RPRP : qui est responsable de la protection des données dans votre organisation ?
La Loi 25 oblige toute organisation québécoise à nommer formellement un responsable de la protection des renseignements personnels (RPRP)— et à rendre ses coordonnées publiques. C'est l'une des premières vérifications effectuées lors d'une inspection de la CAI.
4 min de lecture
Ce que la Loi 25 exige exactement
Toute organisation qui collecte des renseignements personnels doit désigner une personne responsable de leur protection. Cette désignation est obligatoire dès la collecte de la première donnée personnelle.
Le RPRP est la personne qui a la plus haute autorité au sein de l'organisation — dans une PME, c'est souvent le PDG ou le directeur général. Cette responsabilité peut être déléguée à un autre employé, mais la haute direction reste légalement imputable.
Le titre et les coordonnées du RPRP doivent être publiés de façon facilement accessible sur votre site web — généralement dans la politique de confidentialité ou en pied de page.
Le RPRP doit être joignable pour traiter les demandes d'accès aux données, les demandes de suppression, et les plaintes relatives à la vie privée.
Qui peut être nommé RPRP dans votre organisation ?
Le PDG ou directeur général
ValideRecommandé pour les PME de moins de 20 employés. La loi prévoit que la personne ayant la plus haute autorité assume ce rôle par défaut.
Un directeur informatique ou responsable IT
ValidePertinent si c'est la personne qui gère concrètement les outils, l'hébergement et les données clients. Elle doit avoir l'autorité pour faire appliquer les décisions.
Un responsable juridique ou conformité
ValideIdéal dans les organisations plus structurées. Ce profil connaît le cadre légal et peut gérer les incidents avec rigueur.
Un prestataire externe ou consultant
Non conformeLa loi exige que la responsabilité soit portée en interne. Un consultant peut assister le RPRP, mais ne peut pas formellement tenir ce rôle à la place d'un employé ou dirigeant.
Les responsabilités concrètes du RPRP
Tenir un inventaire des renseignements personnels détenus par l'organisation
S'assurer que les politiques et pratiques de protection des données sont à jour
Traiter les demandes d'accès, de correction ou de suppression dans les 30 jours
Gérer et signaler les incidents de confidentialité à la CAI et aux personnes concernées
Superviser les évaluations des facteurs relatifs à la vie privée (EFVP) pour les nouveaux projets
Collaborer avec les prestataires et sous-traitants pour s'assurer de leur conformité
Former et sensibiliser les employés qui accèdent à des données personnelles
Comment afficher les coordonnées du RPRP sur votre site
La CAI recommande de rendre les coordonnées du RPRP accessibles depuis n'importe quelle page du site — typiquement en pied de page et dans la politique de confidentialité.
// Exemple de mention dans une politique de confidentialité
Responsable de la protection des renseignements personnels
Prénom Nom, Titre
Entreprise XYZ inc.
courriel@entreprise.ca
Montréal, Québec, Canada
Vous n'avez pas à afficher l'adresse postale complète ni le numéro de téléphone direct. Un courriel dédié (ex. : protection-donnees@entreprise.ca) est suffisant et préférable pour éviter les sollicitations non désirées.
Que risque-t-on sans RPRP identifié publiquement ?
L'absence de RPRP identifié est l'infraction la plus facile à documenter pour la CAI — elle est visible en 30 secondes sur votre site. C'est systématiquement le premier point vérifié lors d'une inspection ou d'une plainte.
La CAI peut émettre une mise en demeure formelle, exiger une correction dans un délai précis, et publier sa décision. Pour une PME, la publication d'une décision défavorable peut avoir des impacts sur la confiance des clients et partenaires.
Nommer et afficher un RPRP est l'action corrective la plus rapide à mettre en place — moins d'une heure de travail pour être en règle sur ce point.
Vérifiez si votre RPRP est correctement affiché sur votre site
Le pré-audit détecte les mentions légales manquantes en quelques secondes
Lancer mon pré-audit gratuitArticles liés