Atelier 1 · Guide pratique · Application gouvernance site web
Étendre le registre des activités de traitement au volet web

Comment transposer votre registre au site web
et rédiger les avis de collecte courts?

Vous avez construit un registre des activités de traitement dans la formation Mise en place gouvernance partie 1. Ce guide décrit la démarche concrète pour l'étendre aux collectes web — formulaires, comportement de navigation, hébergeur — et rédiger les avis de collecte courts à placer à proximité de chaque formulaire. Complément pratique de la formation Site web et Loi 25.

Planifier la formation ← Atelier de synthèse →

Une fois la gouvernance interne posée — mandat RPRP, registre des activités de traitement, politique interne, registre des incidents —, le site web reste souvent la dernière surface à aligner. Pourtant, c'est la plus visible publiquement, et celle où les obligations Loi 25 (transparence à la collecte, art. 8) sont les plus exposées en cas d'enquête. Cet atelier transpose votre registre existant au volet web — sans tout refaire, sans créer un document parallèle, sans réenseigner la théorie de base.

Pour la théorie de base — référez-vous d'abord à

Ce guide est un complément à la formation Site web et Loi 25 du parcours de base. Pour comprendre ce que la Loi 25 exige sur la transparence à la collecte, les dix points typiques d'un site PME et les obligations légales générales, lisez d'abord les deux guides théoriques :

Cartographier les points de collecte de votre site web — les dix endroits où votre site collecte des renseignements personnels.
Avis de collecte sur un formulaire — ce qu'un avis court doit contenir et où le placer.
Exigences légales applicables — base juridique (Loi 25 art. 8).

Le présent guide ne réenseigne pas cette théorie. Il décrit la démarche concrète après que vous avez compris le pourquoi — quand vous avez déjà un registre interne à étendre.

Ce que vous apportez à l'atelier

L'entrée de cet atelier est un livrable précis construit dans la formation Mise en place gouvernance partie 1 : le registre des activités de traitement, document interne qui liste, pour chaque activité, la finalité, les catégories de renseignements collectés, les personnes concernées, la durée de conservation, les sous-traitants impliqués, les transferts hors Québec et les mesures de sécurité.

Si vous arrivez sans ce livrable, commencez par le module Registres obligatoires — la démarche de cet atelier suppose que le registre existe déjà.

La démarche concrète — étape par étape

Voici la séquence transmise pendant l'atelier, illustrée sur le cas-modèle d'une PME québécoise (entreprise électricienne avec site WordPress comportant une page de présentation, un formulaire de contact, une page de demande de soumission et une inscription à l'infolettre). Vous adaptez ensuite à votre propre site.

Étape 1 — Ouvrir le registre et identifier les activités qui touchent déjà le web

Le registre construit en partie 1 contient sans doute déjà des activités qui ont un volet web — par exemple « gestion des demandes de soumission » si vous recevez des demandes par formulaire, ou « gestion de l'infolettre » si vous en avez une. Marquez ces activités. Pour chacune, vous prolongez la documentation existante plutôt que de créer une entrée parallèle. Un seul registre, deux volets — interne et web.

Étape 2 — Inventorier les points de collecte web réellement actifs

Parcourez le site et listez à plat tout ce qui collecte ou crée des renseignements personnels. Pour le cas-modèle :

Formulaire de contact (nom, courriel, message)
Demande de soumission (nom, adresse, téléphone, description des travaux)
Inscription à l'infolettre (courriel)
Google Analytics (comportement de navigation, IP partielle)
Journaux d'accès de l'hébergeur (IP, navigateur, pages consultées)

Référez-vous au guide théorique sur les dix points typiques pour la grille complète si votre site est plus riche (clavardage, pixel publicitaire, bouton social, etc.).

Étape 3 — Vérifier chaque point de collecte contre le registre existant

Pour chaque point inventorié à l'étape 2, posez la question : est-ce que le registre couvre déjà cette collecte? Trois cas typiques :

Oui, complètement — vous ajoutez seulement la précision « collecte effectuée par formulaire web sur la page contact » à la fiche existante.
Oui, partiellement — la finalité est documentée mais le point de collecte web ne l'est pas ; vous enrichissez la fiche avec les détails techniques (URL, plugin, champs).
Non — vous créez une nouvelle fiche dans le registre, avec finalité, catégories, durée, sous-traitants. Cas le plus courant : journaux d'accès de l'hébergeur, rarement documentés en amont.

Étape 4 — Rédiger un avis de collecte court par type de formulaire

Un avis de collecte conforme à l'article 8 de la Loi 25 tient en quelques lignes affichées à proximité du formulaire — pas dans la politique complète à l'autre bout du site. Cinq éléments minimaux :

Pourquoi vous collectez (finalité précise — pas « améliorer nos services »)
À qui ces renseignements seront communiqués (interne, sous-traitants nommés)
Combien de temps ils seront conservés (durée justifiée, pas « indéfiniment »)
Lien vers la politique complète pour les détails et les droits
Coordonnées du RPRP pour toute question

L'atelier fournit des gabarits par type de formulaire (contact, infolettre, soumission, sondage) que vous adaptez à votre cas. Chaque formulaire a son propre avis — le contexte d'une demande de soumission n'est pas celui d'une inscription à l'infolettre.

Étape 5 — Placer chaque avis à proximité du formulaire concerné

L'avis doit être lu avant la soumission, pas après. Placement courant : juste au-dessus ou juste en dessous du bouton « Envoyer », en texte petit mais lisible, jamais derrière une case à cocher masquée. Sur WordPress, un bloc HTML personnalisé dans chaque formulaire suffit. Sur Wix, Squarespace ou Shopify, la mécanique change mais le principe est identique — le visiteur voit l'avis avant de soumettre.

Étape 6 — Mettre à jour le registre pour qu'il devienne une référence unique

Au terme de la transposition, votre registre couvre l'interne et le web — c'est le document de référence consulté lors d'une enquête, d'une demande d'accès ou d'un incident. Ajoutez une date de mise à jour et fixez une revue annuelle systématique pour intégrer les nouveaux formulaires ajoutés au site entre-temps.

Outils et gabarits transmis pendant l'atelier

Section « collectes web » à insérer dans le registre existant — colonnes type (point de collecte, URL, plugin, champs collectés, finalité, durée, sous-traitants).
Gabarits d'avis de collecte courts par type de formulaire — contact, infolettre, soumission, sondage —, prêts à adapter.
Liste de validation pour vérifier que chaque avis contient les cinq éléments obligatoires avant publication.
Grille de revue annuelle du registre pour intégrer les nouveaux points de collecte ajoutés entre-temps.

Ces outils sont à appliquer ensuite, à votre rythme, sur votre propre registre et votre propre site. L'atelier transmet la méthode sur le cas-modèle ; l'application complète à votre organisation se fait après la formation.

🌐 Dimension internationale

Si votre site reçoit du trafic hors Québec, l'avis de collecte se nuance selon l'origine du visiteur. Trois régimes principaux :

Loi 25 (Québec) — information claire au moment de la collecte + retrait simple.
RGPD (Union européenne) — consentement explicite obligatoire pour certaines finalités, avec base légale documentée. Plus strict que la Loi 25 sur les cases pré-cochées et la granularité du consentement.
CCPA / CPRA (Californie) — droit à l'opt-out de la vente de données et mécanisme « Do Not Sell » accessible depuis chaque page.

Stratégie pratique : si votre clientèle est exclusivement québécoise, Loi 25 suffit. Si vous avez du trafic international (l'analytique le confirme), adoptez la position la plus stricte commune ou géolocalisez l'affichage des avis selon l'IP du visiteur. Pour la base conceptuelle multi-régimes, voir la formation Initiation aux normes internationales.

Pièges à éviter lors de la transposition

Créer un registre web parallèle au registre interne — vous finissez avec deux documents qui divergent. Un seul registre unifié, avec une section web.
Recopier la politique complète comme avis de collecte — un avis court fait quelques lignes, pas plusieurs pages.
Oublier les champs cachés — paramètres UTM, IP source, referer enregistrés silencieusement sont des renseignements personnels au sens de la Loi 25.
Oublier les journaux d'accès de l'hébergeur — souvent absents du registre alors qu'ils contiennent IP, navigateur, pages consultées sur plusieurs semaines.
Pas de date de mise à jour du registre — sans revue planifiée, il devient obsolète dès le prochain formulaire ajouté.

En résumé

Cet atelier 1 ne vous redonne pas la théorie du Bloc 1 site web — il vous donne la démarche pour partir de votre registre existant et y intégrer le volet web, plus les gabarits d'avis de collecte courts à placer à chaque formulaire. Les ateliers suivants encadrent les outils tiers, convertissent la politique interne en politique publique, puis rendent le RPRP visible et activent la grille EFVP avant chaque nouvel outil web.

Continuer l'atelier de synthèse

Cet atelier 1 cartographie les collectes et rédige les avis. Les ateliers suivants encadrent les outils tiers, convertissent la politique interne en politique publique, et rendent le RPRP visible.

← Retour à l'atelier de synthèse Planifier la formation

Pas encore construit votre registre interne? Commencez par la formation Mise en place gouvernance partie 1.

Comment transposer votre registre au site webet rédiger les avis de collecte courts?