La semaine dernière, j'ai reçu un appel d'un propriétaire de restaurant à Montréal. Panique à l'autre bout du fil : "Mon comptable me dit que je dois désigner un RPRP, mais il ne sait pas c'est quoi. Et moi non plus."
Cette conversation, je l'ai eue des centaines de fois. Le RPRP — Responsable de la protection des renseignements personnels — est l'une des obligations les plus mal comprises de la Loi 25. Pourtant, c'est aussi la plus simple à mettre en place.
Dans ce guide, je vous explique exactement ce que c'est, qui peut l'être dans votre entreprise, et comment le désigner officiellement — en moins de 15 minutes.
C'est quoi un RPRP — vraiment ?
RPRP signifie Responsable de la protection des renseignements personnels. C'est la personne désignée officiellement par votre entreprise pour répondre aux questions de la Commission d'accès à l'information (CAI) et des clients concernant les données personnelles.
Contrairement à ce que beaucoup pensent, le RPRP n'a pas besoin d'être un expert juridique. Ce n'est pas un avocat. Ce n'est pas un consultant externe à 500 $/heure. C'est simplement quelqu'un dans votre organisation qui aura le rôle de point de contact.
Ce que fait concrètement un RPRP :
- Répond aux demandes d'accès de clients (droit de savoir quelles données vous avez sur eux)
- Traite les demandes de rectification (correction d'informations erronées)
- Répond aux questions de la CAI en cas de demande d'information
- Est le contact affiché publiquement sur votre site web
Important : le RPRP ne devient pas personnellement responsable légalement. L'entreprise reste responsable. Le RPRP est juste le point de contact désigné.
Est-ce vraiment obligatoire ?
Oui, sans exception. L'article 3.1 de la Loi 25 est clair : toute organisation qui collecte des renseignements personnels au Québec doit désigner une personne responsable de la protection.
Cela s'applique à :
- Les entreprises avec 1 000 employés
- Les entreprises avec 3 employés
- Les travailleurs autonomes qui collectent des emails clients
- Les associations sans but lucratif
- Les organismes gouvernementaux
Si vous avez une liste de clients, des employés, ou si vous collectez le moindre renseignement personnel (même juste des noms et courriels), vous devez avoir un RPRP.
⚠️ Attention : L'absence de RPRP désigné est une infraction en soi. La CAI peut vous demander de nommer une personne, et vous avez l'obligation de le faire.
Qui peut être RPRP dans votre entreprise ?
La bonne nouvelle : presque n'importe qui dans votre organisation. La Loi 25 ne précise aucune qualification requise.
Les options courantes :
Le propriétaire / PDG
Le choix le plus fréquent pour les petites entreprises. Vous connaissez déjà vos pratiques de données.
Le responsable TI / Administrateur système
Logique s'il gère déjà la sécurité informatique et les accès aux données.
Le responsable RH
Approprié car il gère déjà les données des employés de manière confidentielle.
Un employé de confiance
N'importe quel employé peut être désigné, tant qu'il a accès aux informations nécessaires.
Ce qu'il faut juste : une personne qui sera capable de répondre aux demandes dans un délai raisonnable (la Loi 25 prévoit 30 jours pour les demandes d'accès).
Combien de temps ça prend vraiment ?
La désignation du RPRP elle-même prend moins de 15 minutes. Vraiment. C'est juste une décision interne et un document à publier.
Le temps de mise en place complet comprend :
- 5 min — Choisir la personne (c'est un choix, pas une recherche)
- 5 min — Rédiger la désignation officielle (2-3 phrases)
- 5 min — Publier sur votre site web et politique de confidentialité
Ce qui prend plus de temps, c'est de mettre en place les processus pour que le RPRP puisse répondre efficacement aux demandes. Mais ça, c'est une amélioration continue — pas un blocage pour désigner la personne.
Comment désigner votre RPRP — 3 étapes
Étape 1 — Choisissez la personne
Posez-vous ces questions simples :
- Qui connaît le mieux nos pratiques de collecte de données ?
- Qui pourrait répondre rapidement à une demande de client ?
- Qui est déjà en contact avec les clients ou les systèmes ?
Pour une PME de 1-10 personnes, c'est souvent le propriétaire ou la personne qui gère le CRM/la liste de clients. Pour des entreprises plus grandes, ça peut être le responsable TI, le responsable RH, ou un administrateur.
Étape 2 — Formalisez par écrit
La désignation doit être documentée. Elle peut être très simple. Voici un modèle :
Désignation du Responsable de la protection des renseignements personnels
---
[Nom de l'entreprise] désigne [Nom de la personne] comme Responsable de la protection des renseignements personnels (RPRP), conformément à l'article 3.1 de la Loi 25.
Cette désignation prend effet le [date].
Coordonnées : [courriel] | [téléphone optionnel]
Signé : [signature du dirigeant]
Conservez ce document dans vos dossiers juridiques. Vous n'avez pas besoin de l'envoyer à la CAI — c'est une désignation interne.
Étape 3 — Publiez les coordonnées
L'obligation légale : les coordonnées du RPRP doivent être facilement accessibles. La meilleure pratique est de les publier dans :
- Votre politique de confidentialité (page dédiée sur votre site)
- Le pied de page de votre site web
- Les formulaires de contact où vous collectez des données
Ce qu'il faut afficher minimum :
- Nom du RPRP (ou titre si vous préférez ne pas mettre le nom personnel)
- Courriel de contact
- Téléphone (optionnel mais recommandé)
Si vous utilisez Nexconform, cette étape est automatisée : votre RPRP et ses coordonnées sont intégrés dans les documents générés.
Les 3 erreurs que tout le monde fait
❌ Erreur 1 : Attendre d'avoir tout compris avant de désigner
Vous n'avez pas besoin d'être expert en protection des données pour être RPRP. Désignez quelqu'un MAINTENANT, puis formez-vous progressivement.
❌ Erreur 2 : Désigner une personne externe par défaut
Avocats et consultants peuvent aider, mais le RPRP doit être quelqu'un DANS l'organisation pour pouvoir répondre rapidement aux demandes.
❌ Erreur 3 : Oublier de mettre à jour quand le RPRP change
Si votre RPRP quitte l'entreprise, vous DEVEZ en nommer un autre rapidement. Et mettez à jour votre site web immédiatement.
Ce que vous pouvez faire dans les 15 prochaines minutes
Vous n'avez pas besoin de tout faire aujourd'hui. Voici l'action minimum qui vous met en conformité :
- Ouvrez un document et notez : "[Votre entreprise] désigne [votre nom ou celui de l'employé choisi] comme RPRP. Courriel : [votre email]."
- Ajoutez cette information à votre politique de confidentialité (même si c'est une page simple sur votre site).
- Enregistrez le document quelque part de sécuritaire.
C'est tout. Vous êtes maintenant conforme à l'obligation de désignation du RPRP.
Pour aller plus loin et automatiser vos processus de conformité (demandes d'accès, registre RP, politiques de confidentialité), créez un compte gratuit sur Nexconform.
Questions fréquentes sur le RPRP
Le RPRP doit-il avoir une formation spécifique ?
Non. La Loi 25 ne précise aucune qualification requise. N'importe quel membre de l'organisation peut être RPRP. Évidemment, une compréhension de base de la protection des données aide, mais ce n'est pas un prérequis légal.
Puis-je être mon propre RPRP si je suis travailleur autonome ?
Oui, absolument. C'est la situation la plus courante au Québec pour les travailleurs autonomes. Si vous collectez des données de clients (même juste des courriels), vous êtes responsable et vous pouvez vous désigner vous-même.
Que se passe-t-il si mon RPRP quitte l'entreprise ?
Désignez un remplaçant le plus vite possible et mettez à jour les coordonnées sur votre site web. L'absence de RPRP est une infraction, même temporaire. Prévoyez un remplaçant dans votre plan de continuité.
Doit-on payer le RPRP en supplément ?
Non. Si c'est vous ou un employé existant qui prend ce rôle, aucune compensation supplémentaire n'est requise par la loi. C'est une responsabilité ajoutée à un poste existant, pas nécessairement un nouveau poste à temps plein.
Est-ce que le RPRP est obligatoire pour les PME ?
Oui, sans exception. L'article 3.1 de la Loi 25 oblige toute organisation qui collecte des renseignements personnels au Québec à désigner un RPRP, quelle que soit sa taille. Même un entrepreneur solo avec 10 clients doit en avoir un.
Clause de non-responsabilité : Ce guide est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Nexconform ne garantit pas une conformité à 100 %. Consultez un avocat spécialisé en protection des données pour des conseils juridiques spécifiques à votre situation. La conformité à la Loi 25 est une obligation légale de l'entreprise, pas de Nexconform.