Qui doit u00eatre du00e9signu00e9 RPRP selon la Loi 25?

Par du00e9faut, la personne u00e0 la plus haute autoritu00e9 (PDG, pru00e9sident, propriu00e9taire). Elle peut du00e9lu00e9guer par u00e9crit u00e0 un autre membre de la haute direction. Un consultant externe peut assister mais ne peut pas u00eatre le RPRP lu00e9galement , la responsabilitu00e9 doit rester interne.

Peut-on du00e9lu00e9guer le ru00f4le de RPRP?

Oui, par u00e9crit (ru00e9solution du conseil ou lettre de mandat) u00e0 un membre de la haute direction. Un directeur des opu00e9rations, une directrice RH ou un directeur TI peut u00eatre RPRP. La du00e9lu00e9gation doit u00eatre formelle et la personne doit accepter ses responsabilitu00e9s.

Quelles informations sur le RPRP publier sur le site web?

La Loi 25 exige : nom ou titre du RPRP, son titre dans l'organisation, une adresse courriel du00e9diu00e9e aux demandes de protection des donnu00e9es, et l'adresse postale. Ces informations doivent u00eatre facilement accessibles , politique de confidentialitu00e9, pied de page ou page du00e9diu00e9e.

Quelles sont les responsabilitu00e9s du RPRP?

Le RPRP est responsable de : traiter les DSAR en 30 jours, maintenir le registre des incidents, superviser les u00c9FVP, assurer la conformitu00e9 de la banniu00e8re et de la politique, former les employu00e9s et servir de point de contact avec la CAI. SiteQC automatise la plupart de ces tu00e2ches.

10 min

Leçon 2.1 : Le RPRP : désigner votre responsable de la protection

La première obligation concrète depuis septembre 2022

La Loi 25 impose à toute organisation du secteur privé de désigner formellement un Responsable de la Protection des Renseignements Personnels (RPRP). C’est le premier élément vérifié lors d’un audit de la CAI.

siteqc-loi-25-organigramme-entreprise-role-rprp

Qui est RPRP par défaut?

Sans désignation explicite, c’est automatiquement la personne à la plus haute autorité : PDG, président, propriétaire. La délégation est possible mais doit être :

Écrite (résolution du conseil, lettre de mandat).
À un membre de la haute direction, pas un stagiaire ni un consultant externe.

Un consultant externe peut faire le travail opérationnel, mais la responsabilité légale doit reposer sur un membre interne de la direction.

Ce qu’il faut publier sur le site web

Nom complet du RPRP (ou titre fonctionnel).
Titre professionnel dans l’organisation.
Adresse courriel dédiée aux demandes de protection des données.
Adresse postale de l’organisation.

Ces informations doivent figurer dans la politique de confidentialité et être facilement trouvables, pied de page ou page dédiée.

siteqc-loi25-exemple-section-responsable-vie-privee

Responsabilités opérationnelles du RPRP

Traiter les demandes d’accès (DSAR) dans 30 jours.
Maintenir le registre des incidents de confidentialité.
Superviser les ÉFVP avant chaque nouveau projet.
Assurer la conformité de la bannière et de la politique de confidentialité.
Former les employés sur la protection des données.
Servir de point de contact avec la CAI.

Points clés

Obligation en vigueur depuis septembre 2022.
Par défaut : PDG/propriétaire. Délégation écrite possible à un membre de la direction.
Coordonnées à publier sur le site web.
RPRP responsable : DSAR, incidents, ÉFVP, formation, contact CAI.