Module 1 · Exigences légales · Formation Gouvernance PRP
Désignation du RPRP selon la Loi 25

Désignation du RPRP selon la Loi 25 —
exigences légales au Québec

La désignation du RPRP est l'une des obligations les plus examinées par la CAI. Ce texte présente le cadre légal applicable, ce qui est vérifié et les risques en cas de mandat absent ou incomplet.

Planifier un plan de formation Découvrir le mandat RPRP externe →

Contexte : la désignation du RPRP comme première obligation

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) a rendu la désignation du RPRP obligatoire depuis septembre 2022. Cette obligation est l'une des plus simples à vérifier pour la Commission d'accès à l'information — et l'une des plus souvent mal respectées dans les PME.

L'absence de désignation formelle ne retire pas la responsabilité : elle la transfère automatiquement à la personne ayant la plus haute autorité dans l'organisation. Cette attribution par défaut expose le dirigeant à une responsabilité directe qu'il n'a souvent jamais formellement acceptée.

Ce que vous devez retenir — version dirigeant

  • La désignation du RPRP est obligatoire depuis septembre 2022 — sans seuil de taille.
  • Sans désignation formelle, vous êtes RPRP par défaut en tant que plus haute autorité.
  • La CAI vérifie la preuve écrite de désignation et la publication des coordonnées.
  • Un mandat sans temps ni autorité équivaut à une désignation formelle mais pas opérationnelle.

Ce que ça implique pour votre organisation

Si votre RPRP est mal encadré ou absent :

  • vos obligations de gouvernance PRP existent quand même,
  • mais elles reposent silencieusement sur le dirigeant, par défaut,
  • et la démonstration de diligence devient difficile voire impossible en cas d'enquête.

L'absence de désignation formelle est l'une des premières choses vérifiées par la CAI lors d'une enquête — et celle qui est la plus rapidement corrigeable.

Ce que ça signifie concrètement pour vous

Si votre organisation n'a jamais désigné formellement un RPRP :

  • vous êtes déjà responsable en tant que plus haute autorité ;
  • vous prenez déjà des décisions PRP dès qu'un renseignement personnel entre dans l'organisation ;
  • mais sans cadre, sans mandat, et sans preuve documentée.

Le rôle existe déjà. C'est la structure — et la protection juridique qui en découle — qui est absente.

Définition légale de la désignation

La Loi 25 impose à toute entreprise privée au Québec de désigner, par écrit ou par un acte équivalent, une personne responsable de la protection des renseignements personnels. À défaut, la personne ayant la plus haute autorité dans l'organisation est réputée RPRP.

La désignation doit être documentée, datée, et les coordonnées du RPRP doivent être publiées de façon accessible. Ces trois éléments (écrit, date, coordonnées publiées) forment la base de preuve en cas d'enquête.

Cadre juridique applicable

Article principal de la Loi 25

La Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) modifiée par la Loi 25 impose cette obligation. Elle s'applique à toutes les entreprises privées opérant au Québec, incluant travailleurs autonomes, OSBL et grandes organisations — sans seuil de taille.

Article équivalent dans la LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale impose aussi une obligation similaire de désignation. Les organisations soumises aux deux régimes peuvent désigner un seul responsable couvrant les deux cadres.

Régime public québécois

Les organismes publics ont leurs propres obligations de désignation au titre de la Loi sur l'accès aux documents des organismes publics (LAD). Les PME privées ne sont pas visées par ce régime.

Obligations concrètes liées à la désignation

  • Désigner par écrit un RPRP (lettre de mandat, résolution, contrat si externe).
  • Publier les coordonnées du RPRP dans la politique de confidentialité et sur un moyen accessible.
  • Communiquer la désignation à l'interne pour que les employés sachent qui contacter.
  • Doter le RPRP des moyens pour exercer son rôle : temps, autorité, accès à l'information.
  • Maintenir la désignation à jour lors des changements (personne, organisation, périmètre).
  • Prévoir un intérim ou remplacement en cas d'absence prolongée ou de départ.

Exemples concrets PME — comment la désignation se traduit

Obligation : désignation formelle écrite

Une lettre de mandat d'une page signée par la direction et le RPRP suffit. Aucun formalisme particulier n'est imposé — mais l'absence de trace écrite rend la démonstration impossible.

Obligation : publication des coordonnées

Ajout d'une section « Responsable de la protection des renseignements personnels » dans la politique de confidentialité, avec un courriel dédié (rprp@...). Vérifiable par un visiteur en moins de 30 secondes.

Obligation : moyens pour exercer le rôle

Pour une PME de 20 employés, un temps dédié de 4 à 8 heures par mois est généralement attendu, avec accès aux contrats sous-traitants, systèmes contenant des renseignements personnels, et décisions stratégiques touchant la vie privée.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations procèdent ainsi :

  • elles désignent quelqu'un de disponible (souvent adjointe ou comptable),
  • sans rédiger de mandat écrit,
  • sans aménager de temps dédié,
  • sans publier les coordonnées dans la politique.

Résultat :

  • désignation qui existe dans l'intention mais pas dans la preuve ;
  • RPRP qui ignore le périmètre de sa propre fonction ;
  • clients qui ne peuvent pas exercer leurs droits faute de contact identifié.

Une désignation non documentée n'existe pas aux yeux de la CAI — peu importe les intentions.

Obligation légale ou bonne pratique? La distinction compte.

La désignation elle-même est strictement obligatoire. Plusieurs éléments complémentaires relèvent des bonnes pratiques et renforcent la démonstration de diligence.

⚖️ Obligation légale

  • Désigner un RPRP (écrit ou acte équivalent)
  • Publier les coordonnées accessibles aux personnes concernées
  • Permettre au RPRP de répondre aux demandes d'exercice de droits
  • Maintenir la désignation à jour

💡 Bonne pratique fortement recommandée

  • Lettre de mandat détaillée avec les 4 piliers
  • Courriel dédié (rprp@...) pour séparer les demandes
  • Revue annuelle du mandat
  • Formation continue du RPRP
  • Intérim désigné en cas d'absence
  • Traçabilité des versions du mandat

Exemples d'application concrète

Désignation dans une PME de moins de 10 employés

Le propriétaire assume généralement le rôle, avec une lettre de mandat à soi-même formalisant la désignation. Aucune contrainte de temps minimal imposée par la loi — mais le temps réel doit être proportionné à l'activité PRP de l'organisation.

Désignation par mandat externe

Une organisation qui n'a pas d'expertise interne confie le rôle à un consultant par un contrat de mandat. Le contrat précise périmètre, modalités d'accès aux informations, canaux de communication, gestion des incidents, et durée. La responsabilité ultime reste à l'organisation.

Désignation dans un groupe de filiales

Un même RPRP peut couvrir plusieurs entités liées, à condition que la désignation soit formellement faite par chacune et que les coordonnées soient publiées par chacune. Un RPRP unique de groupe doit disposer des moyens pour chaque filiale.

Risques en cas de non-conformité

L'exposition se mesure sur deux axes.

Angle 1 — Sanctions juridiques

  • Sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
  • Ordonnances de la CAI exigeant la désignation formelle et la publication des coordonnées.
  • Actions privées pour les personnes qui n'ont pas pu exercer leurs droits faute de RPRP identifié.
  • Responsabilité directe du dirigeant — le plus haut dans l'organisation est RPRP par défaut, avec la responsabilité qui s'ensuit.

Angle 2 — Coûts opérationnels d'une désignation mal faite

  • Absence de traitement des demandes d'exercice de droits — le RPRP ignore ou refuse les demandes, créant des incidents de deuxième ordre.
  • Gestion d'incident désorganisée — personne ne sait qui décide, qui notifie, qui documente.
  • Mobilisation du dirigeant en situation d'urgence — car la responsabilité remonte par défaut.
  • Coût de régularisation tardive — souvent supérieur à celui d'une désignation claire initiale.

Articulation avec la gouvernance PRP globale

La désignation du RPRP est la pierre angulaire de la gouvernance :

  • Politique de confidentialité — publie les coordonnées du RPRP.
  • Registre des traitements — tenu sous la supervision du RPRP.
  • Registre des incidents — alimenté par le RPRP en cas d'événement.
  • EFVP — coordonnées par le RPRP pour les projets concernés.
  • Contrats sous-traitants — RPRP consulté pour les clauses PRP.
  • Formation des employés — le RPRP en est généralement l'organisateur.

Questions fréquentes

Peut-on désigner plusieurs RPRP?

La Loi 25 impose la désignation d'une personne, mais n'empêche pas la répartition interne des responsabilités. Une organisation peut désigner un RPRP principal et des délégués par service ou par thématique — avec une désignation unique publiée.

Le RPRP doit-il être un employé?

Non. Le RPRP peut être un employé, un dirigeant, ou un consultant externe sous mandat contractuel. Ce qui compte est la capacité d'exercer le rôle avec temps, autorité et accès appropriés.

Faut-il un courriel dédié pour le RPRP?

Pas strictement obligatoire, mais fortement recommandé. Un courriel dédié (ex. rprp@...) facilite la gestion des demandes d'exercice des droits, sépare les flux PRP, et assure la continuité en cas de changement de personne.

Comment démontrer la désignation en cas d'enquête?

Par la lettre de mandat écrite, la mention dans la politique de confidentialité publiée, les communications internes (courriels, intranet), et les documents démontrant l'exercice effectif du rôle (rapports, décisions, registres).

Le dirigeant doit-il signer personnellement le mandat?

Oui, si le dirigeant n'est pas le RPRP. La signature de la plus haute autorité formalise la délégation et clarifie la relation hiérarchique. Dans une entreprise individuelle, le propriétaire peut signer à titre de direction et de RPRP simultanément.

Deux réalités possibles

Deux organisations soumises à la même obligation de désignation peuvent obtenir des résultats très différents selon la structure réelle de leur mandat.

✗ Sans mandat clair

  • responsabilité diffuse — retombe sur le dirigeant par défaut
  • décisions improvisées dans les zones grises
  • preuve écrite absente ou partielle
  • clients sans interlocuteur identifié

✓ Avec mandat structuré

  • rôle clair et assumé par une personne identifiée
  • décisions encadrées et documentées
  • conformité démontrable en tout temps
  • clients dirigés vers un point de contact dédié

Concrètement pour une PME

Une désignation mal faite :

  • retarde les décisions sensibles, faute d'autorité claire ;
  • complique la gestion d'un incident — personne ne sait qui tranche ;
  • mobilise le dirigeant en urgence, par effet de retour par défaut.

Le coût vient du flou — pas de la conformité elle-même.

🎯 Diagnostic rapide

Votre organisation :

  • a-t-elle une lettre de mandat RPRP écrite et signée?
  • publie-t-elle les coordonnées du RPRP dans sa politique de confidentialité?
  • le RPRP dispose-t-il du temps, de l'autorité et de l'accès pour agir?

Si non à une ou plusieurs questions, la désignation est formelle mais pas opérationnelle — risque immédiat en cas de plainte ou d'enquête.

Concrètement

Les obligations de désignation du RPRP existent indépendamment de la situation réelle de votre organisation. Sans mandat formel et publié :

  • la désignation par défaut vous transfère automatiquement la responsabilité en tant que plus haute autorité ;
  • les obligations de gouvernance PRP existent, mais personne n'est clairement chargé de les exécuter ;
  • en cas de plainte ou d'enquête, la CAI constate en quelques minutes l'absence de preuve écrite.

Construire un mandat RPRP opérationnel est la première étape d'une gouvernance sérieuse — c'est rapide à faire (une page écrite), visible immédiatement, et c'est le point de départ de toutes les autres obligations.

En résumé — Désignation du RPRP Loi 25

  • Obligation : désigner un RPRP, sans seuil de taille, par écrit
  • Par défaut : la plus haute autorité est RPRP si aucune désignation formelle
  • Publication : coordonnées accessibles aux personnes concernées (politique de confidentialité)
  • Options : RPRP interne ou mandat externe par contrat

📘 Version pratique du même sujet

Pour un guide concret sur la construction du mandat — structure, sections obligatoires, publication des coordonnées — consultez la version pratique.

Guide — Rédiger le mandat du RPRP →

Besoin de structurer la désignation de votre RPRP?

Formation pratique sur la construction du mandat, ou mandat RPRP externe par contrat — deux voies selon vos ressources internes.

Mandat RPRP externe Planifier un plan de formation

← Retour à la formation complète (6 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.