D’ici le 22 septembre 2023, les organismes publics devront établir des règles encadrant leur gouvernance à l’égard des renseignements personnels et les diffuser sur leur site Internet. Ces règles :
- Devront avoir été approuvées par le comité sur l’accès à l’information et la protection des renseignements personnels;
- Pourront prendre la forme d’une politique, d’une directive ou d’un guide;
- Devront notamment prévoir :
- Les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- Un processus de traitement des plaintes relatives à la protection des renseignements personnels;
- Une description des activités de formation et de sensibilisation à la protection des renseignements personnels offerts par l’organisme à son personnel;
- Des mesures de protection particulières à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.
D’ici le 22 septembre 2023, les entreprises devront :
- Établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels. Ces politiques et pratiques devront notamment prévoir :
- Des règles applicables à la conservation et à la destruction des renseignements personnels;
- Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
- Publier sur leur site Internet de l’information détaillée au sujet de leurs politiques et de leurs pratiques. Si elles n’ont pas de site, elles devront rendre accessible cette information par tout autre moyen approprié.