Commission d'accès à l'information (CAI)
La Commission d'accès à l'information du Québec (CAI) est l'organisme responsable de surveiller l'application de la Loi 25 et de protéger les droits en matière de renseignements personnels.
Lois et réglementations
- Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25)
- Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) — Canada
- Commissariat à la protection de la vie privée du Canada
Responsable de la protection des renseignements personnels (RPRP)
Votre entreprise est responsable de protéger les renseignements personnels qu'elle recueille, détient, utilise, communique et conserve.
Responsable par défaut : La personne ayant la plus haute autorité dans l'entreprise (par ex. son dirigeant) est par défaut responsable. Cette fonction peut être déléguée par écrit à une personne en mesure d'assumer ce rôle. Même en cas de délégation, la plus haute autorité demeure imputable.
Publication : Le titre et les coordonnées du responsable doivent être publiés sur le site Web de l'entreprise (ou communiqués par tout autre moyen approprié).
Fonctions principales du RPRP
- Approuver les politiques et pratiques encadrant la gouvernance des renseignements personnels
- Répondre aux demandes d'accès et de rectification (délai : 30 jours)
- Communiquer les renseignements dans un format technologique (droit à la portabilité)
- Répondre aux demandes de cessation de diffusion et de désindexation
- Participer à l'évaluation des facteurs relatifs à la vie privée (ÉFVP)
- Recevoir les avis de violation des mandataires
- Participer à l'évaluation des préjudices en cas d'incident de confidentialité
Les entreprises doivent établir des politiques et pratiques de gouvernance (conservation, destruction, rôles, traitement des plaintes) proportionnelles à leurs activités et les publier sur leur site.
RPRP et questions techniques
En tant que responsable des renseignements personnels (RPRP), vous pouvez être appelé à répondre à des questions techniques de la CAI lors d'une enquête ou d'une vérification. Notre accompagnement peut vous aider à comprendre votre infrastructure, documenter vos pratiques, préparer des réponses documentées et identifier les points d'attention à l'avance.
Évaluation des facteurs relatifs à la vie privée (EFVP)
L'EFVP est une démarche préventive visant à protéger les renseignements personnels et à respecter la vie privée. Elle consiste à analyser les facteurs ayant un effet sur le respect de la vie privée (conformité, risques, stratégies de réduction) avant et pendant un projet.
Dans quelles situations l'EFVP est-elle obligatoire ?
1. Communication de renseignements personnels à l'extérieur du Québec — avant de communiquer ou de confier à une entité hors Québec la collecte, l'utilisation, la communication ou la conservation de renseignements personnels.
2. Projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services — dès le début du projet, en consultant le RPRP. Ex. : système informatique, logiciel de visio, IA, vidéosurveillance, zone membre, application mobile, etc.
3. Communication de renseignements personnels sans consentement à des fins d'étude, de recherche ou de production de statistiques (sous certaines conditions et entente transmise à la Commission).
EFVP et sites web — guide rapide
- Site vitrine sans collecte ni suivi — EFVP en général non requise.
- Site avec formulaire de contact — EFVP souvent requise (données envoyées à un serveur externe).
- Site avec analytics ou IA — EFVP requise (transfert + analyse).
- E-commerce ou zone membre — EFVP requise.
Si votre site utilise des services tiers (formulaires, analytics, hébergement cloud) situés à l'extérieur du Québec, une EFVP est généralement requise. Nous pouvons vous aider à déterminer si elle s'applique et vous accompagner dans sa réalisation.