Kit Loi 25
Retour au guide
1
Étape 1 sur 9

Nommer votre Responsable (RPRP)

Désignez la personne responsable de la protection des renseignements personnels dans votre entreprise.

Temps estimé : 30 minutes

📜 Ce que dit la loi

La Loi 25 exige que toute entreprise qui collecte, détient ou utilise des renseignements personnels désigne un Responsable de la protection des renseignements personnels (RPRP).

Par défaut, ce rôle est assumé par le plus haut dirigeant de l'entreprise (PDG, propriétaire), mais il peut être délégué à une autre personne en interne.

Le RPRP doit :

  • Veiller au respect de la Loi 25 au sein de l'organisation
  • Répondre aux demandes d'accès ou de rectification des renseignements personnels
  • Gérer les incidents de confidentialité
  • Superviser les politiques et procédures liées à la protection des données

🏢 Pour une PME

Dans une petite entreprise, ce rôle peut être attribué :

  • Au propriétaire ou directeur général
  • À un gestionnaire de confiance (RH, administration)
  • À un employé formé aux exigences de la loi

Il est important de documenter officiellement cette nomination et de rendre les coordonnées du RPRP facilement accessibles, par exemple sur votre site web et dans votre politique de confidentialité.

Important à savoir

Sans RPRP officiellement désigné, c'est le propriétaire ou le plus haut dirigeant qui est automatiquement considéré responsable. En cas d'incident de confidentialité, c'est cette personne qui devra répondre aux autorités et qui pourrait faire face aux sanctions.

💡 Exemples concrets

Exemple 1 : Un salon de coiffure de 4 employés nomme sa gestionnaire administrative comme RPRP.

Ses coordonnées (nom, courriel, téléphone) sont indiquées dans la politique de confidentialité sur le site.

Un document interne précise ses responsabilités et la procédure à suivre en cas de demande d'un client.

Exemple 2 : Un consultant en marketing indépendant travaille seul et gère les données de ses clients (listes de contacts, statistiques de campagnes).

En tant que seul employé, il est automatiquement le RPRP. Il rédige quand même une courte politique de confidentialité qu'il partage avec ses clients.

⚠️ Erreurs à éviter

  • Ne pas officialiser la nomination (aucune trace écrite)
  • Nommer une personne qui n'a pas le temps ou les compétences nécessaires
  • Ne pas afficher publiquement les coordonnées du RPRP
  • Oublier de mettre à jour les informations en cas de changement de responsable

🛠️ Instructions pas à pas

1
Identifier la personne la plus qualifiée pour assumer ce rôle
2
Rédiger une lettre de nomination interne (incluse dans ce guide)
3
Former la personne aux exigences de la Loi 25
4
Mettre à jour votre politique de confidentialité avec son nom et ses coordonnées
5
Communiquer cette information aux employés

Checklist — Étape 1 complétée ?

  • J'ai identifié et nommé mon RPRP
  • J'ai documenté la nomination par écrit
  • J'ai mis à jour ma politique de confidentialité
  • Les coordonnées du RPRP sont accessibles publiquement
  • J'ai informé mes employés

📄 Gabarits inclus dans le Kit Loi 25

  • Modèle de Lettre de nomination du RPRP
  • Modèle de Politique de confidentialité conforme à la Loi 25
  • Modèle de Courriel interne de nomination du RPRP
Obtenir ces gabarits
Étape 2 : Faire l'inventaire de vos données