Responsable de la protection des renseignements personnels

Depuis le 22 septembre 2022, toute entreprise qui exerce une activité au Québec et qui collecte, détient, utilise ou communique des renseignements personnels doit désigner un responsable de la protection des renseignements personnels (art. 3.1 LPRPSP). L'omission de désigner est une violation de la loi en soi — même en l'absence de tout incident.

La désignation par défaut#

La personne ayant la plus haute autorité au sein de l'entreprise assure la fonction de responsable de la protection des renseignements personnels. Elle peut toutefois déléguer tout ou partie de cette fonction par écrit à un membre du personnel ou à un tiers.

Traduction concrète :

• Si aucune désignation écrite n'existe, le président, le directeur général ou l'administrateur unique est automatiquement le responsable RP — avec toutes les responsabilités personnelles que cela implique.
• Si vous voulez que quelqu'un d'autre occupe ce rôle, la désignation doit être écrite, signée, datée et conservée au dossier administratif.

Chez Hilo Tech, Pascal Dupuis occupe ce rôle en interne, par désignation écrite des deux cofondateurs. Ses coordonnées sont publiées sur notre page de politiques.

Qui peut être responsable RP?#

La loi n'impose ni diplôme, ni certification, ni profession précise. Le responsable RP peut être :

• Un cadre interne (DRH, directeur TI, contrôleur financier, directeur de l'administration).
• Un membre de la direction (président, VP, directeur général).
• Un mandataire externe (consultant spécialisé, avocat, notaire).
• Partagé en copartage : un titulaire principal + un suppléant en cas d'absence.

Le titre exact n'est pas réglementé, mais la personne doit être identifiable et joignable pendant les heures normales d'exploitation.

Ce que la personne doit avoir#

• Autorité effective : elle doit pouvoir imposer des changements organisationnels et techniques sans être bloquée par la hiérarchie.
• Temps : idéalement 10-20 % d'un ETP pour une PME de 20-100 employés. Pas un rôle ajouté par-dessus la charge de travail existante sans libération.
• Connaissance de la loi : formation initiale + veille continue. La CAI publie régulièrement des guides et avis.
• Accès aux dossiers : capacité de lire les politiques, les contrats, les registres et, en cas d'incident, les logs techniques.

Responsabilités principales#

1. Supervision de la politique de gouvernance (art. 3.2)#

L'entreprise doit adopter une politique de gouvernance des renseignements personnels qui décrit :

• Les rôles et responsabilités internes.
• Les processus de traitement des plaintes.
• Les procédures de conservation et de destruction.
• Les procédures de formation des employés.
• Les exigences envers les fournisseurs.

Cette politique doit être publiée (site web), mise à jour au besoin et approuvée par le responsable RP.

2. Traitement des demandes des personnes#

Chaque personne a le droit d'exercer ses droits (accès, rectification, désindexation, portabilité, retrait du consentement). Ces demandes sont adressées au responsable RP — qui doit y répondre dans les 30 jours (art. 32).

Voir le chapitre Droits des personnes pour le détail.

3. Évaluation des facteurs relatifs à la vie privée (EFVP)#

Toute nouvelle initiative qui implique des renseignements personnels — nouveau CRM, nouvelle application interne, nouveau fournisseur hors Québec — exige une EFVP (art. 3.3). Le responsable RP encadre cette évaluation, même s'il ne la rédige pas lui-même.

4. Gestion des incidents#

En cas d'incident de confidentialité, le responsable RP coordonne :

• L'évaluation du risque de préjudice sérieux.
• La notification à la CAI et aux personnes concernées (le cas échéant).
• L'inscription au registre des incidents.
• La mise en place des mesures correctives.

Voir le chapitre Notification des incidents.

5. Formation et sensibilisation#

Le responsable RP organise (ou fait organiser) la formation annuelle des employés sur leurs obligations, le repérage des incidents et les bonnes pratiques.

6. Veille et amélioration continue#

La CAI publie régulièrement des avis, des guides et des décisions. Le responsable RP doit surveiller ces publications et adapter les pratiques internes en conséquence.

Publication des coordonnées (art. 8 al. 3)#

Le nom et les coordonnées de la personne en charge de la protection des renseignements personnels doivent être publiés sur le site Internet de l'entreprise ou, si elle n'en a pas, rendus accessibles par tout autre moyen approprié.

Ce qui doit être publié :

• Nom complet du responsable.
• Titre exact (Responsable de la protection des renseignements personnels).
• Coordonnées : courriel dédié (ex. privacy@votreentreprise.ca), numéro de téléphone, adresse postale.
• Langue de correspondance (français par défaut; anglais/espagnol si offert).

Notre page publique : hilotech.ca/fr/politiques — section Responsable de la protection des renseignements personnels.

Ce que le responsable RP ne doit pas faire seul#

• Il ne rédige pas les politiques juridiques officielles sans concours d'un avocat.
• Il ne décide pas seul d'une notification à la CAI dans un cas complexe — la décision doit impliquer la direction et l'avocat.
• Il ne porte pas la responsabilité pénale à la place de l'entreprise : les sanctions visent l'entreprise, pas le responsable personnellement (sauf faute lourde individuelle).

Notre rôle côté TI#

Chez Hilo Tech, nous accompagnons le responsable RP interne des clients sur les aspects techniques :

• Outillage pour traiter les demandes d'accès (recherches dans Microsoft 365, SharePoint, CRM).
• Configuration des alertes et logs qui alimenteront une enquête d'incident.
• Mise en place des contrôles d'accès, du chiffrement et de la journalisation.
• Automatisation des procédures (Power Automate, n8n) de rappel, de suivi et de notification.

Nous ne remplaçons pas le responsable RP du client et nous ne rédigeons pas les documents juridiques — c'est le rôle de leur avocat.

Liste de contrôle rapide#

• Un responsable RP est désigné par écrit (même si c'est le président).
• Les coordonnées du responsable sont publiées sur le site web.
• Un courriel dédié (ex. privacy@) est en place et routé vers la bonne personne.
• Le responsable a suivi une formation sur la Loi 25 dans les 12 derniers mois.
• Un suppléant est identifié pour les absences prolongées.
• Le responsable a un accès aux logs techniques (Entra ID, SharePoint, CRM) — directement ou par l'intermédiaire du fournisseur TI.
• Un registre des demandes (accès, rectification, retrait, plainte) est tenu.

Erreurs fréquentes#

• « Le responsable, c'est le directeur TI, forcément. » — Pas forcément. Le directeur TI connaît les systèmes, mais n'a pas toujours l'autorité de modifier la politique de l'entreprise. Le rôle exige une autorité transversale.
• Désigner sans libérer de temps. — Un président surchargé à 120 % qui « est aussi responsable RP sur le papier » ne traitera pas une demande dans le délai de 30 jours. Quelqu'un doit réellement porter la charge.
• Ne pas publier les coordonnées. — Manquement simple, facile à vérifier par la CAI, sanction immédiate.
• Confondre responsable RP et DPO au sens du RGPD. — Le DPO européen a des obligations d'indépendance très spécifiques. Le responsable RP québécois a un cadre plus souple, mais les rôles ne sont pas identiques.

Questions à poser à votre conseiller juridique#

• Avons-nous besoin d'un responsable RP par filiale, ou un seul pour le groupe?
• Notre DPO européen (si nous avons des activités UE) peut-il cumuler le rôle de responsable RP québécois?
• Quelles clauses de désignation écrire pour limiter la responsabilité personnelle du responsable RP?
• Si nous embauchons un consultant externe comme responsable RP, quels critères de sélection et quel type de contrat?