Checklist : Vérifier votre conformité à la Loi sur la protection des renseignements personnels

Cette liste de vérification couvre les 9 obligations essentielles de la Loi sur la protection des renseignements personnels dans le secteur privé. Utilisez-la pour évaluer où vous en êtes et identifier les lacunes à corriger.

Pour chaque point, posez-vous la question : « Pourrais-je démontrer ceci à un inspecteur de la CAI demain? » Si la réponse est non, c'est une priorité.

Étapes à suivre

  1. 1

    Désignation du responsable de la protection des renseignements personnels (RPRP)

    Avez-vous un responsable de la protection des renseignements personnels? Ses coordonnées sont-elles publiées sur votre site web? Si vous avez délégué le rôle, avez-vous un acte de délégation écrit?

  2. 2

    Inventaire des renseignements

    Savez-vous quels renseignements personnels vous détenez? Où sont-ils stockés? Qui y a accès? Pour quelles finalités les utilisez-vous? Combien de temps les conservez-vous?

  3. 3

    Politique de confidentialité

    Avez-vous une politique de confidentialité à jour? Est-elle accessible sur votre site web? Décrit-elle clairement vos pratiques de collecte, d'utilisation et de conservation?

  4. 4

    Gestion des consentements

    Obtenez-vous le consentement avant de collecter des renseignements? Le consentement est-il séparé pour chaque finalité? Offrez-vous un moyen simple de retirer le consentement?

  5. 5

    Sécurité des données

    Avez-vous des mesures de sécurité adaptées à la sensibilité des données? Contrôle d'accès, chiffrement, sauvegardes? Vos employés sont-ils formés à la protection des renseignements?

  6. 6

    Gestion des sous-traitants

    Avez-vous identifié tous les fournisseurs qui traitent des renseignements personnels pour vous? Avez-vous des contrats avec clauses de confidentialité? Savez-vous où vos données sont hébergées?

  7. 7

    EFVP (évaluations des facteurs relatifs à la vie privée)

    Réalisez-vous des EFVP avant les projets technologiques impliquant des renseignements personnels? Avant les transferts de données hors Québec?

  8. 8

    Gestion des demandes d'accès, de correction, de destruction ou de portabilité

    Avez-vous un processus pour répondre aux demandes dans les 30 jours? Pouvez-vous localiser tous les renseignements d'une personne dans vos systèmes?

  9. 9

    Gestion des incidents

    Avez-vous un registre des incidents de confidentialité? Un processus pour évaluer les risques et signaler à la CAI si nécessaire? Savez-vous comment aviser les personnes touchées?

Conseils et avertissements

Comment utiliser cette checklist

  • Évaluez honnêtement. Une case à moitié cochée n'est pas cochée. Soyez réaliste sur votre situation actuelle.
  • Documentez les preuves. Pour chaque « oui », notez où se trouve la preuve (document, système, politique).
  • Priorisez les lacunes. Vous ne pouvez pas tout corriger en même temps. Concentrez-vous sur les risques les plus élevés d'abord.
  • Impliquez les bonnes personnes. Le RPRP ne peut pas tout vérifier seul. Impliquez les TI, les RH, les opérations.

Signaux d'alarme

  • Aucun RPRP désigné : Vous êtes techniquement en infraction depuis septembre 2022.
  • Données sensibles sans chiffrement : Informations de santé, financières ou biométriques accessibles de façon directe.
  • Aucun inventaire : Vous ne savez pas quelles données vous avez ni où elles sont.
  • Fournisseurs hors Québec sans EFVP : Tout transfert de données hors Québec requiert une évaluation.
  • Politique de confidentialité absente ou obsolète : Document de base que toute entreprise doit avoir.

Prochaines étapes

Une fois votre évaluation complétée, créez un plan d'action avec des échéances. Les lacunes les plus critiques devraient être corrigées dans les 30 jours. Les autres peuvent s'étaler sur le temps nécessaire selon leur complexité.

Questions fréquentes

Combien de cases dois-je cocher pour être conforme?

Toutes. Les 9 obligations s'appliquent à toutes les entreprises au Québec, quelle que soit leur taille. Cependant, l'ampleur des mesures peut varier selon la taille de l'entreprise et la sensibilité des données.

Par où commencer si je pars de zéro?

Commencez par le RPRP et l'inventaire. Vous ne pouvez pas protéger ce que vous ne connaissez pas. Une fois que vous savez quelles données vous avez et où elles sont, les autres étapes deviennent plus claires.

Une petite entreprise a-t-elle les mêmes obligations?

Oui, les obligations légales sont les mêmes. Mais les mesures peuvent être proportionnelles : une PME de 5 employés n'a pas besoin du même niveau de documentation qu'une grande entreprise. L'important est d'avoir des pratiques raisonnables.

Existe-t-il une certification officielle de conformité?

La CAI n'offre pas de certification ou de label officiel « conforme à la loi ». La conformité est un processus continu que vous devez maintenir vous-même. Un avocat peut vous fournir une opinion juridique attestant votre conformité à un moment spécifique.

Que faire si je découvre des lacunes?

C'est normal — presque toutes les entreprises ont des lacunes au départ. Priorisez : corrigez d'abord les risques les plus graves (données sensibles non sécurisées, absence de RPRP), puis avancez méthodiquement.

À quelle fréquence dois-je vérifier ma conformité?

Au minimum une fois par an, ou après tout changement significatif : nouveau système, nouveau fournisseur, nouvelle activité de traitement. La conformité n'est pas un projet ponctuel mais plutôt une obligation continue.

Outil connexe

Conforme.ca est un outil qui aide les PME à documenter leur conformité à la loi.

En savoir plus