Module 1 · Guide pratique · Formation Gouvernance PRP
Construction du mandat RPRP — fondation de la gouvernance

Comment désigner un RPRP
et rédiger son mandat?

La désignation du RPRP est la première exigence de la Loi 25 — et la plus mal faite dans les PME. Ce guide explique comment rédiger un mandat opérationnel que le RPRP peut réellement exercer.

Planifier un plan de formation Découvrir le mandat RPRP externe →

Nommer un RPRP « parce que la loi l'exige » sans lui donner de mandat clair est une erreur courante — et très visible en cas d'enquête de la CAI. Un RPRP opérationnel a trois piliers : un mandat écrit, du temps dédié, et l'autorité pour décider. Ce guide explique comment construire chacun de ces trois piliers concrètement dans une PME québécoise.

🔰 Pas encore familier avec le rôle du RPRP? Le guide Le rôle du RPRP en PME (formation Initiation PRP) couvre les bases : ce qu'est un RPRP, ce que la loi exige a minima, qui peut occuper le rôle. À lire d'abord si vous découvrez la fonction.

Ce que ça signifie concrètement pour un dirigeant

Dans la majorité des PME québécoises :

  • le dirigeant est RPRP par défaut — c'est la loi qui le dit,
  • mais sans le savoir, sans mandat, sans structure,
  • jusqu'au jour où un incident, une plainte ou une demande d'accès arrive.

Le rôle existe déjà. C'est la structure qui est absente.

Qu'est-ce qu'un mandat RPRP opérationnel?

Un mandat RPRP opérationnel est un document écrit qui précise les responsabilités, le temps, l'autorité et l'accès à l'information dont dispose la personne désignée pour exercer le rôle de Responsable de la Protection des Renseignements Personnels. Sans ces quatre éléments, la désignation est considérée comme formelle — pas opérationnelle.

Les 4 piliers d'un mandat RPRP concret

Un mandat crédible aux yeux de la CAI repose sur quatre éléments documentés. Prenez un instant et évaluez chacun pour votre RPRP actuel :

🎯 Diagnostic — votre mandat RPRP est-il opérationnel?

  • Responsabilités — sont-elles clairement définies par écrit (politiques, registres, incidents, formation, sous-traitants)?
  • Temps dédié — un volume d'heures ou une part de la fonction est-il explicitement alloué?
  • Autorité décisionnelle — quelles décisions le RPRP peut-il prendre seul, lesquelles remontent à la direction?
  • Accès à l'information — le RPRP a-t-il accès aux systèmes, dossiers, contrats qui touchent des renseignements personnels?

Si un seul élément manque, votre RPRP ne peut pas exercer son rôle correctement — sa désignation est un titre, pas une fonction.

Comment établir le mandat — démarche pas-à-pas

Établir un mandat opérationnel n'est pas un acte juridique compliqué. C'est une suite de décisions explicites entre la direction, la personne désignée et l'organisation.

  1. Identifier la personne. Interne (dirigeant, responsable RH, responsable conformité) ou externe (mandat à un consultant). Critères : disponibilité réelle, compréhension de l'organisation, capacité d'arbitrer entre opérationnel et conformité, accès raisonnable à la direction.
  2. Cadrer les quatre piliers avec la direction. Avant la rédaction, valider en conversation directe : quelles responsabilités précises (référez-vous au registre des traitements), combien d'heures par semaine ou par mois, quelles décisions le RPRP peut prendre seul, à quoi il a accès. Cette conversation évite que le mandat soit signé sans engagement réel.
  3. Rédiger la lettre de mandat. À partir du template commenté ci-dessous — adapter chaque article à votre situation, pas signer un texte générique.
  4. Faire signer par les deux parties. RPRP désigné + autorité de l'organisation (dirigeant principal, conseil d'administration ou équivalent). Date la signature, garder l'original avec les documents officiels de l'organisation.
  5. Publier les coordonnées du RPRP. Politique de confidentialité, page contact, signature courriel — partout où une personne concernée pourrait chercher comment exercer ses droits.
  6. Communiquer en interne. Annonce écrite à tout le personnel : qui est le RPRP, quel est son rôle, comment le contacter, dans quels cas l'impliquer. Inclure ce rappel dans l'accueil des nouvelles embauches.
  7. Planifier la revue annuelle. Date fixe au calendrier de la direction. Vérifier que le périmètre, le temps dédié et l'autorité sont toujours adaptés. Mettre à jour si la structure de l'organisation a évolué.

Template — Lettre de mandat RPRP commentée

Ce template est un point de départ que vous adaptez à votre organisation. Chaque article est suivi d'un encadré « Comment l'adapter » qui explique les choix à faire.

[Ville], le [date]

[Nom complet de l'organisation]
[Adresse complète]

Objet : Lettre de mandat — désignation du Responsable de la protection des renseignements personnels (RPRP)

💡 Comment l'adapter : mettre la date à laquelle le mandat prend effet (pas rétroactif). L'objet doit nommer explicitement « RPRP » pour qu'aucun ambiguïté ne subsiste si la lettre est demandée en preuve par la CAI.

Préambule

Conformément à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) et aux obligations qui en découlent depuis le 22 septembre 2022, [Nom de l'organisation] désigne par la présente un Responsable de la protection des renseignements personnels chargé d'assurer la conformité de l'organisation à cette loi et aux exigences réglementaires connexes.

💡 Comment l'adapter : garder la référence légale précise (article 3.1) — c'est le fondement de l'obligation. Si vous opérez aussi sous LPRPDE (clients hors Québec), ajouter une phrase mentionnant cette deuxième loi.

Article 1 — Désignation

[Prénom Nom], occupant la fonction de [titre], est désigné Responsable de la protection des renseignements personnels de [Nom de l'organisation] à compter du [date d'entrée en vigueur]. Le présent mandat est conclu pour une durée indéterminée et peut être révisé à tout moment par les deux parties.

💡 Comment l'adapter : nommer la personne par son nom et sa fonction (pas juste « le dirigeant »). Date d'entrée en vigueur claire. Si vous voulez une durée déterminée (ex. 2 ans renouvelables), le préciser ici.

Article 2 — Responsabilités

Le RPRP est chargé des activités suivantes :

  • Tenir et mettre à jour la politique interne de protection des renseignements personnels ainsi que la politique de confidentialité publique ;
  • Maintenir le registre des activités de traitement et le registre des incidents ;
  • Recevoir et traiter les demandes d'accès, de rectification, de retrait du consentement et de portabilité ;
  • Évaluer les projets impliquant des renseignements personnels (EFVP) et statuer sur leur conformité ;
  • Encadrer les sous-traitants ayant accès à des renseignements personnels (DPA) ;
  • Recevoir les déclarations d'incidents internes, évaluer le risque de préjudice sérieux, notifier la CAI et les personnes concernées le cas échéant ;
  • Sensibiliser et former le personnel ;
  • Effectuer une revue annuelle de la conformité et rapporter à la direction ;
  • Représenter l'organisation auprès de la CAI et des personnes concernées sur toute question PRP.
💡 Comment l'adapter : retirer les responsabilités qui ne s'appliquent pas (par exemple si vous n'avez pas de sous-traitants) et ajouter celles propres à votre secteur (santé, finances, éducation : obligations supplémentaires). Chaque ligne doit pouvoir être défendue en cas d'audit comme « activité réellement exercée ».

Article 3 — Temps dédié

L'organisation s'engage à allouer au RPRP un volume équivalent à [X heures par semaine OU X % de sa fonction] pour l'exercice de ses responsabilités. Ce temps est révisable en fonction de l'évolution des activités et des projets impliquant des renseignements personnels.

💡 Comment l'adapter : mettre un chiffre concret, pas « selon les besoins ». Repère pour PME : 2 à 5 heures par semaine en régime de croisière, plus en période de mise en place ou d'incident. Si vous ne savez pas, partir avec une estimation et ajuster à la revue annuelle.

Article 4 — Autorité et reporting

Le RPRP rapporte directement à [titre — généralement le dirigeant principal ou le conseil d'administration]. Il dispose de l'autorité de : • décider de la conformité d'un projet PRP ou exiger des modifications avant son déploiement ;
• suspendre temporairement un traitement qui présente un risque sérieux non maîtrisé ;
• exiger la mise en place de mesures de sécurité ou de procédures correctives ;
• décider de la notification à la CAI et aux personnes concernées en cas d'incident.

💡 Comment l'adapter : être explicite sur l'autorité. Vous pouvez restreindre certaines décisions à la direction (ex. suspension d'un traitement opérationnel critique nécessite l'accord du dirigeant), mais le faire par écrit ici, pas en pratique informelle.

Article 5 — Accès aux informations

Pour l'exercice de son mandat, le RPRP a accès à tous les systèmes, dossiers, contrats et documents de l'organisation qui contiennent ou encadrent le traitement de renseignements personnels — incluant les contrats de sous-traitance, les registres RH, les bases de données clients et les journaux d'accès informatiques. Cet accès est encadré par une obligation de confidentialité (article 7).

💡 Comment l'adapter : ne pas restreindre l'accès — un RPRP qui ne peut pas consulter un dossier ne peut pas évaluer un risque. Si l'organisation a des informations ultra-sensibles (secrets d'affaires, projets confidentiels), l'engagement de confidentialité de l'article 7 couvre ce souci.

Article 6 — Moyens et soutien

L'organisation met à la disposition du RPRP les moyens nécessaires à l'exercice de son rôle : formation continue (budget annuel de [X $]), outils de gestion (registres, modèles de documents), soutien externe ponctuel si requis (consultation juridique ou technique).

💡 Comment l'adapter : mettre un budget concret, même modeste (ex. 500 à 2 000 $/an). Sans budget, le RPRP ne peut pas se former. C'est aussi le signal que la direction prend la fonction au sérieux.

Article 7 — Confidentialité

Le RPRP s'engage à respecter la confidentialité de toutes les informations consultées dans l'exercice de son mandat, et à ne les utiliser qu'aux fins prévues par celui-ci. Cet engagement survit à la fin du mandat.

💡 Comment l'adapter : standard, à conserver tel quel. Si le RPRP est externe, cet engagement est aussi présent dans le contrat de service — les deux se renforcent.

Article 8 — Durée et fin du mandat

Le présent mandat est conclu pour une durée indéterminée. Il peut prendre fin par accord écrit entre les parties, par démission du RPRP avec préavis raisonnable, ou par décision de l'organisation. Une revue formelle est planifiée annuellement (date approximative : [mois]). En cas de fin de mandat, l'organisation s'engage à désigner un nouveau RPRP sans interruption de la fonction.

💡 Comment l'adapter : la continuité de la fonction est cruciale — sans RPRP désigné, l'organisation est en non-conformité (article 3.1). Prévoir un remplaçant temporaire ou un mandat externe transitoire dans la procédure interne.

Signatures

Pour l'organisation :

[Prénom Nom, titre]
[Date]

Le RPRP désigné :

[Prénom Nom]
[Date]

💡 Comment l'adapter : les deux signatures sont nécessaires — la désignation unilatérale n'engage pas la personne désignée. Conserver l'original signé avec les documents officiels de l'organisation (incorporation, statuts, conventions clés).

Publier les coordonnées du RPRP

La Loi 25 exige que les coordonnées du RPRP soient accessibles aux personnes concernées. En pratique, elles doivent être :

  • Publiées dans la politique de confidentialité — section dédiée avec nom ou fonction + courriel de contact.
  • Accessibles sur le site web — page contact ou politique, pas enfouies dans un PDF.
  • Communiquées en interne — tous les employés savent qui est le RPRP et comment le joindre.

Une adresse courriel dédiée (ex. rprp@votre-entreprise.ca) est fortement recommandée pour séparer les demandes PRP du reste.

RPRP interne ou mandat externe?

Le rôle peut être assumé à l'interne ou confié à un consultant externe par un mandat contractuel. La responsabilité ultime reste à l'organisation — le consultant exerce la fonction.

RPRP interne sans cadre

  • rôle ajouté à une fonction existante
  • peu de temps réellement dédié
  • compétences acquises en parallèle
  • décisions retardées ou improvisées

RPRP externe par mandat

  • mandat clair défini par contrat
  • temps dédié prévu au mandat
  • expertise disponible immédiatement
  • continuité et suivi structurés

Un mandat externe est encadré par un contrat spécifique : périmètre d'intervention, modalités d'accès, gestion des incidents, continuité dans le temps. Solution naturelle pour les PME qui n'ont pas les ressources internes pour structurer la fonction.

Un RPRP sans mandat clair est un titre — pas une fonction.

Erreurs fréquentes dans la construction du mandat

  • Mandat verbal ou implicite — impossible de démontrer la désignation en cas d'enquête. Toujours mettre par écrit.
  • Aucun temps dédié — le rôle s'ajoute à la fonction existante sans ajustement. Le RPRP ne peut pas agir.
  • Autorité ambiguë — le RPRP découvre en situation d'incident qu'il ne peut rien décider seul.
  • Coordonnées non publiées — un client qui veut exercer un droit ne sait pas qui contacter.
  • Pas de remplaçant désigné — absence ou départ du RPRP laisse un vide.

Comment maintenir le mandat dans le temps

  • Revue annuelle — vérifier que le périmètre et les moyens sont toujours adaptés.
  • Mise à jour à chaque changement — nouvelle personne, changement d'organisation, nouveaux services.
  • Formation continue du RPRP — la Loi 25 évolue, les bonnes pratiques aussi.
  • Traçabilité — conserver les versions successives du mandat pour démontrer l'historique de diligence.

Concrètement pour une PME

Sans mandat RPRP clair :

  • les décisions sensibles sont retardées ou improvisées ;
  • les incidents sont mal gérés faute de protocole documenté ;
  • la responsabilité est mal assumée — elle tombe sur le dirigeant en situation d'urgence.

Le coût vient du flou — pas de la loi.

En résumé

Définition : Un mandat RPRP opérationnel est un document écrit précisant responsabilités, temps, autorité et accès à l'information.

3 faits clés

  • Sans mandat écrit, la désignation n'est pas démontrable
  • Sans temps dédié ni autorité, le RPRP ne peut pas exercer son rôle
  • Les coordonnées doivent être publiées et accessibles

👉 Action : Si votre RPRP n'a pas de mandat écrit avec les 4 piliers (responsabilités, temps, autorité, accès), c'est la première chose à construire — avant les registres ou la politique.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les obligations légales de désignation du RPRP, ce que la CAI examine en cas d'enquête, et les risques si le mandat est mal encadré.

Désignation du RPRP selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Votre RPRP actuel…

Si vous avez répondu non à l'une de ces questions,
votre désignation est probablement formelle mais pas opérationnelle — et la CAI le verra immédiatement en cas d'enquête.

Pas les ressources internes pour structurer un RPRP opérationnel?
Le mandat RPRP externe permet d'avoir un responsable clair, expertise et continuité — sans embauche.

Découvrir le mandat RPRP externe →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Planifier un plan de formation Mandat RPRP externe

← Retour à la formation complète (6 modules)