Application à la gouvernance
du site web

Atelier 1 · Étendre le registre de la partie 1 au volet web

Cartographier les formulaires du site et rédiger les avis de collecte

Vous arrivez avec : votre registre des activités de traitement construit dans la formation Mise en place gouvernance partie 1 (livrable du module Registres obligatoires).

Démontré pendant la formation : sur le cas-modèle, démarche d'inventaire des formulaires actifs (contact, infolettre, soumission, sondage), structure d'ajout d'une section « collectes web » au registre existant, gabarits d'avis de collecte courts par type de formulaire, principe de transparence au moment précis de la collecte (Loi 25 art. 8).

Éléments couverts pour chaque avis de collecte :

• Pourquoi vous collectez ces renseignements (finalité précise)
• À qui ils seront communiqués (interne, sous-traitants, tiers)
• Combien de temps ils seront conservés
• Lien vers la politique complète pour les détails et les droits
• Coordonnées du RPRP pour toute question

Vous repartez avec : la méthode d'extension du registre à votre propre site + les gabarits d'avis de collecte à adapter ensuite à chacun de vos formulaires.

🌐 Dimension internationale : adaptation de l'avis selon l'origine du visiteur — consentement explicite RGPD si trafic UE, information Loi 25 au Québec, mention opt-out CCPA si clientèle californienne. Référence approfondie : formation Initiation aux normes internationales.

Atelier 2 · Encadrer les outils tiers avec le modèle DPA de la partie 2

Appliquer la démarche DPA aux scripts tiers du site et configurer la bannière cookies

Vous arrivez avec : votre modèle DPA construit dans la formation Mise en place gouvernance partie 2 (livrable du module Sous-traitants et DPA) et votre table de conservation et sensibilité.

Démontré pendant la formation : sur le cas-modèle, comment inventorier les scripts tiers chargés (analytics, paiement, infolettre, polices, vidéos), grille d'évaluation des DPA fournisseurs (Google Analytics, Stripe, Mailchimp, etc.), démarche pour les outils sans DPA standard, principes de configuration d'une bannière cookies conforme (granularité, retrait simple, ordre de chargement, mécanisme de revue).

Démarche d'inventaire enseignée :

• Inventaire des scripts tiers chargés (audit via l'inspecteur du navigateur ou un outil dédié)
• Classement par catégorie : techniques essentiels (pas de consentement requis) vs analytique / marketing / médias (consentement requis)
• Vérification du DPA fourni par chaque outil tiers — en particulier la localisation des données et les transferts hors Québec
• Configuration d'une bannière de consentement granulaire (pas un bouton « tout accepter » seul)
• Mécanisme de retrait du consentement accessible à tout moment

Vous repartez avec : la grille d'évaluation des DPA de vos outils tiers + les principes de configuration d'une bannière cookies conforme à appliquer ensuite à votre propre site.

🌐 Dimension internationale : exigences bannière divergentes — RGPD demande un consentement granulaire pré-dépôt, Loi 25 accepte une info + retrait simple, CCPA cible l'opt-out de vente de données. Stratégie : adopter la position la plus stricte commune ou géolocaliser. Impact des transferts USA pour visiteurs UE à intégrer aux DPA. Référence approfondie : formation Initiation aux normes internationales.

Atelier 3 · Convertir la politique interne de la partie 1 en politique publique

Adapter section par section la politique interne au format public web

Vous arrivez avec : votre politique interne construite dans la formation Mise en place gouvernance partie 1 (livrable du module Politique de confidentialité), le registre web enrichi de l'atelier 1, et le tableau outils tiers de l'atelier 2.

Démontré pendant la formation : sur le cas-modèle, trame de conversion section par section (du langage technique interne vers le langage accessible public), principes éditoriaux (phrases courtes, structure scan, format HTML accessible, lien permanent en pied de page), points critiques à intégrer (durées, sous-traitants, transferts, droits, RPRP).

Sections couvertes par la trame de conversion :

• Identité et coordonnées du responsable + coordonnées du RPRP
• Finalités précises de collecte (pas de formulations vagues type « améliorer les services »)
• Catégories de renseignements + catégories de personnes concernées
• Bases légales et sources de la collecte
• Tiers à qui les renseignements peuvent être communiqués
• Transferts hors Québec (avec mention de l'EFVP si applicable)
• Durées de conservation par catégorie
• Droits des personnes (accès, rectification, retrait, portabilité, désindexation) + procédure d'exercice
• Mécanisme de plainte et coordonnées de la CAI
• Date d'entrée en vigueur + date de dernière mise à jour visibles

Vous repartez avec : la trame de conversion politique interne → publique + une liste de validation pour vérifier votre version finale avant publication sur votre site.

🌐 Dimension internationale : mention explicite des juridictions applicables selon votre public (Loi 25 + RGPD si visiteurs UE + CCPA si Californie). Clauses transferts internationaux côté visiteurs (pas seulement côté sous-traitants). Si site bilingue, politique disponible dans chaque langue du site. Référence approfondie : formation Initiation aux normes internationales.

Atelier 4 · Rendre le RPRP visible et activer la grille EFVP web

Publier le mandat RPRP, opérationnaliser les droits, déclencher l'EFVP avant chaque nouvel outil

Vous arrivez avec : votre mandat RPRP signé (livrable du module RPRP et mandat dans la formation Mise en place gouvernance partie 1) et votre grille EFVP (livrable du module EFVP dans la formation Mise en place gouvernance partie 2).

Démontré pendant la formation : sur le cas-modèle, modèles de présentation publique du RPRP (bloc politique + page contact + signature courriel), canevas de procédure d'exercice des droits en ligne, audit des contenus publics qui pourraient exposer involontairement des renseignements (biographies d'équipe, PDF mal expurgés, photos non consenties), démarche pour déclencher la grille EFVP avant chaque nouvel outil web.

Éléments couverts par les modèles :

• Coordonnées du RPRP visibles dans la politique + page contact + signature courriel
• Formulaire dédié ou procédure claire pour les demandes d'accès / rectification / retrait
• Délai de réponse annoncé (30 jours par défaut selon Loi 25)
• Procédure de désindexation pour les contenus publics qui ne devraient plus l'être
• Audit des contenus publics — pas de renseignements sensibles laissés visibles par erreur
• Sécurité de base (HTTPS, certificat à jour, cookies sécurisés) pour les formulaires

Vous repartez avec : les modèles de présentation du RPRP + le canevas de procédure d'exercice des droits en ligne + l'adaptation de la grille EFVP construite en partie 2 aux projets web à utiliser systématiquement avant tout nouveau chatbot, formulaire complexe ou outil de réservation.

🌐 Dimension internationale : délais de réponse divergents — Loi 25 prévoit 30 jours, RGPD donne un mois, CCPA cible 45 jours. La stratégie raisonnable : adopter la plus stricte applicable à votre public. Pour une entreprise québécoise traitant des données de visiteurs UE, savoir quand l'article 27 RGPD (représentant UE) devient pertinent. Référence approfondie : formation Initiation aux normes internationales.

Module complémentaire · Pour aller plus loin

Référentiels internationaux de gouvernance

Qu'est-ce que c'est : un ensemble de guides pratiques web gratuits qui situent cette formation par rapport aux référentiels internationaux (ISO 27001, ISO 27701, RGPD, LPRPDE).

À quoi ça sert : approfondir les liens entre la Loi 25 et les régimes internationaux que les clients institutionnels, les sous-traitants étrangers et les certifications volontaires demandent.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques en protection des renseignements personnels. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un avis juridique formel. Pour les situations particulières — secteur réglementé, incident en cours, litige —, consultez un avocat spécialisé.