Loi 25

Nommer une personne responsable de la protection des renseignements      personnels (RPRP). Par défaut, il s'agit du rôle de la plus haute autorité de l’organisation.

Publier les coordonnées du RPRP sur le site web de l'organisation, par exemple sur la page contact. 

En cas d’incident de confidentialité impliquant un renseignement      personnel (accès, utilisation ou communication non autorisé·e par la loi d'un RP ou perte d'un RP)  : Tenir un registre d'incidents de confidentialité et en cas de risque de préjudice sérieux (atteinte à la réputation, au dossier de crédit, perte financière ou d'emploi, vol d'identité...), communiquer les      incidents de confidentialité à la

Commission d'accès à l'information du Québec.

Faire l’inventaire des renseignements personnels détenus par l'organisation et s'assurer qu'il demeure à jour.

Détruire les renseignements personnels lorsque la finalité de leur      collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.

Rédiger une politique de confidentialité afin de créer votre propre politique      adaptée à votre réalité.​​​​​​ 

Faire réviser la politique par un·e avocat·e.

Rendre publique la politique en l'affichant sur le site web de      l'organisation. 

Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi      l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec.

Informer l’équipe responsable de l’entretien, de la mise à jour ou du      développement de ses systèmes informatiques, des nouveaux besoins d’affaires qui sont mis en place en lien avec le droit a la portabilité des renseignements  personnels, 

à      savoir :
    -Que les systèmes informatiques permettent de communiquer, sur      demande d’une personne concernée, un renseignement personnel informatisé recueilli auprès d’elle, et ce, dans un format technologique structuré et couramment utilisé;
-Que cette communication puisse également se faire à une personne ou      à un organisme autorisé par la Loi à recueillir le renseignement, à la demande de la personne concernée.

Préciser les rôles et responsabilités des membres du personnel impliqué·e·s dans la protection des renseignements personnels tout au long de leur cycle de      vie (qui a accès à quoi ?).

S'assurer de former son personnel pour qu’il développe les bons réflexes en matière de protection des renseignements personnels.