Quelle est l’ampleur des responsabilités du responsable de la protection des renseignements personnels (le « RPRP ») et comment désigner cette personne?[1]
La personne désignée comme RPRP devrait d’abord avoir des compétences en gestion des risques et en conformité au sein d’une entreprise. Sauf circonstances particulières, il n’est généralement pas recommandé de déléguer cette tâche à l’externe. En effet, la personne idéale est celle qui connait l’entreprise, ses opérations et qui exerce déjà une fonction d’autorité au sein de celle-ci. Une personne volontaire est toujours un atout, car l’accomplissement des fonctions du RPRP est chronophage.
Le RPRP est généralement chargé de veiller au respect et la mise en œuvre de la loi[2]. Ses responsabilités particulières incluent la gestion des incidents de sécurité[3], la participation aux évaluations des facteurs relatifs à la vie privée (« ÉFVP »)[4] et la sensibilisation du personnel de l’entreprise aux enjeux de protection des renseignements personnels dans le cadre de celles-ci[5], la prise en charge des demandes d’exercice des droits des personnes concernées[6], ainsi que l’approbation des politiques et pratiques encadrant la gouvernance de l’entreprise à l’égard de la protection des renseignements personnels[7]. Le RPRP a donc un rôle actif à jouer au sein de l’entreprise.
La Loi 25 prévoit-elle des exigences précises quant à la délégation?
La délégation doit être réalisée par la personne ayant la plus haute autorité au sein de l’entreprise[8]. Elle doit être faite par écrit et peut ensuite être déposée au conseil d’administration dans le cadre d’une réunion du conseil pour qu’elle fasse partie du procès-verbal et qu’il existe une trace de la délégation, à la discrétion de chaque entreprise. Lorsqu’une organisation détient plusieurs sociétés d’un même groupe, il est possible que plusieurs délégations soient nécessaires.
Une fois la responsabilité du RPRP déléguée par écrit, les entreprises privées doivent publier le titre et les coordonnées du RPRP sur leur site internet[9], contrairement aux organismes publics qui doivent aviser la Commission d’accès à l’information (la « CAI ») par écrit du titre, des coordonnées et de la date d’entrée en fonction de la personne qui exerce la fonction de RPRP[10].
Faut-il publier le nom de la personne qui exerce la fonction de RPRP?
La Loi n’oblige pas à nommer la personne qui exerce la fonction de RPRP sur le site internet de l’entreprise, ce qui signifie qu’il serait possible d’afficher des coordonnées génériques (par exemple, « vieprivee@entreprise.com »). Ceci étant, à l’interne, le ou la RPRP devrait être clairement identifié.e pour que toute personne concernée puisse s’y rapporter pour toute question relative à la protection des renseignements personnels.
La Loi 25 prévoit une obligation pour les entreprises et pour les organismes publics de se structurer, d’adopter des documents et des politiques. Par où commencer?
Un programme de conformité efficace est personnalisé à chaque organisation et reflète ses pratiques de façon transparente. Le plus grand danger dans la constitution d’un programme de conformité est de réutiliser des modèles de politiques sans les adapter au contexte et aux pratiques de l’organisation. Les politiques qui composent le programme de conformité doivent être le fruit d’un exercice de réflexion entre les parties prenantes à la protection des renseignements personnels. Notamment, les politiques doivent énoncer les principes de protection des renseignements personnels applicables et les rôles et responsabilités de chacun en cette matière.
[1] Pour les fins de ce bulletin, toutes les références législatives doivent être lues comme intégrant les modifications introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25 (la « Loi 25 »), lesquelles entrent en vigueur en plusieurs phases. Pour un rappel des différentes dates d’entrée en vigueur, consulter la Loi sur le secteur privé annotée ou la Loi sur l’accès annotée.
[2] Loi sur le secteur privé, art. 3.2 al. 2.
[3] Loi sur le secteur privé, art. 3.5 al. 2 et 3.7.
[4] Loi sur le secteur privé, art. 3.3 al. 2 et 3.4.
[5] Loi sur le secteur privé, art. 3.4.
[6] Loi sur le secteur privé, art. 28.1 al. 4, 30 al. 2, 32, 34 et 35; C.c.Q., art. 40.
[7] Loi sur le secteur privé, art. 3.2. al. 1.
[8] Loi sur le secteur privé, art. 3.1 al. 2.
[9] Loi sur le secteur privé, art. 3.1 al. 3.
[10] Loi sur l’accès, art. 8 al. 4.
