Formation Site web · Module 7 · Guide pratique
La face publique de votre gouvernance PRP

Comment afficher le RPRP, les droits et les durées de conservation sur un site web?

Un visiteur doit pouvoir trouver en quelques clics : qui est votre Responsable de la protection des renseignements personnels, comment exercer ses droits, combien de temps vous conservez ses données. Si l'un de ces éléments est absent ou caché, votre conformité publique est incomplète — et c'est l'un des points les plus regardés en audit.

Découvrir le mandat RPRP externe Planifier la formation pour mon équipe →

L'article 3.1 de la Loi 25 oblige toute entreprise à publier les coordonnées de son Responsable de la protection des renseignements personnels (RPRP) sur son site web. L'article 29 exige de porter à la connaissance du public l'endroit et les moyens d'accéder aux renseignements. L'article 23 impose des durées de conservation justifiées et transparentes. En pratique, la majorité des sites de PME affichent un courriel générique « info@ », aucune section « Vos droits », et des durées de conservation absentes. Voici comment combler ces lacunes — qui sont aussi les plus rapides à corriger.

Applicable à tout site web. L'affichage du RPRP, des droits et des durées peut se faire sur n'importe quelle plateforme — WordPress, Wix, Shopify, Squarespace, Webflow, sur mesure. C'est la visibilité et l'accessibilité qui comptent, pas le CMS.

Définition

Le RPRP visible est la personne désignée pour répondre aux demandes des visiteurs concernant leurs renseignements personnels, dont les coordonnées sont publiées sur le site. Les droits des visiteurs sont les huit droits de la Loi 25 (accès, rectification, retrait, désindexation, portabilité, intervention humaine, plainte). Les durées de conservation sont les périodes pendant lesquelles l'organisation conserve chaque catégorie de données avant destruction ou anonymisation.

Les trois zones d'affichage à structurer

1. Coordonnées du RPRP

L'article 3.1 exige que le titre et les coordonnées soient publiés. Le minimum recommandé :

  • Nom complet (ou à défaut le titre du poste)
  • Titre exact (« Responsable de la protection des renseignements personnels » et non « contact général »)
  • Courriel dédié (idéalement rprp@entreprise.com ou privacy@entreprise.com)
  • Téléphone si applicable
  • Adresse postale si applicable

Une adresse info@ ou contact@ ne respecte pas l'esprit de l'obligation : elle dilue les demandes confidentialité dans le courrier général et signale l'absence d'une fonction PRP réellement exercée.

2. Section « Vos droits »

Les huit droits à présenter clairement :

  • Droit d'être informé lors de la collecte (article 8)
  • Droit d'accès aux renseignements vous concernant (article 27)
  • Droit de rectification si l'information est inexacte (article 28)
  • Droit de retrait du consentement à tout moment
  • Droit à la désindexation et à la cessation de diffusion (article 28.1)
  • Droit à la portabilité — recevoir vos données dans un format structuré (article 27, en vigueur depuis 22 septembre 2024)
  • Droit à l'intervention humaine sur une décision automatisée (article 12.1)
  • Droit de déposer une plainte à la Commission d'accès à l'information

3. Durées de conservation par catégorie

L'article 23 exige la destruction ou l'anonymisation lorsque les fins sont accomplies. Pour rendre cela visible et défendable, afficher dans la politique :

  • Catégorie de renseignements (formulaire de contact, infolettre, compte client, factures, etc.)
  • Durée de conservation justifiée par catégorie
  • Mention de la destruction sécurisée ou de l'anonymisation au terme

Une durée vague comme « le temps nécessaire » n'est pas conforme à l'esprit de l'article 23. Une table de durées concrètes (12 mois, 36 mois, 7 ans selon les obligations fiscales) est attendue.

Ce que ça veut dire concrètement

Si l'un de ces éléments est absent ou caché :

  • Le visiteur ne sait pas à qui s'adresser pour exercer ses droits — il dépose une plainte directement à la CAI.
  • L'article 29 exige de « porter à la connaissance du public l'endroit où ces renseignements personnels sont accessibles » — non-conformité directe.
  • L'absence de durées de conservation rend toute la démarche article 23 indémontrable.

Ce que ça signifie concrètement pour un dirigeant

  • Si aucun RPRP n'est désigné, c'est la personne ayant la plus haute autorité qui exerce la fonction par défaut (article 3.1) — souvent le dirigeant lui-même.
  • Si vos ressources internes ne permettent pas d'assumer le rôle réellement, le mandat externe est une solution structurée et publiquement publiable.
  • Une demande d'accès non traitée dans les 30 jours est traitée comme un refus — et un refus non motivé peut faire l'objet d'une plainte.

Le rôle existe par défaut. C'est sa visibilité publique et sa capacité d'action qui font la différence.

🎯 Diagnostic rapide : votre face publique est-elle complète?

Trois questions, vérifiables en moins de 2 minutes :

  • Sur la page « Politique de confidentialité » de votre site, le nom et le courriel du RPRP sont-ils visibles dès la première lecture?
  • Existe-t-il une section qui explique les huit droits des visiteurs et la procédure pour les exercer?
  • Les durées de conservation par catégorie de renseignements sont-elles affichées avec des chiffres concrets?

Si non à une seule, votre conformité publique est incomplète — c'est l'un des constats les plus rapides à faire en audit de visibilité.

Dans la réalité des PME québécoises

📧 RPRP caché derrière info@. Aucun nom, aucun courriel dédié — juste « pour toute question, écrivez à info@ ». L'article 3.1 n'est pas respecté dans son esprit.

📋 Aucune section Vos droits. Les droits sont mentionnés vaguement dans la politique sans procédure pour les exercer. Le visiteur doit deviner.

⏳ Durées floues. « Nous conservons vos données aussi longtemps que nécessaire » — formulation conforme en apparence mais qui ne respecte pas l'esprit de l'article 23. Aucune durée concrète n'est affichée.

Cas réel simplifié

Une cliente écrit à l'adresse info@ d'une PME : « Je veux savoir quels renseignements personnels vous détenez sur moi et obtenir une copie. »

Contexte :

  • Aucun RPRP n'est désigné formellement
  • Le courriel est traité par la réception qui ne sait pas comment réagir
  • Il transite plusieurs jours avant d'arriver au dirigeant
  • Aucune procédure interne n'est documentée

Résultat :

  • Le délai de 30 jours s'écoule pendant que personne ne traite la demande
  • La cliente dépose une plainte à la CAI
  • L'enquête révèle l'absence de RPRP désigné, l'absence de procédure et l'écart article 3.1 + 27 + 29
  • L'organisation entre en mode réactif sous pression de l'enquête

Une demande de droit qu'on ne sait pas traiter est une plainte qui se prépare.

Quatre croyances erronées sur la face publique

  • « On a une adresse de contact général, ça suffit. » Faux. L'article 3.1 exige une publication des coordonnées du RPRP — pas un courriel générique. Le critère est la visibilité spécifique de la fonction PRP.
  • « Personne ne nous demande jamais ses droits. » Faux à terme. La sensibilisation augmente, et les processus B2B incluent désormais la vérification de la procédure d'exercice des droits chez les fournisseurs.
  • « On n'a pas besoin de RPRP, on est une petite équipe. » Faux. Toute organisation est soumise à l'article 3.1 — la fonction existe par défaut chez la personne ayant la plus haute autorité, qu'elle le sache ou non.
  • « "Le temps nécessaire" suffit pour la durée. » Faux. L'article 23 exige une destruction quand les fins sont accomplies — ce qui implique que les fins, et donc les durées, soient déterminées et documentées.

Un RPRP non visible est un rôle non opposable — donc une absence aux yeux du visiteur et de la CAI.

Face publique incomplète / Face publique gérée

✗ Incomplète

  • RPRP non identifié, info@ générique
  • Pas de section « Vos droits »
  • Procédure d'exercice absente
  • Durées vagues (« le temps nécessaire »)
  • Aucune mention décision automatisée

✓ Gérée

  • RPRP nommé + rprp@ dédié
  • Section « Vos droits » détaillée
  • Formulaire ou procédure claire
  • Table de durées par catégorie
  • Mention décisions automatisées si applicable

Ce que la Loi 25 implique concrètement

  • Article 3.1 — Le titre et les coordonnées du RPRP doivent être publiés sur le site web.
  • Article 27 — Droit d'accès et droit à la portabilité (en vigueur depuis sept. 2024) — délai de réponse : 30 jours.
  • Article 28 — Droit de rectification si le renseignement est inexact, incomplet ou équivoque.
  • Article 28.1 — Droit à la cessation de diffusion et à la désindexation (vu au module 6).
  • Article 29 — Obligation de porter à la connaissance du public l'endroit et les moyens d'accès.
  • Article 23 — Destruction ou anonymisation lorsque les fins sont accomplies.
  • Article 12.1 — Information de la personne en cas de décision automatisée + droit de présenter ses observations à un humain.

Pourquoi c'est critique

  • C'est le test le plus rapide d'un audit de visibilité. 30 secondes pour vérifier si le RPRP est nommé et joignable.
  • C'est ce qui transforme la conformité documentaire en conformité opérationnelle. Avoir un RPRP désigné dans la documentation interne ne suffit pas — il doit être visible et opérationnel.
  • C'est le module qui scelle la formation. Sans face publique cohérente, tous les modules précédents perdent leur valeur démonstrable.

Concrètement pour une PME

Sans face publique structurée :

  • Chaque demande d'un visiteur sur ses droits crée un risque de plainte si le délai de 30 jours n'est pas respecté
  • L'écart entre votre politique (qui parle de droits) et la réalité (où personne ne sait les exercer) est immédiat
  • L'absence de RPRP désigné fait que par défaut, la responsabilité tombe sur le dirigeant lui-même

Le coût vient de l'absence de structure publique — pas de la complexité des droits.

En résumé

Définition : la face publique de votre gouvernance PRP, c'est ce qui rend le RPRP joignable, les droits exerçables et les durées vérifiables.

Trois faits clés :

  • Article 3.1 — RPRP nommé et publié sur le site, distinct d'info@
  • Articles 27, 28, 28.1, 12.1 — huit droits à expliquer et à rendre exerçables
  • Article 23 — durées de conservation par catégorie, concrètes et justifiables

👉 Action : nommer un RPRP (ou confier le mandat à un externe), ajouter une section « Vos droits », publier une table de durées.

La désignation et le mandat du RPRP sont traités dans la Formation Gouvernance PRP, modules RPRP et mandat et Conservation, destruction, accès. Ce module-ci se concentre sur la face web : comment afficher, comment rendre les droits exerçables, comment formaliser les durées.

Pas de ressource interne pour le rôle?

Si votre organisation n'a pas la capacité d'assumer le rôle de RPRP en interne, le mandat externe offre une alternative structurée : un consultant désigné, des coordonnées publiques, une procédure documentée, une réponse aux demandes dans les délais.

Découvrir le mandat RPRP externe →

Pour aller plus loin

Articles précis 3.1, 27, 28, 28.1, 29, 23, 12.1, sanctions, exemples PME?

Voir les exigences légales →

Test rapide — votre face publique est-elle complète?

Trois questions, vérifiables en 2 minutes.

Si non à une seule, votre face publique est incomplète au sens des articles 3.1, 29 et 23.

Découvrir le mandat RPRP externe →

Confier le rôle de RPRP à un consultant externe

Si votre organisation n'a pas la capacité d'assumer le rôle de RPRP en interne, le mandat externe permet de respecter l'article 3.1 avec une structure documentée, des coordonnées publiques et un traitement des demandes dans les délais.

Découvrir le mandat RPRP externe Faire auditer mon site

← Retour au plan de la formation Site web