Responsabilité du responsable des renseignements personnels

La Loi 25 impose de désigner une personne responsable de la protection des renseignements personnels — le PRP. Dans une PME, c'est souvent le dirigeant ou un gestionnaire qui cumule ce mandat à temps partiel. Le piège ? Avoir un nom sur la politique, mais une boîte courriel que personne ne lit.

Obligation de désignation et de publication

Vous devez désigner officiellement un responsable et rendre ses coordonnées accessibles : sur votre site Web, dans votre politique de confidentialité et, le cas échéant, dans vos communications avec les personnes concernées.

Point à retenir : un courriel générique non surveillé (« info@ ») est une faiblesse si personne ne traite les demandes d'accès, de rectification ou de retrait du consentement dans les délais.

Tâches clés du PRP

• Gouvernance — superviser les politiques internes et externes, le registre des traitements et les contrats avec les fournisseurs.
• Incidents — coordonner l'analyse, la documentation et, si requis, la notification à la CAI et aux personnes concernées (voir procédure d'incident).
• Droits des personnes — répondre aux demandes d'accès, de rectification ou de retrait du consentement dans les délais.
• Projets — déclencher une EFVP lorsqu'un nouveau système ou un partage de données présente un risque élevé.
• Sensibilisation — s'assurer que les employés comprennent leurs responsabilités (voir formation des employés).

Éviter un rôle « sur papier seulement »

1. Fiche de mandat — périmètre, pouvoir d'escalade, temps alloué (même une demi-journée par mois compte).
2. Revue trimestrielle — fournisseurs, incidents, mises à jour du site.
3. Traces écrites — courriels, registres, décisions du comité pour démontrer la diligence raisonnable.
4. Délégation claire — l'exécution peut être déléguée; la responsabilité finale reste au niveau de la direction.

Par contre, déléguer sans mandat ni budget, c'est recréer le rôle fantôme. Donnez au PRP un levier réel — accès aux contrats, aux incidents et aux projets numériques.

En pratique : le PRP n'est pas obligatoirement un expert TI ou un avocat à temps plein — c'est le point de contact accountable qui fait le lien entre la loi, les opérations et le site public.

En bref

• Désignation officielle + coordonnées publiées (site, politique).
• Courriel surveillé pour les demandes des personnes — pas une boîte générique morte.
• Gouvernance, incidents, droits, projets à risque, formation : le cœur du mandat.
• Mandat écrit, revues trimestrielles et traces : éviter le PRP « sur papier ».

Références utiles

• CAI — Responsable de la protection des renseignements personnels — rôle et attentes pour les organisations.
• Loi P-39.1 (secteur privé) — obligation de désignation et de publication.
• Plan d'action en 7 étapes — où placer le PRP dans une feuille de route PME.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Les coordonnées du PRP doivent être trouvables sur le site public, avec une politique à jour. Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.