Désignation du responsable de la protection des renseignements personnels (RPRP)

Art. 3.1, 3.2, LPRPSP

Ce que la loi exige

Si vous dirigez une entreprise au Québec, vous êtes déjà RPRP par défaut. La loi vous désigne automatiquement.

Vos obligations concrètes :

  • Publier un moyen de contact pour les questions de vie privée (site web ou autre moyen accessible)
  • Si vous déléguez cette fonction à quelqu'un d'autre, le faire par écrit

Pas de formation obligatoire. Pas d'enregistrement auprès de la CAI.

Responsabilités du RPRP :

  • Veiller au respect de la loi dans l'ensemble de l'entreprise
  • Approuver les politiques de gouvernance des renseignements personnels
  • Traiter les demandes d'accès et de rectification
  • Gérer les incidents de confidentialité
  • Former le personnel sur les bonnes pratiques

Texte de référence

Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient.

Au sein de l'entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en oeuvre de la présente loi. Elle exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne.

Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles par tout autre moyen approprié.

— Art. 3.1, Loi sur la protection des renseignements personnels dans le secteur privé

Ce que vous devez faire

La désignation du RPRP est l'une des premières étapes de votre conformité. Voici comment procéder:

  1. Décidez qui sera RPRP. Si vous êtes propriétaire unique ou PDG, vous êtes RPRP par défaut. Vous pouvez garder cette responsabilité ou la déléguer.
  2. Si vous déléguez, faites-le par écrit. La loi exige une délégation écrite. Ce document doit identifier le délégataire et préciser l'étendue de ses responsabilités.
  3. Publiez les coordonnées sur votre site web. Le public doit pouvoir joindre votre RPRP. Ajoutez au minimum:
    • Le titre: « Responsable de la protection des renseignements personnels »
    • Un moyen de contact: courriel dédié ou formulaire

Exemple concret: Marie possède une boutique en ligne. Elle ajoute dans le pied de page de son site: « Pour toute question concernant vos renseignements personnels: confidentialite@maboutique.ca ». C'est suffisant.

Exemple avec délégation: Jean dirige un cabinet de 15 employés. Il rédige une note de service déléguant la fonction à sa directrice des opérations, Sophie Martin. Sur le site du cabinet, on peut lire: « Responsable de la protection des renseignements personnels: Sophie Martin, smartin@cabinet.ca ».

Erreurs courantes

  • Ne pas publier les coordonnées du tout. Même si vous êtes RPRP par défaut, vous devez publier un moyen de vous joindre pour les questions relatives aux renseignements personnels.
  • Déléguer verbalement. La délégation doit être faite par écrit. Un courriel ou une note de service suffit, mais il doit y avoir une trace écrite.
  • Publier un courriel générique sans mention du rôle. « info@entreprise.ca » n'est pas suffisant. Vous devez indiquer que ce contact sert pour les questions de protection des renseignements personnels.
  • Enterrer l'information. Les coordonnées doivent être « facilement accessibles ». Un lien dans le pied de page ou dans la politique de confidentialité est approprié.

Questions fréquentes

Qui peut être désigné comme RPRP?

Toute personne ayant l'autorité nécessaire pour exercer cette fonction. Par défaut, c'est la personne exerçant la plus haute autorité dans l'entreprise (propriétaire, PDG, président). Vous pouvez aussi déléguer à un employé, un consultant externe, ou même partager la fonction entre plusieurs personnes.

Le RPRP peut-il être externe à l'entreprise?

Oui. La loi permet de déléguer la fonction à un consultant ou un fournisseur de services externe. Cependant, l'entreprise demeure responsable du respect de la loi — le RPRP externe agit en son nom.

Faut-il publier le nom complet du RPRP?

Non. La loi exige de publier le titre et les coordonnées permettant de joindre le RPRP. Le nom n'est pas obligatoire. Vous pouvez simplement indiquer « Responsable de la protection des renseignements personnels » avec un courriel ou un formulaire de contact.

Où dois-je publier les coordonnées du RPRP?

Sur votre site web, dans un endroit facilement accessible. La plupart des entreprises ajoutent ces informations dans leur politique de confidentialité, sur la page « Nous joindre », ou dans le pied de page du site. Si vous n'avez pas de site web, utilisez un autre moyen approprié : affichage en magasin, documentation client, ou contrat de service.

Que se passe-t-il si je ne désigne pas de RPRP?

Par défaut, la loi considère que la personne ayant la plus haute autorité dans l'entreprise assume cette fonction. Cependant, ne pas publier les coordonnées constitue un manquement à la loi.

Dois-je aviser la CAI de ma désignation?

Non. Contrairement à certaines juridictions, le Québec n'exige pas d'enregistrement du RPRP auprès de la Commission d'accès à l'information (CAI). La publication sur votre site web suffit.

Prochaine étape

Besoin d'un guide pratique? Voir Comment désigner un RPRP pour une checklist étape par étape.

Une fois votre RPRP désigné et ses coordonnées publiées, passez à l'inventaire de vos activités de traitement.

Retour au guide de conformité →

Sujets connexes