À compter du 22 septembre 2023, les entreprises devront établir et mettre en œuvre des politiques et pratiques de gouvernance pour protéger les renseignements personnels.
Ces politiques et pratiques doivent minimalement prévoir :
- Des règles applicables à la conservation et à la destruction des renseignements personnels;
- Les rôles et les responsabilités des membres du personnel, tout au long du cycle de vie des renseignements personnels (page en cours d’actualisation);
- Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
Ces politiques et pratiques doivent être proportionnelles à la nature et à l’importance des activités de l’entreprise.
Publication des règles
Les entreprises devront faire connaître leurs politiques et pratiques sur leur site Web. L’information publiée à ce sujet devra être détaillée et exprimée en termes simples et clairs.
En l’absence d’un site Web, l’entreprise devra informer le public par tout autre moyen approprié.
Mise à jour : 25 juillet 2023