Qui doit être désigné comme RPRP au sein d'une organisation québécoise?

Selon l'article 3.1 de la Loi 25, c'est la personne ayant la plus haute autorité au sein de l'organisation qui exerce la fonction de Responsable de la protection des renseignements personnels par défaut. Cette fonction peut être déléguée par écrit, en tout ou en partie, à toute personne — un employé, un consultant externe (mandat RPRP externe). Le titre et les coordonnées du RPRP doivent être publiés sur le site Internet de l'entreprise.

Quel est le délai pour répondre à une demande d'accès au Québec?

L'article 27 et les pratiques de la Commission d'accès à l'information indiquent un délai de 30 jours pour répondre à une demande d'accès. Une absence de réponse dans ce délai est traitée comme un refus, qui peut faire l'objet d'une plainte. La portabilité (communication des renseignements dans un format technologique structuré et couramment utilisé) est en vigueur depuis le 22 septembre 2024.

Une adresse info@ ou contact@ peut-elle servir de coordonnées pour le RPRP?

Techniquement possible, mais cela ne respecte pas l'esprit de l'article 3.1. La fonction de RPRP est spécifique et exige une voie de contact identifiable, idéalement un courriel dédié comme rprp@entreprise.com ou privacy@entreprise.com. Une adresse générale dilue les demandes confidentialité dans le courrier général et signale l'absence d'une fonction PRP réellement exercée.

Que doit-on afficher sur les durées de conservation des données?

L'article 23 exige la destruction ou l'anonymisation lorsque les fins sont accomplies. En pratique, l'organisation doit avoir une table de durées par catégorie de renseignements (formulaires, infolettre, comptes clients, factures), justifiée par les obligations légales (fiscales, contractuelles, sectorielles). Une durée vague comme « le temps nécessaire » n'est pas conforme à l'esprit de l'article — des chiffres concrets sont attendus.

Ces obligations s'appliquent-elles aux sites Wix, Shopify ou Webflow?

Oui. La Loi 25 ne distingue pas par technologie. Toute organisation québécoise est soumise aux articles 3.1, 27, 28, 28.1, 29, 23 et 12.1, peu importe la plateforme du site. La publication des coordonnées du RPRP et l'affichage des durées doivent se faire sur WordPress, Wix, Shopify, Squarespace, Webflow ou un site sur mesure.

Formation Site web · Module 7 · Exigences légales
Articles 3.1, 27, 28, 28.1, 29, 23, 12.1

RPRP visible, droits et conservation — Exigences Loi 25 Québec

L'article 3.1 exige la publication des coordonnées du RPRP. Les articles 27 à 29 organisent l'exercice des droits. L'article 23 impose des durées de conservation justifiées. Voici les obligations exactes appliquées à la face publique de votre site.

Découvrir le mandat RPRP externe Planifier la formation pour mon équipe →

Contexte légal

La face publique de la gouvernance PRP repose sur sept articles de la Loi 25 : l'article 3.1 (RPRP désigné et publié), l'article 27 (accès et portabilité), l'article 28 (rectification), l'article 28.1 (cessation de diffusion et désindexation), l'article 29 (mesures pour assurer l'exercice des droits), l'article 23 (conservation et destruction), l'article 12.1 (décision automatisée et droit à l'intervention humaine). Ensemble, ces articles déterminent ce qu'un visiteur peut trouver, exercer et vérifier directement sur votre site — sans passer par une enquête ni une plainte.

Applicable à tout site web. Les obligations s'appliquent à toute organisation québécoise — peu importe la plateforme du site (WordPress, Wix, Shopify, Squarespace, Webflow, sur mesure). C'est l'activité de l'organisation qui crée l'obligation, pas la technologie utilisée.

Ce que vous devez retenir — version dirigeant

Article 3.1 — RPRP désigné, titre et coordonnées publiés sur le site. À défaut, c'est la personne ayant la plus haute autorité qui assume.
Articles 27, 28, 28.1 — droits d'accès, rectification, désindexation et portabilité (en vigueur depuis sept. 2024). Délai de réponse : 30 jours.
Article 29 — obligation de porter à la connaissance du public les moyens d'exercer ces droits.
Article 23 — durées de conservation justifiées par catégorie + destruction ou anonymisation au terme.
Article 12.1 — décisions automatisées : information de la personne + droit à l'intervention humaine.

Ce que ça implique pour votre organisation

Si aucun RPRP n'est désigné formellement, la fonction tombe par défaut sur la personne ayant la plus haute autorité — souvent le dirigeant.
Si les coordonnées ne sont pas publiées, l'article 3.1 n'est pas respecté indépendamment de la qualité de la désignation interne.
Si une demande de droit n'est pas traitée dans les 30 jours, le silence est traité comme un refus opposable — qui peut déclencher une plainte CAI.

Ce que ça signifie concrètement pour vous

Sans RPRP désigné formellement, vous êtes le RPRP par défaut — avec toutes les responsabilités qui en découlent, sans avoir choisi cette fonction.
Une plainte d'un visiteur dont la demande d'accès n'a pas été traitée vous met en position défensive : aucune procédure documentée à présenter.
Si votre structure interne ne permet pas d'assumer le rôle, le mandat externe vous donne un RPRP nommé, joignable et opérationnel — publiable sur le site avec les coordonnées exigées.

Le rôle existe par défaut. Sa visibilité et sa capacité d'action déterminent le risque.

Définition légale

Le Responsable de la protection des renseignements personnels (RPRP) est la personne qui veille à assurer le respect et la mise en œuvre de la Loi 25 au sein de l'organisation. La fonction est exercée par défaut par la personne ayant la plus haute autorité, qui peut la déléguer par écrit. Les droits des visiteurs sont les huit droits accordés par la Loi 25 (information, accès, rectification, retrait, désindexation, portabilité, intervention humaine, plainte). Les durées de conservation sont les périodes pendant lesquelles l'organisation conserve les renseignements avant destruction ou anonymisation.

Cadre juridique applicable

Article 3.1 — RPRP désigné et publié

« Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient. Au sein de l'entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la présente loi. Elle exerce la fonction de responsable de la protection des renseignements personnels ; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne. Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles par tout autre moyen approprié. »

Article 27 — Accès et portabilité

« Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l'existence et lui donner communication de ce renseignement en lui permettant d'en obtenir une copie. »

L'article ajoute : « À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d'un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. »

La portabilité est en vigueur depuis le 22 septembre 2024.

Article 28 — Rectification

« Outre les droits prévus au premier alinéa de l'article 40 du Code civil, toute personne peut, si le renseignement personnel la concernant est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger qu'il soit rectifié. »

Article 28.1 — Cessation de diffusion et désindexation

Voir module 6 pour le texte intégral. Le visiteur peut exiger le retrait d'un renseignement le concernant ou la désindexation de tout hyperlien y donnant accès, sous certaines conditions.

Article 29 — Mesures pour assurer l'exercice des droits

« Toute personne qui exploite une entreprise et détient des renseignements personnels sur autrui doit prendre les mesures nécessaires pour assurer l'exercice par une personne concernée des droits prévus aux articles 37 à 40 du Code civil ainsi que des droits conférés par la présente loi. Elle doit notamment porter à la connaissance du public l'endroit où ces renseignements personnels sont accessibles et les moyens d'y accéder. »

Article 23 — Conservation et destruction

« Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l'anonymiser pour l'utiliser à des fins sérieuses et légitimes, sous réserve d'un délai de conservation prévu par une loi. »

Article 12.1 — Décision automatisée

Les organisations doivent informer la personne lorsqu'elle fait l'objet d'une décision fondée exclusivement sur un traitement automatisé, et lui donner l'occasion de présenter ses observations à un membre du personnel en mesure de réviser cette décision. Pertinent pour les sites utilisant un chatbot IA décisionnel, un scoring automatique ou une modération par algorithme.

Obligations concrètes pour les organisations

Désigner formellement un RPRP par écrit (lettre de mandat ou résolution interne)
Publier les coordonnées du RPRP sur le site (titre + nom ou titre seul + courriel dédié + autres voies utiles)
Documenter une procédure de traitement des demandes de droits dans le délai de 30 jours
Présenter une section « Vos droits » sur le site, claire et accessible
Afficher une table de durées de conservation par catégorie de renseignements
Informer en cas de décision automatisée et offrir la révision humaine (article 12.1)
Maintenir à jour ces éléments en cas de changement (départ du RPRP, modification des durées, etc.)

Exemples concrets pour une PME

Obligation : publication RPRP (art. 3.1) → Exemple PME : dans la politique de confidentialité, encadré dédié : « Marie Tremblay, Responsable de la protection des renseignements personnels — rprp@entreprise.com — Pour toute question relative à vos renseignements personnels et pour exercer vos droits. »

Obligation : exercice des droits (art. 27-29) → Exemple PME : page « Vos droits » avec procédure : « Pour exercer vos droits, écrivez à rprp@entreprise.com en indiquant votre nom et le droit que vous souhaitez exercer. Nous accusons réception sous 5 jours et répondons dans le délai légal de 30 jours. »

Obligation : durées de conservation (art. 23) → Exemple PME : table dans la politique : Formulaires de contact = 12 mois après dernière communication ; Infolettre = jusqu'au désabonnement + 30 jours ; Comptes clients actifs = durée de la relation + 7 ans (obligations fiscales) ; Factures = 7 ans.

Obligation : décision automatisée (art. 12.1) → Exemple PME : si un chatbot décide automatiquement d'orienter un client vers un service plutôt qu'un autre : mention dans l'avis et bouton « Parler à un humain » qui mène à une révision par un employé.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations désignent un RPRP en interne (souvent le dirigeant ou le directeur administratif) sans formaliser la désignation par écrit, sans publier les coordonnées sur le site et sans procédure documentée pour traiter les demandes.

Résultat :

Article 3.1 non respecté dans son volet « publication »
Personne dans l'organisation ne sait quoi faire d'une demande d'accès
Le délai de 30 jours s'écoule pendant que la demande circule
Une plainte est déposée — l'enquête révèle l'absence de structure, et la conformité documentaire interne ne suffit pas

Un RPRP désigné sans visibilité publique et sans procédure n'est pas un RPRP — c'est un titre.

Deux réalités possibles

✗ Sans face publique

RPRP non publié, info@ générique
Pas de section « Vos droits »
Pas de procédure d'exercice
Durées vagues (« le temps nécessaire »)
Demandes traitées au cas par cas

✓ Avec face publique structurée

RPRP nommé + courriel dédié
Section « Vos droits » détaillée
Procédure documentée (30 jours)
Table de durées concrètes
Réponses traçables et standardisées

Exemples d'application concrète

Mandat RPRP externe — quand y recourir

L'article 3.1 permet la délégation par écrit à toute personne — incluant un consultant externe. Ce choix est pertinent pour les organisations qui : (1) n'ont pas de ressource interne avec la disponibilité ou l'expertise PRP, (2) veulent éviter de mettre le dirigeant en première ligne juridique, (3) préfèrent une structure professionnelle visible sur le site (RPRP nommé + courriel dédié + procédure documentée). La délégation reste partielle — la responsabilité ultime de l'organisation demeure.

Procédure type pour une demande d'accès

(1) Réception de la demande — accusé de réception sous 5 jours, début du délai de 30 jours. (2) Vérification de l'identité du demandeur. (3) Recherche dans les systèmes (cartographie utile ici — voir module 1). (4) Préparation de la réponse — communication des renseignements, copie, format structuré si demande de portabilité. (5) Réponse écrite et archivage.

Affichage des durées de conservation

Une bonne pratique consiste à intégrer une table dédiée dans la politique de confidentialité avec, pour chaque catégorie : durée + justification (légale, contractuelle, opérationnelle). Cela rend l'article 23 démontrable et donne au visiteur une lecture claire de ce qu'il advient de ses données.

Risques en cas de non-conformité

Sanctions juridiques

Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
Ordonnance de la CAI — obligation de désigner un RPRP, de publier les coordonnées, de répondre à une demande
Action privée — recours d'une personne dont les droits n'ont pas été honorés
Plainte à la CAI — gratuite pour le plaignant, déclenche une enquête et un dialogue formel

Coûts opérationnels

Mobilisation d'urgence pour répondre à une demande tardive (souvent plusieurs jours)
Communications réputationnelles si une plainte fait l'objet d'une décision publique
Pertes commerciales B2B : les donneurs d'ouvrage vérifient la procédure d'exercice des droits
Démission ou refus d'un employé désigné RPRP sans préparation, sans mandat formel et sans procédure

Une face publique structurée prévient ces coûts — elle ne les crée pas.

Concrètement pour une PME

Sans face publique structurée :

Chaque demande d'un visiteur sur ses droits crée un risque de plainte si le délai n'est pas respecté
Le dirigeant assume la fonction RPRP par défaut, sans avoir choisi cette responsabilité
Les durées floues exposent l'organisation à des constats simples lors d'un audit

Le coût vient de l'absence de structure publique — pas de la complexité des droits.

Lien avec la gouvernance PRP

La désignation et le mandat du RPRP sont traités en profondeur dans la Formation Gouvernance PRP, modules RPRP et mandat et Conservation, destruction, accès. Ce module-ci se concentre sur la face web concrète : où afficher, comment formuler les sections, comment formaliser une procédure d'exercice des droits, comment afficher les durées. Si la ressource interne pour le rôle de RPRP n'est pas disponible, le mandat RPRP externe offre une alternative structurée et publiquement publiable.

🛡️ Diagnostic rapide

Trois questions pour évaluer votre face publique :

Le titre et les coordonnées du RPRP sont-ils publiés sur votre site (avec un courriel dédié distinct d'info@)?
Existe-t-il une section dédiée aux droits des visiteurs avec une procédure pour les exercer?
Les durées de conservation sont-elles affichées par catégorie avec des chiffres concrets?

Si non à une seule, vous êtes probablement en non-conformité avec les articles 3.1, 29 ou 23.

Découvrir le mandat RPRP externe →

Concrètement

Vos obligations existent depuis l'entrée en vigueur de la Loi 25 — y compris si vous n'avez désigné personne formellement.
Mais sans face publique structurée, ces obligations sont opaques pour le visiteur — qui dépose alors une plainte plutôt que de chercher à exercer ses droits.
Ce qui transforme la situation théorique en exposition réelle, c'est la première demande d'accès, la première plainte, ou le premier audit B2B.

La Formation Site web et Loi 25 termine sur ce module parce qu'il scelle l'ensemble : c'est la face publique de tout ce qui a été construit dans la gouvernance interne. Sans elle, les six premiers modules existent mais ne se voient pas.

En résumé

Article 3.1 — RPRP désigné, publié; à défaut la personne ayant la plus haute autorité.
Articles 27, 28, 28.1 — accès, rectification, désindexation, portabilité (depuis sept. 2024).
Article 29 — porter à la connaissance du public les moyens d'exercer les droits.
Article 23 — durées concrètes par catégorie + destruction ou anonymisation au terme.

Pour la version pratique

Comment afficher concrètement les coordonnées du RPRP, créer une section « Vos droits » et publier une table de durées sur votre site?

Voir le guide pratique →

Confier le rôle de RPRP à un consultant externe

Si votre organisation n'a pas la capacité d'assumer le rôle en interne, le mandat RPRP externe respecte l'article 3.1 avec une structure documentée, des coordonnées publiques et un traitement des demandes dans les délais.

Découvrir le mandat RPRP externe Faire auditer mon site

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.