Module 2 · Guide pratique · Formation Gouvernance PRP
Construction de la politique de confidentialité — document public n°1

Comment rédiger une politique de
confidentialité conforme à la Loi 25?

La politique de confidentialité est le seul document de gouvernance visible publiquement par vos clients et par la CAI. Ce guide explique comment construire les sections obligatoires et éviter les pièges des politiques copiées.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

La politique de confidentialité n'est pas un texte juridique à cacher en bas de page. C'est le contrat que vous proposez à vos clients sur l'usage de leurs renseignements personnels — et le premier document que la CAI vérifie en cas de plainte. Pourtant, la majorité des PME québécoises ont une politique copiée, incomplète, ou jamais mise à jour. Ce guide explique comment construire une politique qui tient à l'examen.

Ce que ça signifie concrètement pour un dirigeant

Votre politique de confidentialité actuelle, si elle est copiée d'un modèle :

  • ne reflète pas vos vraies pratiques — donc elle est mensongère par défaut ;
  • omet généralement des obligations précises (RPRP, durées, droits) — donc elle est incomplète légalement ;
  • sera démontée en 30 secondes par un visiteur critique, une CAI ou un auditeur client.

Le risque n'est pas dans ce qu'elle dit — il est dans ce qu'elle prétend sans que ce soit vrai.

Qu'est-ce qu'une politique de confidentialité conforme?

Une politique de confidentialité conforme est un document public qui expose, dans un langage clair, comment votre organisation collecte, utilise, communique et conserve les renseignements personnels — et comment les personnes concernées peuvent exercer leurs droits.

Les 10 sections obligatoires d'une politique Loi 25

La Loi 25 impose un contenu minimal qui doit apparaître dans toute politique :

  • Identité du responsable (RPRP) — nom ou fonction et coordonnées.
  • Types de renseignements collectés par catégorie de personne (clients, employés, prospects).
  • Finalités précises de chaque collecte — pas « améliorer les services », mais « facturer un client », « confirmer une livraison », etc.
  • Base de consentement — comment il est obtenu et comment il peut être retiré.
  • Communications à des tiers — catégories de destinataires (sous-traitants, partenaires commerciaux, autorités).
  • Transferts hors Québec — mention si des données circulent hors de la province.
  • Durées de conservation par catégorie de renseignements.
  • Mesures de sécurité en place, à un niveau général compréhensible.
  • Droits des personnes concernées (accès, rectification, retrait de consentement, etc.) et moyens de les exercer.
  • Mécanisme de plainte — recours à la CAI si le RPRP ne répond pas.

🎯 Votre politique actuelle est-elle complète?

  • RPRP — le nom et les coordonnées sont-ils publiés?
  • Finalités précises — sont-elles détaillées par catégorie, ou génériques?
  • Droits expliqués — les personnes savent-elles comment exercer leurs droits?
  • Date de révision — la politique a-t-elle été mise à jour dans les 12 derniers mois?

Si une seule section manque ou est trop vague, votre politique est probablement non conforme — peu importe sa longueur.

Politique copiée vs politique construite

❌ Politique copiée

  • Modèle générique d'internet
  • Finalités vagues et englobantes
  • RPRP non identifié
  • Durées de conservation absentes
  • Droits non expliqués
  • Jamais révisée

✅ Politique construite

  • Reflète vos vraies pratiques
  • Finalités précises par catégorie
  • RPRP + courriel dédié publiés
  • Table de durées documentée
  • Procédure d'exercice des droits claire
  • Revue annuelle datée

Règle de langage : compréhensible par un client moyen

La Loi 25 impose que la politique soit rédigée en termes « simples et clairs ». En pratique, cela veut dire :

  • Phrases courtes — 15-20 mots max par phrase.
  • Pas de jargon juridique non expliqué (« Aux fins de l'article 8.2… »).
  • Structure scan — titres, sous-titres, listes courtes.
  • Exemples concrets pour les concepts abstraits.

Un test simple : montrez votre politique à un client non-juriste. S'il ne comprend pas en quelques minutes ce qu'il accepte, elle n'est pas conforme à l'exigence de clarté.

Comment publier la politique

  • Accessible depuis chaque page du site — lien en pied de page permanent.
  • Page dédiée avec URL stable (/politique-de-confidentialite/).
  • Lien explicite au moment de chaque collecte (formulaire, inscription).
  • Format accessible — HTML, pas uniquement PDF.

Une politique accessible uniquement via un PDF téléchargeable ou enfouie dans un menu à trois niveaux ne respecte pas l'exigence d'accessibilité.

Comment maintenir la politique à jour

  • Revue annuelle datée — mention explicite de la date de dernière mise à jour.
  • Mise à jour à chaque changement — nouveau service, nouveau sous-traitant, nouveaux outils, nouveaux transferts.
  • Historique des versions — conserver les versions antérieures pour démontrer l'évolution.
  • Notification aux personnes concernées en cas de changement substantiel (courriel, bannière).

Concrètement pour une PME

Sans politique construite et maintenue :

  • vos clients ne peuvent pas exercer leurs droits correctement ;
  • vos pratiques sont invisibles ou non démontrables en cas d'enquête ;
  • chaque incident devient plus difficile à gérer et à justifier.

Une politique copiée est une politique pas appliquée — la CAI le voit en 30 secondes.

En résumé

Définition : La politique de confidentialité est le document public qui expose vos pratiques PRP et permet aux personnes d'exercer leurs droits.

3 faits clés

  • 10 sections minimales exigées par la Loi 25
  • Langage clair obligatoire — compréhensible par un client moyen
  • Accessible, maintenue, datée

👉 Action : Relisez votre politique actuelle avec la liste des 10 sections — chaque section manquante ou vague est un écart à corriger.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales du contenu, ce que la CAI examine et les risques en cas de politique incomplète.

Politique de confidentialité selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Votre politique de confidentialité actuelle…

Si vous avez répondu non à une seule question,
votre politique est probablement incomplète — et la CAI le constatera dès l'ouverture du fichier.

Pas certain que votre politique passe l'examen?
L'Analyse gouvernance PRP examine la politique parmi les 9 dimensions évaluées.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)