Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 5

Le Responsable de la protection des renseignements personnels (RPRP)

Le RPRP est obligatoire pour toute entreprise. Sans désignation explicite, c'est automatiquement la personne ayant la plus haute autorité qui en est responsable.

5.1 · Désignation obligatoire

Qui doit être RPRP?

Toute entreprise doit avoir un RPRP. À défaut de désignation explicite, la fonction revient automatiquement à la personne ayant la plus haute autorité (président, directeur général), même si cette personne n'en est pas consciente.

La fonction peut être déléguée par écrit, en tout ou en partie, à une autre personne — y compris une ressource externe (consultant, cabinet). C'est souvent la solution la plus réaliste pour une PME.

Sans désignation écrite, le PDG est le RPRP par défaut. Assurez-vous que la désignation est formelle et que la personne a réellement l'autorité et le temps pour exercer la fonction.
5.2 · Rôle

Les 5 responsabilités du RPRP

  1. Veiller au respect de la loi et à la mise en œuvre des politiques internes
  2. Approuver ou superviser les ÉFVP (chapitre 6) pour tout nouveau projet touchant des données personnelles
  3. Être le point de contact pour les personnes qui exercent leurs droits et pour la CAI
  4. Participer à la gestion des incidents de confidentialité (chapitre 7)
  5. Sensibiliser et former le personnel aux bonnes pratiques
5.3 · Obligation de publication

Publier les coordonnées du RPRP sur le site web

Le titre et les coordonnées du RPRP doivent être publiés sur le site web de l'entreprise (ou rendus accessibles par un autre moyen approprié si l'entreprise n'a pas de site web).

Format recommandé sur le site : prénom nom (ou poste), adresse courriel dédiée. Exemple : « Responsable de la protection des renseignements personnels : Marie Tremblay — privee@exemple.ca »
5.4 · Choix stratégique

RPRP interne ou externe?

CritèreRPRP interneRPRP externe
CoûtSalaire / temps existantHonoraires consultant
Connaissance de l'entrepriseÉlevéeÀ bâtir
Expertise légale et techniqueVariableGénéralement élevée
IndépendancePossible conflit de rôleForte
Adapté auxMoyennes entreprisesTPE / PME sans expertise interne

Modèle hybride PME recommandé : un RPRP interne désigné officiellement, appuyé ponctuellement par un conseiller externe pour les ÉFVP et les dossiers complexes.

✓ Checklist RPRP

  • ☐ Un RPRP est-il désigné formellement, avec délégation écrite si applicable?
  • ☐ Ses coordonnées sont-elles publiées sur le site web?
  • ☐ A-t-il l'autorité réelle, le temps et les ressources pour exercer la fonction?
  • ☐ Est-il formé sur les obligations de la Loi 25?
← Obligations de l'entrepriseL'ÉFVP →