Kit Loi 25
Retour au guide
4
Étape 4 sur 9

Politique de gouvernance

Adoptez une politique interne qui encadre la gestion des renseignements personnels dans votre entreprise.

Temps estimé : 1 à 2 heures

📜 Ce que dit la loi

La Loi 25 oblige les entreprises à adopter une politique de gouvernance en matière de protection des renseignements personnels.

Cette politique doit notamment préciser :

  • Les pratiques encadrant la collecte, l'utilisation, la communication et la conservation des renseignements personnels
  • Les rôles et responsabilités des membres de l'organisation en matière de protection des données
  • Les mesures mises en place pour assurer la sécurité et la confidentialité
  • Les processus de gestion des incidents de confidentialité
  • Les modalités de mise à jour de la politique

La politique doit être proportionnelle à la taille et à la nature des activités de l'entreprise.

🏢 Pour une PME

Dans une petite entreprise, la politique de gouvernance peut être simple et concise, tout en couvrant les éléments essentiels exigés par la loi. Elle peut servir :

  • De référence pour les employés
  • De preuve de conformité en cas d'audit ou d'incident
  • De document interne expliquant les procédures à suivre

Important à savoir

La politique de gouvernance est un document interne obligatoire. En cas d'incident ou d'audit, c'est la preuve que votre entreprise a pris des mesures concrètes pour protéger les renseignements personnels. Son absence peut aggraver les sanctions.

💡 Exemples concrets

Exemple 1 : Une agence de marketing adopte une politique précisant que tous les renseignements personnels sont collectés uniquement pour exécuter les mandats des clients.

Elle indique qu'ils sont stockés sur des serveurs canadiens sécurisés, que seuls les employés autorisés y ont accès, et que tout incident de confidentialité doit être signalé immédiatement au RPRP.

Exemple 2 : Un cabinet comptable crée une politique d'une page qui définit que le propriétaire est le RPRP, que les dossiers clients sont conservés 7 ans puis détruits de façon sécuritaire.

La politique précise aussi que les employés doivent verrouiller leur poste de travail, ne jamais partager leurs mots de passe, et signaler toute anomalie au propriétaire.

⚠️ Erreurs à éviter

  • Utiliser un document trop complexe pour la taille de l'entreprise
  • Ne pas impliquer les employés dans la mise en place
  • Oublier de préciser les procédures en cas d'incident
  • Ne jamais mettre à jour la politique après des changements internes

🛠️ Instructions pas à pas

1
Lister les pratiques de gestion des renseignements personnels dans l'entreprise
2
Définir les rôles et responsabilités liés à la protection des données
3
Décrire les mesures de sécurité et procédures en cas d'incident
4
Rédiger le document en langage clair et accessible
5
Former les employés sur son contenu
6
Mettre en place un processus de révision annuelle

Checklist — Étape 4 complétée ?

  • Ma politique couvre la collecte, l'utilisation et la conservation des données
  • Les rôles et responsabilités sont définis
  • Les mesures de sécurité sont décrites
  • La procédure en cas d'incident est documentée
  • Mes employés ont été formés sur la politique
  • Un processus de révision annuelle est prévu

📄 Gabarits inclus dans le Kit Loi 25

  • Modèle de Politique de gouvernance des renseignements personnels
  • Modèle de Questionnaire d'évaluation des fournisseurs
Obtenir ces gabarits
Étape 3 : Rédiger votre Politique de confidentialitéÉtape 5 : Tenir un Registre des incidents