Formation Site web · Module 6 · Exigences légales
Articles 13, 28.1, 5 + décision CAI biométrie 2024

Exposition publique d'informations sensibles — Exigences Loi 25 Québec

L'article 13 exige un consentement exprès pour publier un renseignement sensible. L'article 28.1 ouvre le droit à la désindexation. La décision CAI biométrie 2024 illustre la rigueur du test de nécessité. Voici les obligations exactes appliquées au site web.

Faire auditer mon site web Planifier la formation pour mon équipe →

Contexte légal

La publication d'informations sur un site web est, juridiquement, une communication au public de renseignements personnels au sens de la Loi 25. Plusieurs articles s'appliquent : l'article 13 sur la communication à un tiers et le consentement exprès pour le sensible, l'article 28.1 sur le droit à la cessation de diffusion et à la désindexation, l'article 5 sur la minimisation, et le principe de nécessité que la CAI applique avec rigueur — confirmé par la décision biométrie 2024. L'enjeu n'est pas théorique : c'est le module qui révèle le plus d'écarts en audit de visibilité publique.

Applicable à tout site web. Les obligations s'appliquent à toute publication d'un renseignement personnel sur un site web — peu importe la plateforme (WordPress, Wix, Shopify, Squarespace, Webflow, sur mesure). C'est l'acte de publication qui crée l'obligation.

Ce que vous devez retenir — version dirigeant

  • Article 13 — pas de communication à un tiers sans consentement; consentement exprès pour le sensible.
  • Article 28.1 — droit de la personne à la cessation de diffusion et à la désindexation.
  • Article 5 — minimisation : ne publier que ce qui est nécessaire à la finalité affichée.
  • Décision CAI biométrie 2024 — test strict de nécessité et de proportionnalité.

Ce que ça implique pour votre organisation

  • Si vous publiez des photos sans consentement écrit archivé, vous communiquez à un tiers (le public) sans la base de l'article 13.
  • Si vos PDF anciens sont indexés par Google et contiennent des renseignements personnels, vous les diffusez activement.
  • Si une demande de désindexation arrive, vous devez la traiter selon les conditions de l'article 28.1 — refuser sans motif valide vous expose à une plainte.

Ce que ça signifie concrètement pour vous

  • Vous êtes responsable de chaque renseignement publié, même par un employé qui n'a pas demandé de validation.
  • Le test de nécessité de la CAI est strict — la décision biométrie 2024 a ordonné la cessation d'une technologie active. Le seuil est à prendre au sérieux.
  • Une fuite involontaire (PDF, EXIF) est plus dommageable qu'un cookie : elle est nominative et durable dans Google.

L'exposition n'est pas une option par défaut — c'est une décision qui doit être documentée, encadrée, révocable.

Définition légale du renseignement sensible

Selon la Commission d'accès à l'information : « Un renseignement personnel est considéré comme sensible lorsqu'il suscite, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, un haut degré d'attente raisonnable en matière de vie privée. »

En pratique, sont considérés comme sensibles : données médicales, biométriques, données concernant la sexualité, l'origine ethnique, les convictions religieuses ou politiques, les données financières détaillées, les données concernant les mineurs. Mais le contexte peut rendre sensible un renseignement qui ne le serait pas autrement (ex. publier le nom et l'adresse d'un employé qui a quitté l'organisation pour un motif délicat).

Cadre juridique applicable

Article 13 — Communication à un tiers et consentement exprès

« Nul ne peut communiquer à un tiers les renseignements personnels qu'il détient sur autrui, à moins que la personne concernée n'y consente ou que la présente loi ne le prévoie. Le consentement doit être manifesté de façon expresse dès qu'il s'agit d'un renseignement personnel sensible. »

Implication : la publication sur un site web est une communication au public — donc à des tiers. Pour un renseignement sensible (incluant souvent les photos, selon le contexte), le consentement doit être exprès — pas implicite, pas présumé.

Article 28.1 — Cessation de diffusion et désindexation

« La personne concernée par un renseignement personnel peut exiger d'une personne qui exploite une entreprise qu'elle cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d'accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire. »

L'article ouvre aussi le droit à la cessation lorsque trois conditions sont réunies : préjudice grave à la réputation ou à la vie privée, préjudice manifestement supérieur à l'intérêt public, et cessation/désindexation n'excédant pas le nécessaire.

Article 5 — Minimisation appliquée à la publication

Ne publier que les renseignements nécessaires à la finalité affichée. Pour une page Équipe, la finalité est la présentation professionnelle — un courriel professionnel, une fonction, un nom suffisent. Adresses personnelles, téléphones privés, dates de naissance, statut familial : non nécessaires donc non publiables.

Décision CAI biométrie 2024 — Le test de nécessité

Fin 2024, la section de surveillance de la CAI a rendu sa première décision en secteur privé depuis l'entrée en vigueur de la Loi 25, visant une imprimerie utilisant la reconnaissance faciale pour le contrôle d'accès des employés. La CAI a ordonné la cessation de cette technologie au motif que la collecte de renseignements biométriques n'était pas suffisamment nécessaire ni proportionnée dans les circonstances.

Cette décision est utile pour la formation : elle illustre la rigueur du test de nécessité que la CAI applique. Transposable à toute publication de photos identifiantes — la nécessité de publier doit être démontrable, pas présumée.

Obligations concrètes pour les organisations

  • Consentement écrit et archivé pour chaque photo identifiante publiée (employés, clients en témoignage, partenaires)
  • Limiter les listings aux renseignements nécessaires à la finalité affichée (nom, fonction, courriel professionnel, photo professionnelle au minimum)
  • Stripping EXIF systématique des images uploadées — vérifier le comportement par défaut du CMS et des plugins
  • X-Robots-Tag: noindex dans les en-têtes HTTP des PDF qui ne doivent pas être indexés (ne pas utiliser robots.txt seul, qui peut empêcher Google de voir l'instruction)
  • Authentification pour les fichiers internes (zone client, intranet) plutôt que dépôt brut accessible
  • Procédure documentée de désindexation Google Search Console pour les contenus déjà visibles
  • Procédure de traitement des demandes de l'article 28.1 dans les délais (30 jours pour répondre)
  • Revue périodique de l'exposition publique — au moins annuellement, et lors de chaque départ d'employé

Exemples concrets pour une PME

Obligation : consentement exprès pour photos (art. 13) → Exemple PME : avant de publier une photo d'équipe, formulaire de consentement signé par chaque employé : « J'autorise [organisation] à utiliser cette photo sur son site web et ses réseaux sociaux pour [finalités précises]. Je peux retirer ce consentement à tout moment en écrivant à rprp@... ».

Obligation : minimisation (art. 5) → Exemple PME : sur la page Équipe, retrait des courriels personnels au profit de courriels professionnels uniformes (prenom@entreprise.com); retrait des biographies mentionnant la situation familiale ou les loisirs personnels.

Obligation : contrôle de l'indexation → Exemple PME : ajout de X-Robots-Tag: noindex dans la configuration du serveur pour `/wp-content/uploads/factures/` et `/wp-content/uploads/internes/`. Les PDF de factures et documents RH ne sont plus indexés par Google.

Obligation : stripping EXIF → Exemple PME : activation d'un plugin (Imsanity, EWWW Image Optimizer ou ImageMagick côté serveur) qui retire automatiquement les métadonnées GPS, modèle, date de prise de vue lors du téléversement des images.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations bloquent l'accès aux fichiers privés via robots.txt seulement, en pensant que cela les rend invisibles à Google.

Résultat :

  • Google peut indexer le PDF s'il y arrive par un autre chemin (lien externe, sitemap)
  • Bloquer le crawl via robots.txt empêche Google de voir l'instruction de désindexation
  • Les PDF restent dans l'index Google avec leur titre et un cache partiel — visibles dans les résultats
  • La désindexation correcte se fait par X-Robots-Tag noindex dans les en-têtes HTTP, pas par robots.txt

Une protection qui empêche Google de voir l'instruction de retrait est une protection qui ne fonctionne pas.

Deux réalités possibles

✗ Site sans revue d'exposition

  • Photos publiées sans consentement archivé
  • Listings avec courriels personnels
  • PDF anciens indexés et oubliés
  • EXIF GPS non strippés
  • Pas de procédure pour l'art. 28.1

✓ Site géré activement

  • Consentements écrits archivés
  • Minimisation appliquée aux listings
  • X-Robots-Tag sur PDF internes
  • Stripping EXIF automatisé
  • Procédure de désindexation documentée

Exemples d'application concrète

Procédure type pour une demande de désindexation

Quand une personne exerce son droit de l'article 28.1, l'organisation doit : (1) accuser réception et entamer le délai de 30 jours, (2) vérifier les conditions (loi/ordonnance, ou trois conditions cumulatives), (3) si applicable, retirer le contenu du site, demander la désindexation Google via Search Console, vérifier que le contenu n'est plus dans le cache, (4) confirmer par écrit à la personne.

Revue annuelle de l'exposition publique

Une bonne pratique consiste à intégrer une revue annuelle de l'exposition publique dans le programme PRP : recherche `site:domaine.com filetype:pdf`, vérification des pages Équipe et Conseil, scan EXIF d'un échantillon d'images, vérification des liens externes pointant vers d'anciens contenus. Documentée, datée, signée par le RPRP.

Photos d'événements et consentement

Lors d'un événement (formation, conférence, lancement), trois pratiques recommandées : (1) afficher un avis à l'entrée mentionnant les prises de vue prévues et les finalités, (2) prévoir une zone « sans photo » pour les personnes qui refusent, (3) demander un consentement écrit aux personnes au premier plan des photos qui seront publiées sur le site web.

Risques en cas de non-conformité

Sanctions juridiques

  • Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
  • Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
  • Ordonnance de cessation de diffusion (art. 28.1) — la CAI peut imposer le retrait et la désindexation
  • Action privée — recours d'une personne ayant subi un préjudice du fait d'une publication non consentie
  • Référence : décision biométrie 2024 — la CAI a démontré sa volonté de cesser activement les pratiques jugées non nécessaires

Coûts opérationnels

  • Mise en conformité réactive sous pression d'une demande de désindexation
  • Réponses individuelles à chaque ancien employé qui demande le retrait
  • Procédure d'audit complet de l'exposition après une plainte (plusieurs jours de travail)
  • Communications réputationnelles si une fuite est documentée publiquement
  • Possible action en justice par une personne identifiable photographiée sans consentement

Une revue annuelle structurée prévient ces coûts — elle ne les crée pas.

Concrètement pour une PME

Sans revue d'exposition publique :

  • Chaque ancien employé peut déclencher une demande de l'article 28.1 que vous devez gérer dans les 30 jours
  • Chaque PDF indexé reste accessible par Google même après suppression du fichier
  • Chaque image non strippée transmet des informations involontaires à long terme

Le coût vient de l'absence de revue — pas du fait de publier des contenus.

Lien avec la gouvernance PRP

Aucun module de la Formation Gouvernance PRP ne couvre l'exposition publique sur le site web — c'est un sujet exclusif à ce module. Le module Conservation, destruction, accès traite la suppression interne, mais pas la désindexation publique. Ce module-ci comble ce vide en ajoutant la dimension web à la gouvernance interne.

🛡️ Diagnostic rapide

Trois questions pour évaluer votre conformité :

  • Avez-vous un consentement écrit archivé pour chaque photo identifiante de personnes (employés, clients, partenaires) sur votre site?
  • Une recherche `site:votresite.com filetype:pdf` retourne-t-elle uniquement des documents que vous voulez publics?
  • Vos images publiées sont-elles strippées des métadonnées EXIF (GPS, modèle, date)?

Si non à une seule, votre site expose probablement des renseignements personnels en violation des articles 13 ou 5.

Faire auditer mon site web →

Concrètement

  • Vos obligations existent dès qu'un seul renseignement personnel est publié sur votre site, qu'il soit visible directement ou indexé par Google.
  • Mais sans revue d'exposition, vous ne pouvez ni démontrer que vous avez les consentements, ni répondre rapidement à une demande de l'article 28.1.
  • Ce qui transforme la situation théorique en exposition réelle, c'est la première demande de désindexation, la première plainte CAI, ou le premier audit B2B.

La Formation Site web et Loi 25 met ce module en vedette parce qu'il est le seul à couvrir ce risque dans tout l'écosystème de formations PRP. C'est ici que se fait l'évaluation de ce qu'on a publié sans s'en rendre compte.

En résumé

  • Article 13 — pas de communication sans consentement; consentement exprès pour le sensible.
  • Article 28.1 — droit à la cessation de diffusion et à la désindexation.
  • Article 5 — minimisation appliquée à tout ce qui est publié.
  • Décision CAI biométrie 2024 — test strict de nécessité et de proportionnalité.

Pour la version pratique

Quatre fuites typiques d'un site PME, méthodes de détection (Google site:, EXIF, listings) et procédures de nettoyage?

Voir le guide pratique →

Évaluer ce que votre site expose vraiment

L'audit de visibilité publique Loi 25 inclut une revue de l'exposition : photos, listings, PDF indexés, métadonnées EXIF. Le rapport identifie les fuites involontaires et propose un plan de nettoyage.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.