3.2. Toute personne qui exploite une entreprise doit établir et mettre en oeuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements. Celles-ci doivent notamment prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci. Elles doivent également être proportionnées à la nature et à l’importance des activités de l’entreprise et être approuvées par le responsable de la protection des renseignements personnels.
Des informations détaillées au sujet de ces politiques et de ces pratiques, notamment en ce qui concerne le contenu exigé au premier alinéa, sont, en termes simples et clairs, publiées sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié.
2021, c. 252021, c. 25, a. 1031.