3. Rôle et responsabilité du dirigeant d'agence
La modernisation de la Loi sur le secteur privé prévoit que toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient1.
La personne ayant la plus haute autorité au sein de l’entreprise (le dirigeant d’agence ou le courtier exerçant à son compte, selon le cas) sera d’office responsable de la protection des renseignements personnels au sein de son entreprise. Elle pourra toutefois déléguer cette fonction à un tiers. Cette personne doit posséder les compétences requises et doit bénéficier des pouvoirs décisionnels en lien avec ses fonctions.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Internet de l’agence (ou du courtier agissant à son compte) ou, s’il n’y a pas de site, rendus accessibles par tout autre moyen approprié.
C’est l’agence qui « détient » juridiquement les renseignements personnels. Ainsi, le courtier qui agit pour le compte de l’agence doit lui transmettre sans délai tous les renseignements qu’il recueille dans le cadre d’un mandat. Bien qu’il puisse garder une copie des renseignements pendant l’exécution du mandat, le courtier doit immédiatement détruire sa copie lorsque les renseignements ne sont plus nécessaires à l’exécution de ses fonctions (par exemple, après la réalisation de la transaction immobilière ou le refus de la promesse d’achat, etc.).
Avant leur destruction, le courtier doit s’assurer que tous les documents et les renseignements (y compris les courriels et les textos) ont été transmis à l’agence ou déposés dans le dossier GED de l’agence.
L’agence doit fournir à ses courtiers et à ses employés des directives et des politiques claires et conformes aux lois en matière de protection des renseignements personnels. Depuis septembre 2022, elle doit tenir un registre des incidents de confidentialité et déclarer à la Commission d’accès à l’information tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice.
Nouvelles obligations à compter du 22 septembre 2023 :
- Implanter des politiques internes encadrant la conservation et la destruction des renseignements personnels et afficher des informations détaillées concernant ces politiques sur son site Internet, le cas échéant;
- Définir les rôles et les responsabilités des membres du personnel tout au long du cycle de vie de ces renseignements (de la cueillette à la destruction);
- Élaborer un processus de traitement des plaintes relatives à la protection des renseignements personnels.
Pour en savoir plus :
- Concernant la dénonciation des incidents et le contenu du registre des incidents, consultez le Règlement sur les incidents de confidentialité (PDF) en vigueur depuis le 29 décembre 2022.
- Quelles sont les règles qui entourent la gestion électronique des documents (GED)?
- La gestion électronique des documents (GED) des agences et des courtiers agissant à leur compte.
1 Art. 3.1 de la Loi sur le secteur privé, en vigueur le 22 septembre 2023.