Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’organisation ou d’une autre manière si elle n’en a pas.

En cas d’incident de confidentialité impliquant des renseignements personnels :

• Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice ne soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent.
• Aviser la Commission d’accès à l’information du Québec et la personne concernée si l’incident présente un risque de préjudice sérieux.
• Tenir un registre de tous les incidents dont une copie pourra être transmise à la Commission d’accès à l’information du Québec à sa demande.

Respecter le nouvel encadrement applicable de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’études, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale.

Évaluer les facteurs relatifs à la vie privée avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.

Divulguer préalablement à la Commission d’accès à l’information du Québec la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.

Ce contenu est tiré de Aide-mémoire : résumé des nouvelles obligations des entreprises  publié par la Commission d’accès à l’information du Québec.

Note : Ce résumé ne tient pas compte des spécificités propres à chaque organisation.