ces organismes dans l’application des dispositions du présent chapitre;
2°  appuyer le gestionnaire des données numériques gouvernementales dans l’exercice de ses responsabilités;
3°  appliquer toute indication d’application formulée par le dirigeant principal de l’information en application du paragraphe 1.1° de l’article 7, ou toute règle ou toute mesure prise par le gouvernement en vertu des paragraphes 4° et 5° de l’article 12.21.
2021, c. 22, a. 7.
§ 3.  — Source officielle de données numériques gouvernementales
2021, c. 22, a. 7.
12.14. Le gouvernement peut, sur recommandation conjointe du ministre et du ministre responsable de l’organisme public qui détient les données numériques gouvernementales concernées, désigner un organisme public pour agir comme source officielle de données numériques gouvernementales.
Une source officielle de données numériques gouvernementales recueille, utilise ou communique des données numériques gouvernementales ou recueille auprès de toute personne des renseignements, incluant des renseignements personnels, lorsque cela est nécessaire à une fin administrative ou de services publics.
Le gouvernement précise les données numériques gouvernementales concernées ainsi que les fins administratives ou de services publics pour lesquelles de telles données peuvent faire l’objet d’une autorisation de mobilité ou de valorisation. Il peut déterminer les organismes publics qui doivent recueillir ces données auprès de la source et les utiliser ou qui doivent les communiquer à cette dernière.
Les organismes publics visés par un décret pris en application du présent article doivent respecter les règles ou les mesures établies par le gouvernement en vertu des paragraphes 4° et 5° de l’article 12.21.
Malgré le premier alinéa, lorsque des données numériques gouvernementales concernées sont détenues par le ministre de la Santé et des Services sociaux ou par tout organisme public relevant de son portefeuille, la désignation de la source officielle de données numériques gouvernementales en application du présent article se fait sur recommandation de ce ministre.
2021, c. 22, a. 7; 2021, c. 33, a. 31.
SECTION II
DISPOSITIONS PARTICULIÈRES AUX RENSEIGNEMENTS PERSONNELS
2021, c. 22, a. 7.
12.15. Des données numériques gouvernementales qui comprennent des renseignements personnels sont communiquées par tout organisme public à une source officielle de données numériques gouvernementales lorsque la communication est nécessaire aux fins précisées dans un décret pris en application de l’article 12.14. Ces fins doivent être dans l’intérêt public ou au bénéfice des personnes concernées.
De telles données sont communiquées par une source officielle de données numériques gouvernementales à un autre organisme public lorsque la communication est nécessaire aux fins précisées dans un tel décret.
Lorsque de telles données peuvent être utilisées ou communiquées sous une forme ne permettant pas d’identifier directement la personne concernée, elles doivent être utilisées ou communiquées sous cette forme.
2021, c. 22, a. 7.
12.16. L’organisme public désigné comme source officielle de données numériques gouvernementales doit, avant de recueillir, d’utiliser ou de communiquer des renseignements personnels dans l’exercice de sa fonction:
1°  procéder à une évaluation des facteurs relatifs à la vie privée et la transmettre à la Commission d’accès à l’information;
2°  établir des règles encadrant sa gouvernance à l’égard de renseignements personnels et les transmettre à la Commission.
Ces règles doivent prévoir l’encadrement applicable à la conservation et à la destruction des renseignements personnels concernés, les rôles et les responsabilités des membres du personnel de l’organisme public à l’égard de ces renseignements tout au long de leur cycle de vie et un processus de traitement des plaintes relatives à leur protection.
2021, c. 22, a. 7; 2023, c. 28, a. 10.
12.17. L’organisme public désigné comme source officielle de données numériques gouvernementales doit, dans le cadre de l’application de la présente section, soumettre à la Commission d’accès à l’information un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués dans les 45 jours suivant la fin de chaque année financière, lequel rapport comprend:
1°  une description des renseignements personnels recueillis ou qui lui ont été communiqués ainsi que leur provenance;
2°  les noms des organismes publics à qui sont communiqués des renseignements personnels;
3°  une description des fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués;
4°  une description des modalités de communication des renseignements personnels;
5°  une description des mesures propres à assurer la protection des renseignements personnels.
2021, c. 22, a. 7.
12.18. L’organisme public désigné comme source officielle de données numériques gouvernementales rend publics sur son site Internet, dans une section dédiée à cette fonction, les règles visées au paragraphe 2° du premier alinéa de l’article 12.16 ainsi que le rapport visé à l’article 12.17. Il transmet sans délai une copie de ces documents au gestionnaire des données numériques gouvernementales.
2021, c. 22, a. 7.
12.19. Toute personne ou tout organisme qui se voit communiquer des renseignements personnels par un organisme désigné comme source officielle de données numériques gouvernementales ou par un autre organisme public visé par un décret pris en application de l’article 12.14, dans le cadre d’un mandat ou d’un contrat qui est lié à l’accomplissement de l’une des fins administratives ou de services publics précisée dans un tel décret et qui est confié conformément à l’article 67.2 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), doit se soumettre à un audit externe visant le respect des plus hautes normes et des meilleures pratiques en matière de sécurité de l’information et de protection des renseignements personnels.
Le ministre peut prévoir les cas et les circonstances où le premier alinéa ne s’applique pas et rend publics les critères menant à sa décision.
2021, c. 22, a. 7; 2021, c. 33, a. 31.
SECTION III
AUTRES DISPOSITIONS
2021, c. 22, a. 7.
12.20. Le gestionnaire des données numériques gouvernementales peut confier à un organisme public le mandat de diffuser des données ouvertes ou un jeu de données en format ouvert.
L’organisme public à qui est confié le mandat visé au premier alinéa agit comme source officielle de données de référence et il doit, à ce titre, diffuser de telles données ou un tel jeu de données sur son site Internet ou sur un autre site que lui indique le gestionnaire des données numériques gouvernementales, selon les modalités que détermine ce gestionnaire.
Les modalités peuvent notamment porter sur la qualité des données, les formats de diffusion exigés, les principaux éléments à documenter ou d’autres règles de conformité. Lorsqu’elles prévoient des règles d’utilisation relatives à ces données ou à ce jeu de données, incluant toute utilisation secondaire, ces modalités lient les organismes publics.
2021, c. 22, a. 7.
12.21. Le gouvernement peut, par règlement:
1°  déterminer les modalités concernant la tenue des inventaires des données numériques gouvernementales par les organismes publics;
2°  déterminer des normes de qualité des données numériques gouvernementales en fonction de leur nature, de leurs caractéristiques, de leur utilisation et de leur potentiel de mobilité ou de valorisation ainsi que, le cas échéant, des normes de protection particulières pour ces données;
3°  exclure des catégories de données de l’application du présent chapitre;
4°  déterminer des règles relatives à l’autorisation de mobilité ou de valorisation du gestionnaire des données numériques gouvernementales visée au paragraphe 4° du premier alinéa de l’article 12.12 ainsi que des règles applicables aux organismes publics visés par une telle autorisation;
5°  prescrire toute autre mesure nécessaire à l’application du présent chapitre.
2021, c. 22, a. 7.
CHAPITRE III
PLANIFICATION ET GESTION POUR LES ORGANISMES PUBLICS
2011, c. 19, c. III; 2017, c. 28, a. 9.
SECTION I
PLANIFICATION
2011, c. 19, sec. I; 2017, c. 28, a. 9.
13. Aux fins de permettre l’élaboration d’une planification gouvernementale en matière de ressources informationnelles, un organisme public doit:
1°  établir, dans le respect des orientations visées au deuxième alinéa de l’article 21, une stratégie en matière de ressources informationnelles, laquelle fait état de son plan de transformation numérique, de sa gestion des risques ainsi que de toute autre information prescrite par le ministre;
2°  établir une programmation des investissements et des dépenses en ressources informationnelles;
3°  dresser et tenir à jour un inventaire de ses actifs informationnels, incluant une évaluation de leur état;
4°  dresser un portrait de la main-d’oeuvre et du recours à des consultants affectés aux ressources informationnelles;
5°  décrire l’utilisation des sommes consacrées aux investissements et aux dépenses en ressources informationnelles;
6°  produire tout autre outil de planification déterminé par le ministre.
2011, c. 19, a. 13; 2017, c. 28, a. 9; 2021, c. 22, a. 8; 2021, c. 33, a. 31.
14. Un organisme public doit transmettre au dirigeant principal de l’information et au dirigeant de l’information qui lui est rattaché ou doit autrement mettre à leur disposition les outils de planification produits en application de l’article 13.
2011, c. 19, a. 14; 2013, c. 28, a. 137; 2017, c. 28, a. 9.
15. Le dirigeant de l’information donne son avis au dirigeant principal de l’information ainsi qu’à chaque organisme public concerné, notamment quant au respect des orientations visées au deuxième alinéa de l’article 21 et quant à d’éventuelles pistes d’optimisation.
Il doit également transmettre au dirigeant principal de l’information la documentation prescrite par ce dernier et en remettre une copie au ministre responsable de chaque organisme pour information.
2011, c. 19, a. 15; 2013, c. 28, a. 138; 2017, c. 28, a. 9; 2021, c. 22, a. 9.
16. Le ministre détermine les conditions et les modalités relatives aux outils de planification produits en vertu de l’article 13 et aux documents produits par le dirigeant de l’information en vertu de l’article 15, lesquelles peuvent notamment porter sur la période visée, les renseignements qu’ils doivent comprendre, leur forme, le délai de leur présentation et, s’il y a lieu, la périodicité des révisions dont ils doivent faire l’objet.
Lorsque ces conditions et modalités concernent les outils de planification et les documents des organismes publics visés à l’un des paragraphes 4°, 4.1° et 5° du premier alinéa de l’article 2, leur détermination s’effectue après consultation du ministre responsable de ces organismes.
2011, c. 19, a. 16; 2017, c. 28, a. 9; 2021, c. 33, a. 31.
16.1. Le ministre transmet annuellement au président du Conseil du trésor un plan des investissements et des dépenses en matière de ressources informationnelles des organismes publics qui comprend notamment:
1°  la contribution des ressources informationnelles aux activités de l’État et l’adéquation des stratégies visées au paragraphe 1° de l’article 13 avec les orientations visées au deuxième alinéa de l’article 21;
2°  des renseignements concernant les investissements et les dépenses en ressources informationnelles que les organismes publics prévoient effectuer;
3°  des renseignements concernant les projets en ressources informationnelles dont le coût total estimé est supérieur au seuil déterminé par le gouvernement ainsi que les autres projets qui sont d’intérêt gouvernemental;
4°  l’inventaire des actifs informationnels des organismes publics incluant l’évaluation de leur état.
Le plan des investissements et des dépenses en matière de ressources informationnelles des organismes publics est joint au budget de dépenses déposé à l’Assemblée nationale conformément à l’article 45 de la Loi sur l’administration publique (chapitre A-6.01).
2017, c. 28, a. 9; 2020, c. 2, a. 36; 2021, c. 33, a. 24.
SECTION II
GESTION DES PROJETS EN RESSOURCES INFORMATIONNELLES
2011, c. 19, sec. II; 2017, c. 28, a. 9.
16.2. Un organisme public doit se conformer aux conditions et modalités de gestion des projets déterminées par le gouvernement, sur proposition du ministre et après recommandation du président du Conseil du trésor, concernant les étapes que doit suivre un projet et les avis ou autorisations requis. Le gouvernement détermine également les types de projets qui doivent faire l’objet d’une autorisation ainsi que l’autorité chargée d’autoriser un projet ou une phase de celui-ci, laquelle autorisation peut varier notamment selon les coûts du projet, sa complexité et les risques qu’il comporte.
Un tel organisme doit également se conformer aux conditions et modalités déterminées par le ministre concernant les critères à considérer au soutien des autorisations et au suivi des projets. Ces conditions et modalités peuvent notamment porter sur le type de documents à produire, les renseignements qu’ils doivent contenir, leur forme et le délai de leur présentation.
Lorsque les conditions et les modalités concernent la gestion des projets des organismes publics visés à l’un des paragraphes 4°, 4.1° et 5° du premier alinéa de l’article 2 ou d’un organisme ayant, conformément au deuxième alinéa de l’article 8, son propre dirigeant de l’information, leur détermination s’effectue après consultation du ministre responsable de l’organisme.
Le gouvernement peut également permettre à l’autorité décisionnelle de déléguer son pouvoir d’autorisation.
2017, c. 28, a. 9; 2020, c. 2, a. 37; 2021, c. 33, a. 25.
16.3. Pour l’application de la présente loi, constitue un projet en ressources informationnelles un ensemble d’actions menant au développement, à l’acquisition, à l’évolution ou au remplacement d’un actif informationnel ou d’un service en ressources informationnelles. Il est considéré d’intérêt gouvernemental lorsqu’il est désigné comme tel par le gouvernement ou lorsqu’il implique la désignation d’un organisme public pour agir comme source officielle de données numériques gouvernementales en application de l’article 12.14.
Ne constitue toutefois pas un projet en ressources informationnelles un projet de recherche et de développement technologique réalisé dans le cadre de travaux d’enseignement ou de recherche menés sous l’égide d’un professeur, d’un chercheur, d’un chargé d’enseignement, d’un étudiant, d’un stagiaire, d’un technicien ou d’un professionnel de recherche au sein d’un établissement universitaire visé au paragraphe 4.1° du premier alinéa de l’article 2.
2017, c. 28, a. 9; 2021, c. 22, a. 10; 2021, c. 33, a. 26.
16.4. Le dirigeant principal de l’information peut requérir d’un organisme public une reddition de compte concernant un projet en ressources informationnelles portant sur les aspects qu’il détermine.
2017, c. 28, a. 9.
16.5. Le ministre peut imposer à un organisme public des mesures d’accompagnement à l’égard d’un projet, telle l’assistance d’un comité de vigie.
L’organisme public visé par des mesures d’accompagnement doit transmettre ou autrement mettre à la disposition de toute personne chargée d’appliquer ces mesures tout document et tout renseignement qu’elle juge nécessaire.
2017, c. 28, a. 9; 2021, c. 33, a. 31.
16.6. Le dirigeant principal de l’information publie périodiquement un état des projets en ressources informationnelles des organismes publics qui répondent aux critères déterminés par le ministre.
2017, c. 28, a. 9; 2021, c. 33, a. 31.
SECTION III
REDDITION DE COMPTES
2017, c. 28, a. 9.
16.6.1. Un organisme public doit transmettre au ministre ou au dirigeant principal de l’information tout renseignement et tout rapport exigés par ces derniers concernant ses activités en matière de ressources informationnelles.
Il doit également transmettre au chef gouvernemental de la transformation numérique, au chef gouvernemental de la sécurité de l’information ou au gestionnaire des données numériques gouvernementales tout renseignement et tout rapport exigés par ces derniers concernant ses activités qui se rapportent à leur champ de compétence respective.
2021, c. 22, a. 11; 2021, c. 33, a. 31.
16.6.2. Un organisme public doit, au plus tard le 10 juin 2023 et par la suite tous les cinq ans, procéder à un audit portant sur le respect des obligations en matière de sécurité de l’information découlant de la présente loi.
2021, c. 22, a. 11.
16.6.3. Le ministre peut, lorsque la situation le justifie et sur recommandation du dirigeant principal de l’information, établir des mécanismes de contrôle et procéder à des audits afin de s’assurer de l’atteinte des objectifs de la présente loi.
Il peut notamment exiger la mise en place par un organisme public d’un programme d’évaluation ou d’un programme de vérification interne, ou la réalisation d’une étude comparative de coûts.
2021, c. 22, a. 11; 2021, c. 33, a. 31.
16.7. Chaque organisme public doit rendre compte de la contribution des ressources informationnelles à la réalisation de sa mission, notamment en décrivant l’effet de ces ressources sur la performance de son organisation.
Le ministre détermine les conditions et modalités de la reddition de compte. Celles-ci peuvent notamment porter sur les renseignements qu’elle doit contenir, leur forme, le délai de leur présentation et, s’il y a lieu, la périodicité des révisions dont ils doivent faire l’objet.
Cette reddition de comptes doit être rendue publique annuellement.
2017, c. 28, a. 9; 2021, c. 33, a. 31.
CHAPITRE IV
PLANIFICATION ET GESTION POUR LES ENTREPRISES DU GOUVERNEMENT
2011, c. 19, c. IV; 2017, c. 28, a. 10.
17. Les entreprises du gouvernement doivent, dans le délai fixé par le ministre, adopter une politique en matière de gouvernance et de gestion des ressources informationnelles qui tient compte des objectifs énoncés dans la présente loi et qui prévoit notamment la mise en place d’outils de planification et de gestion similaires à ceux prévus au chapitre III.
Ces entreprises doivent rendre publique leur politique au plus tard 30 jours après son adoption.
2011, c. 19, a. 17; 2017, c. 28, a. 11; 2021, c. 33, a. 31.
18. Une entreprise du gouvernement doit communiquer au dirigeant principal de l’information des renseignements concernant ses actifs informationnels et ses projets en ressources informationnelles répondant aux critères déterminés par le ministre ainsi que tout autre renseignement que détermine ce dernier. Toutefois, le ministre ne peut exiger des renseignements si l’entreprise lui démontre que leur communication risquerait vraisemblablement de révéler une stratégie de placement ou de nuire de façon substantielle à la compétitivité de l’entreprise.
Cette communication s’effectue conformément aux conditions et selon les modalités établies par le ministre.
2011, c. 19, a. 18; 2017, c. 28, a. 12; 2021, c. 33, a. 31.
CHAPITRE V
RESPONSABILITÉS PARTICULIÈRES
2011, c. 19, c. V; 2017, c. 28, a. 13.
19. Le ministre est chargé d’élaborer et de proposer au gouvernement des politiques en matière de gouvernance et de gestion des ressources informationnelles.
Le ministre assure le leadership de la transformation numérique et de la cybersécurité de l’Administration publique.
2011, c. 19, a. 19; 2021, c. 33, a. 31; 2023, c. 28, a. 11.
19.1. Le ministre peut signifier aux organismes publics des attentes en matière de transformation numérique.
2020, c. 2, a. 38; 2021, c. 33, a. 31.
20. Le ministre peut, outre les pouvoirs que lui confère la présente loi, prendre une directive sur la gouvernance et la gestion des ressources informationnelles au sein des organismes publics ou d’une catégorie d’organismes publics.
Sans limiter la généralité de ce qui précède, une telle directive peut:
1°  prévoir des règles pour assurer la sécurité des ressources informationnelles, y compris la protection des renseignements personnels et des autres renseignements qui ont un caractère confidentiel;
2°  prévoir des mesures pour assurer la cohérence gouvernementale ou pour permettre la mise en commun de services en ressources informationnelles ainsi que d’actifs informationnels et en déterminer les modalités de gestion;
3°  (paragraphe abrogé).
Une directive doit être approuvée par le gouvernement et est applicable à la date qui y est fixée. Une fois approuvée, elle lie les organismes publics concernés.
2011, c. 19, a. 20; 2017, c. 28, a. 14; 2021, c. 33, a. 31.
21. Le ministre peut déterminer des standards applicables en matière de ressources informationnelles par les organismes publics ou par une catégorie d’organismes publics.
Il peut également déterminer des orientations portant sur les principes ou les pratiques à appliquer en matière de gestion des ressources informationnelles, incluant les pratiques pour optimiser l’organisation du travail de même que la nécessité de considérer l’ensemble des technologies offrant un potentiel d’économies ou de bénéfices et des modèles de développement ou d’acquisition disponibles pour répondre aux besoins des organismes publics, dont les logiciels libres.
2011, c. 19, a. 21; 2017, c. 28, a. 15; 2021, c. 33, a. 31.
22. Malgré toute disposition inconciliable d’une autre loi, le gouvernement peut, sur recommandation du ministre, confier à un organisme public qu’il désigne et selon les conditions qu’il détermine la réalisation, en tout ou en partie, d’un projet d’un organisme public en matière de ressources informationnelles.
La décision du gouvernement doit notamment pourvoir à la rémunération de l’organisme public désigné.
L’organisme public désigné peut exiger de l’organisme public visé par la décision les documents et les renseignements concernant le projet.
2011, c. 19, a. 22; 2020, c. 2, a. 39; 2021, c. 33, a. 27.
22.1. Le gouvernement peut, aux conditions qu’il détermine et sur recommandation du ministre, exiger:
1°  qu’un organisme public utilise un service en ressources informationnelles du ministre ou d’un organisme public qu’il désigne;
2°  que les actifs informationnels d’un organisme public ainsi que toutes les obligations qui en résultent, y compris celles relatives aux baux, soient transférés à l’organisme désigné en application du paragraphe 1°.
L’application du premier alinéa n’a pas pour effet de transférer à l’organisme désigné la propriété des renseignements personnels ou de modifier les règles qui leur sont applicables en matière de confidentialité.
Le présent article ne s’applique pas aux organismes de l’ordre administratif institués pour exercer des fonctions juridictionnelles.
2017, c. 28, a. 16; 2020, c. 2, a. 40; 2021, c. 33, a. 28.
22.1.1. Le gouvernement prévoit, par règlement, les modalités et conditions d’application des articles 12.2 à 12.4. Ce règlement doit notamment prévoir les modalités et les motifs des communications entre le chef gouvernemental de la sécurité de l’information ou le chef délégué à la sécurité de l’information et un organisme public dont les ressources ou les informations font l’objet d’une atteinte visée au deuxième alinéa de l’article 12.2 ou d’un risque d’atteinte, ainsi que les conditions permettant d’offrir une protection adéquate aux renseignements personnels qui sont communiqués à l’étranger en application de l’article 12.4.
2021, c. 22, a. 12.
CHAPITRE V.1
VÉRIFICATION
2017, c. 28, a. 17.
22.2. Le ministre peut vérifier, s’il le juge opportun, si un organisme public respecte les dispositions prévues par la présente loi. Cette vérification peut notamment viser la conformité des actions de l’organisme public à la présente loi ainsi qu’aux orientations, standards, stratégies, directives, règles et indications d’application pris en vertu de celle-ci.
Le ministre peut désigner par écrit une personne qui sera chargée de cette vérification.
2017, c. 28, a. 17; 2021, c. 22, a. 13; 2021, c. 33, a. 31.
22.3. L’organisme public visé par une vérification doit, sur demande du ministre ou de la personne chargée de la vérification, lui transmettre ou autrement mettre à sa disposition tout document et tout renseignement jugés nécessaires pour procéder à la vérification.
2017, c. 28, a. 17; 2021, c. 33, a. 31.
22.4. Le ministre présente, le cas échéant, ses recommandations au ministre responsable de l’organisme visé par une vérification. Ces ministres peuvent conjointement requérir de l’organisme public qu’il apporte des mesures correctrices, effectue les suivis adéquats ou se soumette à toute autre mesure que ces ministres déterminent dont des mesures de surveillance ou d’accompagnement. De plus, ces ministres peuvent conjointement recommander à l’autorité chargée d’autoriser le projet ou une phase de celui-ci la suspension ou l’arrêt de ce projet. Tout ou partie du montant destiné à un tel organisme peut également être retenu ou annulé par le ministre responsable, sur recommandation du Conseil du trésor.
2017, c. 28, a. 17; 2021, c. 22, a. 14; 2021, c. 33, a. 29.
CHAPITRE VI
DISPOSITIONS MODIFICATIVES
LOI SUR L’ADMINISTRATION PUBLIQUE
23. (Modification intégrée au c. A-6.01, a. 24).
2011, c. 19, a. 23.
24. (Omis).
2011, c. 19, a. 24.
25. (Modification intégrée au c. A-6.01, a. 72).
2011, c. 19, a. 25.
26. (Modification intégrée au c. A-6.01, a. 74).
2011, c. 19, a. 26.
27. (Modification intégrée au c. A-6.01, a. 77.1).
2011, c. 19, a. 27.
LOI SUR L’ASSEMBLÉE NATIONALE
28. (Modification intégrée au c. A-23.1, a. 110.2).
2011, c. 19, a. 28.
LOI SUR L’ASSURANCE PARENTALE
29. (Modification intégrée au c. A-29.011, a. 115.14).
2011, c. 19, a. 29.
LOI SUR LA COMMISSION ADMINISTRATIVE DES RÉGIMES DE RETRAITE ET D’ASSURANCES
30. (Omis).
2011, c. 19, a. 30.
31. (Modification intégrée au c. C-32.1.2, a. 10).
2011, c. 19, a. 31.
LOI ÉLECTORALE
32. (Modification intégrée au c. E-3.3, a. 488.2).
2011, c. 19, a. 32.
LOI SUR LE MINISTÈRE DES SERVICES GOUVERNEMENTAUX
33. (Modification intégrée au c. M-26.1, a. 3).
2011, c. 19, a. 33.
34. (Omis).
2011, c. 19, a. 34.
35. (Modification intégrée au c. M-26.1, a. 6).
2011, c. 19, a. 35.
LOI SUR LE PROTECTEUR DU CITOYEN
36. (Modification intégrée au c. P-32, a. 35.1).
2011, c. 19, a. 36.
LOI SUR LA SANTÉ ET LA SÉCURITÉ DU TRAVAIL
37. (Omis).
2011, c. 19, a. 37.
38. (Modification intégrée au c. S-2.1, a. 176.0.1).
2011, c. 19, a. 38.
LOI SUR LA SOCIÉTÉ DE L’ASSURANCE AUTOMOBILE DU QUÉBEC
39. (Modification intégrée au c. S-11.011, a. 23.0.15).
2011, c. 19, a. 39.
LOI SUR LE VÉRIFICATEUR GÉNÉRAL
40. (Modification intégrée au c. V-5.01, a. 67).
2011, c. 19, a. 40.
CHAPITRE VII
DISPOSITIONS DIVERSES, TRANSITOIRES ET FINALES
2011, c. 19, c. VII; 2017, c. 28, a. 18.
40.1. Les conditions, modalités et autres éléments déterminés par le ministre pour l’application de la présente loi peuvent varier selon les organismes publics et, le cas échéant, les entreprises du gouvernement.
2017, c. 28, a. 18; 2021, c. 33, a. 31.
41. La personne qui, le 12 juin 2011, exerce la fonction de dirigeant principal de l’information continue d’exercer cette fonction jusqu’à ce qu’elle soit nommée ou remplacée conformément à la présente loi.
2011, c. 19, a. 41.
42. Malgré l’article 11, la personne qui, le 12 juin 2011, est une personne en autorité au sein d’un organisme public visé à cet article et y exerce principalement ses fonctions en matière de ressources informationnelles est désignée, sans autre formalité, le premier dirigeant sectoriel de l’information pour cet organisme.
2011, c. 19, a. 42.
43. L’obligation pour un organisme public d’établir puis de faire approuver la programmation de l’utilisation des sommes qu’il prévoit consacrer en ressources informationnelles pendant son exercice financier s’applique à l’égard de tout exercice financier débutant plus de 90 jours suivant le 13 juin 2011.
2011, c. 19, a. 43.
44. L’obligation pour un organisme public de faire autoriser un projet en ressources informationnelles qui répond aux critères déterminés par le Conseil du trésor ne s’applique pas aux projets en cours le 13 juin 2011.
2011, c. 19, a. 44.
45. Toute décision du Conseil du trésor prise en matière de ressources informationnelles en application des articles 66 ou 74 de la Loi sur l’administration publique (chapitre A-6.01) continue de s’appliquer dans la mesure où elle n’est pas incompatible avec la présente loi ou avec une directive ou une politique prise en vertu de la présente loi et ce, jusqu’à ce qu’elle soit remplacée par une décision en même matière prise conformément à la présente loi.
2011, c. 19, a. 45.
46. Une politique sur la sécurité et la gestion des ressources informationnelles en vigueur au sein d’un organisme public le 13 juin 2011 continue de s’appliquer dans la mesure où elle n’est pas incompatible avec la présente loi ou avec une directive ou une politique prise en vertu de la présente loi.
2011, c. 19, a. 46.
47. Le ministre doit, au plus tard le 13 juin 2016 et par la suite, tous les cinq ans, faire au gouvernement un rapport sur l’application de la présente loi et sur l’opportunité de maintenir ou de modifier ses dispositions.
Ce rapport est déposé dans les 30 jours suivants à l’Assemblée nationale ou, si elle ne siège pas, dans les 30 jours de la reprise de ses travaux.
2011, c. 19, a. 47; 2021, c. 33, a. 31.
47.1. La présente loi peut être citée sous le titre de Loi sur les ressources informationnelles.
2020, c. 2, a. 41.
48. Le ministre de la Cybersécurité et du Numérique est responsable de l’application de la présente loi.
2011, c. 19, a. 48; 2021, c. 33, a. 30.
49. (Omis).
2011, c. 19, a. 49.