Qui est responsable de la protection des renseignements personnels dans une entreprise privée?
Toute entreprise est responsable de la protection des renseignements personnels qu’elle détient. La personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Cette personne exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne. Dans ce cas, il est recommandé de désigner une personne pouvant assumer efficacement ce rôle. Par exemple, celle-ci devrait avoir les compétences requises et un pouvoir décisionnel important. Il est également important d’appuyer la personne responsable de la protection des renseignements personnels avec les ressources humaines, techniques et financières nécessaires pour assurer la conformité à la Loi sur le privé.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Web de l’entreprise ou, si celle-ci n’a pas de site, rendus accessibles par tout autre moyen approprié. L’entreprise n’a pas à aviser la Commission du nom et des coordonnées du responsable de la protection des renseignements personnels.
La loi confie des rôles spécifiques à ce responsable. En cas d’incident de confidentialité impliquant un renseignement personnel, notamment, il doit :
- Enregistrer les communications effectuées à toute personne ou tout organisme susceptible de diminuer le risque pour la personne concernée suivant l’incident;
- Prendre part à l’évaluation du préjudice causé par l’incident.
D’autres responsabilités s’ajouteront à partir du 22 septembre 2023.
Pour plus d’information sur les incidents de confidentialité, consulter la section Incident de confidentialité impliquant des renseignements personnels.
Mise à jour : 20 septembre 2022