Module 1 · Guide pratique · Formation Gouvernance PRP
Construction du mandat RPRP — fondation de la gouvernance

Comment désigner un RPRP
et rédiger son mandat?

La désignation du RPRP est la première exigence de la Loi 25 — et la plus mal faite dans les PME. Ce guide explique comment rédiger un mandat opérationnel que le RPRP peut réellement exercer.

Planifier un plan de formation Découvrir le mandat RPRP externe →

Nommer un RPRP « parce que la loi l'exige » sans lui donner de mandat clair est une erreur courante — et très visible en cas d'enquête de la CAI. Un RPRP opérationnel a trois piliers : un mandat écrit, du temps dédié, et l'autorité pour décider. Ce guide explique comment construire chacun de ces trois piliers concrètement dans une PME québécoise.

Ce que ça signifie concrètement pour un dirigeant

Dans la majorité des PME québécoises :

  • le dirigeant est RPRP par défaut — c'est la loi qui le dit,
  • mais sans le savoir, sans mandat, sans structure,
  • jusqu'au jour où un incident, une plainte ou une demande d'accès arrive.

Le rôle existe déjà. C'est la structure qui est absente.

Qu'est-ce qu'un mandat RPRP opérationnel?

Un mandat RPRP opérationnel est un document écrit qui précise les responsabilités, le temps, l'autorité et l'accès à l'information dont dispose la personne désignée pour exercer le rôle de Responsable de la Protection des Renseignements Personnels. Sans ces quatre éléments, la désignation est considérée comme formelle — pas opérationnelle.

Les 4 piliers d'un mandat RPRP concret

Un mandat crédible aux yeux de la CAI repose sur quatre éléments documentés. Prenez un instant et évaluez chacun pour votre RPRP actuel :

🎯 Diagnostic — votre mandat RPRP est-il opérationnel?

  • Responsabilités — sont-elles clairement définies par écrit (politiques, registres, incidents, formation, sous-traitants)?
  • Temps dédié — un volume d'heures ou une part de la fonction est-il explicitement alloué?
  • Autorité décisionnelle — quelles décisions le RPRP peut-il prendre seul, lesquelles remontent à la direction?
  • Accès à l'information — le RPRP a-t-il accès aux systèmes, dossiers, contrats qui touchent des renseignements personnels?

Si un seul élément manque, votre RPRP ne peut pas exercer son rôle correctement — sa désignation est un titre, pas une fonction.

Structure type d'une lettre de mandat RPRP

Voici les sections minimales à inclure dans un mandat écrit :

  • Identification — nom de l'organisation, nom du RPRP, date de désignation, durée du mandat.
  • Objet — référence à la Loi 25 et obligation légale de désignation.
  • Responsabilités confiées — liste précise des activités de gouvernance PRP couvertes.
  • Temps dédié — engagement horaire ou proportion de la fonction.
  • Autorité et reporting — à qui le RPRP rapporte, quelles décisions il peut prendre.
  • Accès — à quelles informations, systèmes, dossiers.
  • Moyens — formation, budget, soutien externe si requis.
  • Signatures — direction et RPRP désigné.

Publier les coordonnées du RPRP

La Loi 25 exige que les coordonnées du RPRP soient accessibles aux personnes concernées. En pratique, elles doivent être :

  • Publiées dans la politique de confidentialité — section dédiée avec nom ou fonction + courriel de contact.
  • Accessibles sur le site web — page contact ou politique, pas enfouies dans un PDF.
  • Communiquées en interne — tous les employés savent qui est le RPRP et comment le joindre.

Une adresse courriel dédiée (ex. rprp@votre-entreprise.ca) est fortement recommandée pour séparer les demandes PRP du reste.

RPRP interne ou mandat externe?

Le rôle peut être assumé à l'interne ou confié à un consultant externe par un mandat contractuel. La responsabilité ultime reste à l'organisation — le consultant exerce la fonction.

RPRP interne sans cadre

  • rôle ajouté à une fonction existante
  • peu de temps réellement dédié
  • compétences acquises en parallèle
  • décisions retardées ou improvisées

RPRP externe par mandat

  • mandat clair défini par contrat
  • temps dédié prévu au mandat
  • expertise disponible immédiatement
  • continuité et suivi structurés

Un mandat externe est encadré par un contrat spécifique : périmètre d'intervention, modalités d'accès, gestion des incidents, continuité dans le temps. Solution naturelle pour les PME qui n'ont pas les ressources internes pour structurer la fonction.

Un RPRP sans mandat clair est un titre — pas une fonction.

Erreurs fréquentes dans la construction du mandat

  • Mandat verbal ou implicite — impossible de démontrer la désignation en cas d'enquête. Toujours mettre par écrit.
  • Aucun temps dédié — le rôle s'ajoute à la fonction existante sans ajustement. Le RPRP ne peut pas agir.
  • Autorité ambiguë — le RPRP découvre en situation d'incident qu'il ne peut rien décider seul.
  • Coordonnées non publiées — un client qui veut exercer un droit ne sait pas qui contacter.
  • Pas de remplaçant désigné — absence ou départ du RPRP laisse un vide.

Comment maintenir le mandat dans le temps

  • Revue annuelle — vérifier que le périmètre et les moyens sont toujours adaptés.
  • Mise à jour à chaque changement — nouvelle personne, changement d'organisation, nouveaux services.
  • Formation continue du RPRP — la Loi 25 évolue, les bonnes pratiques aussi.
  • Traçabilité — conserver les versions successives du mandat pour démontrer l'historique de diligence.

Concrètement pour une PME

Sans mandat RPRP clair :

  • les décisions sensibles sont retardées ou improvisées ;
  • les incidents sont mal gérés faute de protocole documenté ;
  • la responsabilité est mal assumée — elle tombe sur le dirigeant en situation d'urgence.

Le coût vient du flou — pas de la loi.

En résumé

Définition : Un mandat RPRP opérationnel est un document écrit précisant responsabilités, temps, autorité et accès à l'information.

3 faits clés

  • Sans mandat écrit, la désignation n'est pas démontrable
  • Sans temps dédié ni autorité, le RPRP ne peut pas exercer son rôle
  • Les coordonnées doivent être publiées et accessibles

👉 Action : Si votre RPRP n'a pas de mandat écrit avec les 4 piliers (responsabilités, temps, autorité, accès), c'est la première chose à construire — avant les registres ou la politique.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les obligations légales de désignation du RPRP, ce que la CAI examine en cas d'enquête, et les risques si le mandat est mal encadré.

Désignation du RPRP selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Votre RPRP actuel…

Si vous avez répondu non à l'une de ces questions,
votre désignation est probablement formelle mais pas opérationnelle — et la CAI le verra immédiatement en cas d'enquête.

Pas les ressources internes pour structurer un RPRP opérationnel?
Le mandat RPRP externe permet d'avoir un responsable clair, expertise et continuité — sans embauche.

Découvrir le mandat RPRP externe →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Planifier un plan de formation Mandat RPRP externe

← Retour à la formation complète (6 modules)