Les obligations détaillées de l'entreprise
Ce chapitre est le cœur opérationnel du guide. Voici les obligations concrètes de toute entreprise québécoise, regroupées par thème.
Gouvernance et politiques internes
La loi exige que l'organisation établisse et mette en œuvre des politiques et pratiques encadrant la gouvernance des renseignements personnels. Concrètement :
- Définir les rôles et responsabilités des membres du personnel tout au long du cycle de vie de la donnée
- Prévoir un processus de traitement des plaintes relatives à la protection des renseignements
- Décrire les mesures de conservation et de destruction des renseignements
- Adapter ces politiques à la taille et à la nature de votre organisation
Politique de confidentialité publiée
Distincte de la politique de gouvernance interne, la politique de confidentialité s'adresse au public. Elle doit être rédigée en termes simples et clairs et expliquer :
- Quelles données vous recueillez et pourquoi
- Comment vous les utilisez et à qui vous les communiquez
- Combien de temps vous les conservez
- Comment exercer ses droits
Voir le gabarit de politique de confidentialité (chapitre 13).
Transparence à la collecte — 7 éléments obligatoires
Lorsqu'une organisation recueille un renseignement personnel, elle doit informer la personne :
- Des fins de la collecte
- Des moyens utilisés pour recueillir
- De ses droits d'accès et de rectification
- De son droit de retirer son consentement
- Le cas échéant, du fait que le renseignement pourrait être communiqué hors Québec
- Des tiers à qui les données pourraient être communiquées
- De l'usage de technologies d'identification, de localisation ou de profilage — lesquelles doivent être désactivées par défaut
Minimisation et finalité
- Minimisation : ne recueillez que les renseignements nécessaires aux fins déterminées. Si vous n'avez pas besoin d'une donnée, ne la collectez pas.
- Finalité : n'utilisez les renseignements que pour les fins pour lesquelles ils ont été recueillis, sauf nouveau consentement ou exception légale.
Conservation et destruction — calendrier obligatoire
Lorsque les fins de la collecte sont accomplies, la loi exige de détruire le renseignement ou l'anonymiser pour l'utiliser à des fins légitimes (statistiques, etc.). Vous ne pouvez pas conserver des données « au cas où » indéfiniment.
Mesures de sécurité — raisonnables et proportionnées
La loi exige de prendre les mesures de sécurité raisonnables compte tenu de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements. La loi n'impose pas une technologie précise — elle impose le résultat. Voir le volet technique (chapitre 10).
Consentement marketing et profilage
- Le consentement à des fins de marketing ou de profilage doit être distinct
- Les outils de profilage, localisation et identification doivent être désactivés par défaut (privacy by default)
Tableau récapitulatif des obligations
| Obligation | Chapitre détaillé | Responsable principal |
|---|---|---|
| Désigner un RPRP | Chapitre 5 | Direction |
| Politique de gouvernance | Section 4.1 | Direction / RPRP |
| Politique de confidentialité publiée | Section 4.2 | Direction / Marketing |
| Transparence à la collecte | Section 4.3 | Marketing / Ventes |
| Minimisation des données | Section 4.4 | TI / Opérations |
| Conservation et destruction | Section 4.5 | TI / RPRP |
| Sécurité de l'information | Chapitre 10 | TI / CISO |
| Gestion des incidents | Chapitre 7 | TI / CISO / RPRP |
| ÉFVP | Chapitre 6 | TI / RPRP |
| Réponse aux droits | Chapitre 8 | RPRP / Service client |
✓ Checklist obligations
- ☐ Politique de gouvernance rédigée, approuvée par la direction et appliquée?
- ☐ Politique de confidentialité publiée et compréhensible sur le site web?
- ☐ Calendrier de conservation/destruction documenté?
- ☐ Technologies de profilage désactivées par défaut?
- ☐ Consentement marketing distinct des CGU?