Loi 25 du Québec: Obligations du Responsable de la Protection des Renseignements Personnels

Qui est le responsable de la protection des renseignements personnels par défaut ?

• Selon la loi, la personne ayant la plus haute autorité au sein de l’organisation est automatiquement responsable (généralement le PDG ou l’équivalent).
• Le rôle peut être délégué par écrit à un autre membre de la direction.
• La responsabilité ne peut pas être déléguée; elle demeure attribuée à la personne la plus haut placée, peu importe.
• Le responsable n’a pas besoin d’être situé au Québec.

Assurer la conformité à la Loi 25

Le responsable est chargé de veiller à ce que l’organisation :

• Ne collecte que les renseignements personnels nécessaires
• Les utilise à des fins légitimes et clairement définies
• Les protège au moyen de mesures de sécurité appropriées
• Les conserve et les détruit selon des règles établies

Mettre en place des politiques de gouvernance

Il doit établir et maintenir :

• Des politiques et procédures en matière de protection des renseignements personnels
• Des règles encadrant le cycle de vie des données (collecte, utilisation, conservation et destruction)
• Des contrôles d’accès et des mesures de sécurité

Ces politiques doivent être :

• Documentées
• Appliquées en pratique
• Accessibles au public, au minimum sous forme sommaire

Gérer les incidents de confidentialité (atteintes)

Le responsable est chargé de :

• Évaluer les incidents lorsqu’ils surviennent
• Déterminer s’il existe un risque sérieux de préjudice pour les personnes concernées (seuil déclenchant la déclaration obligatoire)
• Décider et effectuer les notifications auprès :
  • De la CAI (Commission d’accès à l’information — organisme de réglementation)
  • Des personnes concernées
• Tenir le registre des incidents de confidentialité de l’organisation

Réaliser des évaluations des facteurs relatifs à la vie privée (EFVP)

Les EFVP sont requises dans les cas suivants :

• Mise en place de nouveaux systèmes ou technologies impliquant des renseignements personnels
• Transfert de données personnelles à l’extérieur du Québec
• Traitement de données sensibles ou à grande échelle
• Conservation ou destruction de renseignements personnels

Traiter les demandes des personnes concernées

Le responsable supervise les réponses aux personnes qui :

• Demandent l’accès à leurs renseignements personnels
• Demandent la rectification de leurs données
• Exercent d’autres droits prévus par la loi

Les réponses doivent être fournies dans un délai de 30 jours suivant la réception, avec possibilité de prolongation dans certaines circonstances.

Assurer la transparence

Le responsable doit veiller à ce que l’organisation :

• Publie une politique de confidentialité claire, rédigée en langage simple
• Informe les personnes des données collectées, des raisons de la collecte et de leur utilisation
• Publie le nom, le titre et les coordonnées du responsable sur le site Web de l’entreprise
• Informe la CAI de l’identité du responsable

Surveiller les risques liés aux tiers

Il doit s’assurer que :

• Les fournisseurs et prestataires traitant des renseignements personnels offrent des garanties de protection adéquates
• Les contrats avec ces tiers incluent des clauses appropriées en matière de protection des renseignements personnels

Remarque : Il s’agit d’un résumé à des fins d’information générale. Pour des conseils juridiques adaptés à votre organisation, consultez un avocat spécialisé en protection des renseignements personnels au Québec ou un professionnel certifié.