Toute personne qui exploite une entreprise doit établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements. Celles-ci doivent notamment prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci. Elles doivent également être proportionnées à la nature et à l’importance des activités de l’entreprise et être approuvées par le responsable de la protection des renseignements personnels. Des informations détaillées au sujet de ces politiques et de ces pratiques sont, en termes simples et clairs, publiées sur le site Internet.

Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Aux fins de cette évaluation, la personne doit consulter, dès le début du projet, son responsable de la protection des renseignements personnels. La personne doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé. La réalisation d’une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

Le responsable de la protection des renseignements personnels peut, à toute étape d’un projet visé à l’article 3.3, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que:

  1. La nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels ; 
  2. Des mesures de protection des renseignements personnels dans tout document relatif au projet ; 
  3. Une description des responsabilités des participants au projet en matière de protection des renseignements personnels ; 
  4. La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

Consultez ICI le document officiel complet du projet de Loi 25 (Provenant du site web de la Commission d’accès à l’information du Québec)