Qui est responsable de la protection des renseignements personnels dans une entreprise?
La personne ayant la plus haute autorité dans l’entreprise, par exemple son dirigeant, est par défaut responsable de la protection des renseignements personnels. Elle exerce cette fonction en assurant le respect et la mise en œuvre de la Loi sur le privé.
Délégation de la fonction de responsable
Cette fonction peut cependant être déléguée par écrit, en tout ou en partie, à une personne en mesure d’assumer efficacement ce rôle. Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important.
La personne ayant la plus haute autorité doit appuyer la personne à qui elle délègue ses fonctions. Pour ce faire, elle doit, entre autres :
- Lui fournir les ressources humaines, techniques et financières nécessaires pour assumer pleinement ses fonctions.
- Demeurer imputable quant au respect et à la mise en œuvre de la Loi dans son entreprise, même en cas de délégation.
Publication des coordonnées du responsable
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Web de l’entreprise. En l’absence d’un site Web, l’entreprise doit en informer le public par tout autre moyen approprié. La Commission n’a pas à en être informée.
FONCTIONS DE LA PERSONNE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
La Loi confie des tâches spécifiques au responsable de la protection des renseignements personnels. En cas d’incident de confidentialité impliquant un renseignement personnel, il doit notamment :
- Enregistrer les communications effectuées à toute personne ou à tout organisme susceptible de diminuer le risque pour la personne concernée, suivant l’incident;
- Prendre part à l’évaluation du préjudice causé par l’incident.
Pour plus d’informations sur les incidents de confidentialité, consultez la section « Incidents de confidentialité impliquant des renseignements personnels ».
Nouvelles responsabilités – 2023
À compter du 22 septembre 2023, le responsable de la protection des renseignements personnels d’une entreprise devra aussi assumer plusieurs nouvelles responsabilités.
Règles de gouvernance
Le responsable devra approuver les politiques et les pratiques de l’entreprise encadrant sa gouvernance à l’égard des renseignements personnels dans l’entreprise.
Recevoir les demandes concernant les renseignements personnels
- Le responsable sera chargé de recevoir et d’assurer le traitement des demandes d’accès ou de rectification de renseignements personnels.
Lorsqu’il refusera une demande d’accès ou de rectification, il devra, sur demande d’un requérant, l’aider à comprendre le refus. Il pourrait, par exemple, se rendre disponible pour une discussion de vive voix.
- Communiquer les renseignements personnels d’une personne décédée : Les renseignements personnels d’une personne décédée pourront être communiqués à son conjoint ou à l’un de ses proches parents si le fait de connaître ce renseignement est susceptible d’aider cette personne dans son processus de deuil. Une restriction s’appliquera, cependant, si une personne décédée a préalablement consigné, par écrit, son refus d’accorder ce droit d’accès.
Prendre part à l’évaluation des facteurs relatifs à la vie privée
Le responsable devra participer à l’évaluation des facteurs relatifs à la vie privée des projets d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels, et ce, dès le départ.
À toutes les étapes, il pourra suggérer des mesures de protection des renseignements personnels, comme :
- La nomination d’une personne chargée de mettre en œuvre des mesures de protection des renseignements personnels;
- L’ajout de mesures de protection des renseignements personnels dans tout document concernant le projet;
- La description des responsabilités des participants au projet, en matière de protection des renseignements personnels;
- La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.
Le responsable pourra aussi participer aux autres évaluations des facteurs relatifs à la vie privée prévues par la Loi.
Répondre aux demandes de cessation de diffusion, de désindexation et de réindexation
Les citoyens bénéficieront de nouveaux droits afin de contrôler la diffusion de leurs renseignements personnels. Par conséquent, le responsable devra répondre aux demandes écrites des personnes exigeant :
- La cessation de la diffusion de leurs renseignements personnels;
- La désindexation d’un hyperlien rattaché à leur nom et donnant accès à leurs renseignements par un moyen technologique.
Les personnes concernées pourront faire ces demandes dans l’un des cas suivants :
- Si la diffusion de leurs renseignements contrevient à la Loi ou à une ordonnance judiciaire;
- Si la diffusion de leurs renseignements personnels leur cause un préjudice grave lié au droit du respect de leur réputation ou de leur vie privée. Dans ce cas, ils pourront aussi en demander la réindexation. La Loi prévoit certaines conditions.
Le responsable devra répondre par écrit à cette demande, selon les mêmes modalités que les demandes d’accès et de rectification. S’il accepte la demande, sa réponse écrite devra attester de la cessation de diffusion des renseignements, de la désindexation ou de la réindexation de l’hyperlien.
Être avisé des violations d’obligations de confidentialité et effectuer des vérifications
Les mandataires ou exécutants d’un contrat de service ou d’entreprise devront aviser sans délai le responsable de la protection des renseignements personnels concernant :
- Toute violation ou tentative d’une violation de l’une ou l’autre des obligations touchant à la confidentialité des renseignements personnels qui leur ont été communiqués par l’entreprise.
Ils devront alors permettre au responsable d’effectuer toute vérification concernant cette confidentialité.
Nouvelle tâche du responsable – 2024
Répondre aux demandes des personnes concernant le droit à la portabilité
À compter du 22 septembre 2024, le responsable devra également répondre aux demandes de citoyens portant sur le droit à la portabilité de leurs renseignements personnels.
- La portabilité est la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
Pour vous préparer à répondre à ces nouvelles demandes, consultez l’aide-mémoire sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques.
Autres tâches du responsable
D’autres tâches peuvent être assumées par le responsable. Par exemple :
- Offrir de la formation à l’interne;
- Agir comme interlocuteur de l’entreprise auprès de la Commission.
Le responsable joue un rôle crucial au sein de son entreprise. Il est donc aussi appelé à mettre en place des mesures préventives en matière de protection des renseignements personnels.
Mise à jour : 25 juillet 2023