Comment rendre le RPRP visible sur le site
et activer la grille EFVP avant chaque nouvel outil web?

Un mandat RPRP signé qui n'est connu que de l'équipe interne ne protège personne. Une grille EFVP rangée dans un dossier interne ne sert à rien si elle n'est jamais déclenchée. Cet atelier rend ces deux livrables visibles et actionnables côté web — le RPRP est atteignable depuis la politique publique, la page contact, la signature courriel et le pied de page ; la grille EFVP devient le filtre obligatoire avant tout déploiement d'outil web nouveau. Un audit des contenus publics complète l'ensemble pour repérer les renseignements sensibles laissés visibles par erreur.

Pour la théorie de base — référez-vous d'abord à

Ce que vous apportez à l'atelier

L'entrée de cet atelier est double : le mandat RPRP signé (livrable du module RPRP et mandat dans la formation Mise en place gouvernance partie 1) et la grille EFVP (livrable du module EFVP dans la formation Mise en place gouvernance partie 2). La politique publique construite à l'atelier 3 est également un appui : elle contient déjà les coordonnées du RPRP, l'atelier 4 les redéploie ailleurs sur le site.

Si vous arrivez sans le mandat RPRP, commencez par le module RPRP et mandat. Si la grille EFVP n'existe pas encore, voyez le module EFVP — base. La démarche de cet atelier suppose que les deux livrables existent déjà.

La démarche concrète — étape par étape

Voici la séquence transmise pendant l'atelier, illustrée sur le cas-modèle d'une PME québécoise (entreprise électricienne avec site WordPress comportant une page de présentation, un formulaire de contact, une page de demande de soumission et une inscription à l'infolettre). Vous adaptez ensuite à votre propre site.

Étape 1 — Publier les coordonnées du RPRP à plusieurs endroits

Un visiteur qui veut exercer un droit ne lit pas la politique de A à Z — il cherche immédiatement le contact. Le RPRP doit donc être visible à quatre endroits au minimum :

• Dans la politique publique (atelier 3) — bloc dédié en haut ou en bas, avec nom, fonction, courriel et téléphone direct.
• Sur la page contact — section identifiée « Protection des renseignements personnels » avec coordonnées du RPRP, distinctes du formulaire commercial.
• Dans la signature courriel du RPRP lui-même — pas du standard générique, mais bien de la personne désignée.
• Dans un bloc permanent du pied de page du site — au moins un lien « Protection des renseignements personnels » qui renvoie vers la section ad hoc.

Étape 2 — Mettre en place une procédure claire d'exercice des droits

Annoncer un RPRP sans procédure d'exercice est inopérant. Deux configurations possibles :

• Formulaire dédié sur le site — page « Exercer un droit » avec champs (type de demande, identité, description), envoi vers le RPRP, accusé de réception automatique. Plus traçable.
• Adresse courriel surveillée par le RPRP (ex. rprp@…) — plus simple à mettre en place mais demande une discipline d'accusé de réception.

Dans les deux cas, la procédure annonce le délai de réponse de 30 jours prévu par la Loi 25 et précise les pièces requises pour vérifier l'identité du demandeur (sans demander plus que nécessaire — exigence du principe de minimisation).

Étape 3 — Auditer les contenus publics du site pour repérer les RP exposés

Beaucoup de sites PME contiennent des renseignements personnels visibles publiquement sans que ce soit voulu. L'audit passe en revue :

• Biographies de l'équipe — consentement de la personne pour publication? Photo, courriel direct, parcours détaillé peuvent être sensibles.
• PDF mal expurgés — devis téléversé qui contient un numéro d'assurance sociale, formulaire scanné avec signature manuscrite visible, document interne mis en ligne par erreur.
• Photos identifiables — visages d'employés, de clients, sur le site ou la galerie de projets. Consentement écrit nécessaire.
• Procès-verbaux ou rapports indexés — fréquent dans le secteur public, mais arrive aussi en PME (rapport AGA, procès-verbal d'AGA mis en ligne sans révision).

Étape 4 — Mettre en place une procédure de désindexation

Pour les contenus à retirer, la suppression de la page source ne suffit pas — Google et les moteurs gardent une copie dans leur cache et l'index pendant des semaines. La procédure complète :

• Suppression du contenu à la source (page, fichier PDF)
• Demande explicite de désindexation auprès de Google (Outil de suppression — Search Console)
• Vérification de la rotation du cache après quelques semaines
• Pour les contenus sensibles, demande de désindexation auprès d'autres moteurs (Bing, DuckDuckGo) au besoin

Étape 5 — Adapter la grille EFVP au web et l'activer avant chaque nouvel outil

La grille EFVP construite en partie 2 est généralement orientée vers les projets organisationnels — nouveau système RH, nouveau logiciel comptable. Pour le web, elle doit aussi déclencher avant tout nouveau dispositif numérique qui collecte ou crée des renseignements personnels :

• Chatbot ou agent conversationnel sur le site
• Formulaire complexe (auto-évaluation, configurateur)
• Outil de réservation ou de prise de rendez-vous en ligne
• Passerelle de paiement en ligne
• Compte client (espace authentifié)
• Outil de téléversement de documents par le visiteur

Le principe : EFVP avant déploiement, pas après. Une fois l'outil en ligne, les correctifs coûtent dix fois plus.

Étape 6 — Inscrire au calendrier une revue annuelle systématique

Le dispositif RPRP + droits + audit des contenus + EFVP n'est pas un projet ponctuel — c'est un cycle. Une revue annuelle est planifiée au calendrier, idéalement couplée à la revue du registre (atelier 1), de la bannière cookies (atelier 2) et de la politique publique (atelier 3). Les quatre ateliers se rejoignent donc en une seule revue annuelle de gouvernance web.

Outils et gabarits transmis pendant l'atelier

• Modèles de présentation publique du RPRP — bloc politique, page contact, signature courriel, bloc pied de page.
• Canevas de procédure d'exercice des droits — formulaire dédié ou adresse courriel, accusé de réception type, délai annoncé, vérification d'identité minimale.
• Grille d'audit des contenus publics sensibles — biographies, PDF, photos, procès-verbaux ; critères de retrait ou de désindexation.
• Adaptation de la grille EFVP au volet web — liste des déclencheurs (chatbot, formulaire complexe, réservation, paiement, compte client) et procédure de blocage avant déploiement non évalué.

Ces outils sont à appliquer ensuite, à votre rythme, sur votre propre site et votre propre gouvernance. L'atelier transmet la méthode sur le cas-modèle ; l'application complète à votre organisation se fait après la formation.

🌐 Dimension internationale

Les délais et exigences applicables aux droits divergent selon les régimes :

• Loi 25 (Québec) — délai de réponse de 30 jours pour une demande d'accès ou de rectification.
• RGPD (Union européenne) — délai d'un mois, prolongeable de deux mois si la demande est complexe. Si vous traitez des données de résidents UE, l'article 27 peut exiger la désignation d'un représentant UE — situation rare pour une PME purement québécoise, mais pertinente si trafic international significatif.
• CCPA / CPRA (Californie) — délai de 45 jours, prolongeable de 45 jours supplémentaires.

Stratégie pratique : adopter le délai le plus strict applicable à votre public. Pour une PME québécoise sans clientèle UE/US, Loi 25 (30 jours) suffit. Si trafic international significatif, aligner sur 30 jours quel que soit le visiteur — c'est plus simple et toujours conforme. Pour la base conceptuelle multi-régimes, voir la formation Initiation aux normes internationales.

Pièges à éviter lors de la transposition

En résumé

Cet atelier 4 ne vous redonne pas la théorie du Bloc 1 site web — il vous donne la démarche pour rendre votre RPRP visible à plusieurs endroits du site, opérationnaliser les droits avec une procédure claire, auditer les contenus publics sensibles et activer la grille EFVP avant chaque nouvel outil web. Combiné aux trois ateliers précédents (registre étendu, outils tiers, politique publique), le Bloc 2 est complet — la gouvernance interne est entièrement transposée au volet web.