Le Responsable de la protection des renseignements personnels, une nouveauté pour les entreprises québécoises
“La seule fin pour laquelle les hommes sont autorisés, individuellement ou collectivement, à intervenir dans la liberté d’action d’un de leurs semblables, est la protection de soi-même.”
John Stuart Mill
Création récente du droit québécois, le responsable de la protection des renseignements personnels (RPRP) tel qu’il existe aujourd’hui est une institution d’inspiration européenne. La nouvelle Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), votée en septembre 2021, prévoit notamment la mise en place d’un responsable de la protection des renseignements personnels dans les entreprises privées qui recueillent, utilisent ou divulguent des renseignements personnels. Cette nouvelle fonction vient avec son lot de questions quant à son rôle et à ses responsabilités.
Qui est le RPRP ?
Pour éviter que les entreprises québécoises ne soient en défaut de respecter leurs nouvelles obligations, le législateur québécois a donné un “coup de pouce” aux entreprises en nommant d’office la personne ayant la plus haute autorité au sein de l’organisation à titre de RPRP. Cela veut dire en pratique que, suite à une analyse de la gouvernance, cette responsabilité revient à la personne exerçant un pouvoir décisionnel final au sein de l’entreprise.
Heureusement pour ce dernier, il existe une possibilité de déléguer le rôle de RPRP à d’autres personnes au sein de son organisation. En effet, la personne avec la plus haute autorité n’est pas forcément la personne la plus compétente en matière de de protection des renseignements personnels. C’est pourquoi il est préférable de déléguer cette responsabilité à du personnel ayant des connaissances juridiques et/ou informatiques car la protection des renseignements personnels touche à ces deux domaines de compétence. De même, une connaissance approfondie des opérations de l’entreprise, surtout si ces dernières sont sophistiquées, serait un atout. Quel qu’il soit, le RPRP devra se former à son nouveau rôle, afin d’accomplir sa mission avec diligence et de protéger l’organisation efficacement. En effet, le candidat parfait n’existe pas.
Quel est le rôle du RPRP ?
Le rôle du RPRP au sein de l’organisation consiste principalement à s’assurer que l’organisation respecte ses obligations en matière de protection des renseignements personnels. En pratique, le rôle peut comprendre l’accomplissement des tâches suivantes :
- Mettre à jour et approuver les politiques et processus de l’organisation en matière de protection des renseignements personnels;
- veiller à s’assurer du respect et de la mise en oeuvre de la loi, notamment pour l’implantation des mesures de sécurité adéquates dans les circonstances;
- Être consulté et intervenir au besoin dans les évaluations des facteurs relatifs à la vie privée (méthode pour déterminer les risques d’atteinte à la vie privée et mettre en place des mesures d’atténuation);
- Former le personnel aux enjeux de protection des renseignements personnels;
- Prêter assistance au personnel et aux clients de l’organisation ayant des besoins d’information;
- Répondre aux demandes des personnes concernées sur leurs renseignements personnels;
- Motiver les refus liés aux demandes des personnes concernées et offrir de l’aide en cas de refus;
- Tenir le registre d’incident de confidentialité imposé par la loi.
Quel est l’intérêt d’avoir un bon RPRP ?
L’importance d’avoir un bon RPRP est indéniable. En effet, dans un monde où la technologie est de plus en plus présente au quotidien, le législateur a imposé aux entreprises de protéger les renseignements personnels de leurs clients et de leur personnel contre toute utilisation abusive ou non autorisée.
En plus de protéger les renseignements personnels des québécois, avoir un RPRP peut également avoir des avantages pour les entreprises. En effet, cela peut leur permettre de créer une culture de la protection des données au sein de leur organisation, ce qui peut contribuer à renforcer la confiance générale envers l’entreprise. Cela peut également aider les entreprises à éviter les sanctions salées et les poursuites judiciaires en cas de non-respect de la LPRPSP.
Pour résumer, avoir un bon RPRP comporte trois intérêts principaux pour l’entreprise :
- Intérêt stratégique (rassure les partenaires commerciaux, les clients et les employés, en plus de donner des garanties fortes au public en terme de respect de la vie privée et de favoriser la confiance globale envers l’organisation);
- Intérêt économique (les renseignements personnels sont des actifs immatériels important de l’entreprise qu’il faut préserver, cela permet également d’améliorer l’image de marque de l’entreprise et donc de favoriser les ventes);
- Intérêt juridique (le RPRP surveille l’évolution des normes de protection des renseignements personnels afin de favoriser la conformité et d’éviter les litiges et les sanctions pour l’organisation).
Article écrit par Erwan Jonchères pour le Jeune Barreau de Montréal.
Montréal
154 av. Laurier O. bureau 210, Montréal, H2T 2N7, Québec
Paris
6 rue Pierre Haret,
Paris, 75009, France