Module 2 · Guide pratique · Formation Mise en place gouvernance — partie 1
Politique interne — document opérationnel de gouvernance PRP

Politique interne de protection des
renseignements personnels — Loi 25

La politique interne est le document de référence opérationnel qui dit à vos employés et à vos sous-traitants comment votre organisation applique la Loi 25 au quotidien — règles, rôles, procédures, sanctions. Ce guide explique comment la construire, avec un template de onze articles commenté section par section.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

La politique interne est le document de référence opérationnel de votre gouvernance PRP : elle explique aux employés, aux gestionnaires et aux sous-traitants comment votre organisation applique la Loi 25 au quotidien. C'est le socle de toute la documentation qui en découle — registres, procédures, formation, audit.

📚 Deux documents complémentaires, deux guides distincts :

  • Politique interne (ce guide) — opérationnelle, détaillée, à usage du personnel et des sous-traitants. Décrit le comment.
  • Politique de confidentialité publique — affichée sur le site, à destination des personnes concernées. Décrit le quoi. Le volet public de ce document est couvert dans la formation Application à la gouvernance du site web.

La politique publique est rédigée à partir de la politique interne — pas l'inverse. On construit d'abord la politique interne, puis on adapte ensuite la version publique pour le site.

Ce que ça signifie concrètement pour un dirigeant

Sans politique interne formalisée :

  • vos employés improvisent face à une demande d'accès, un incident ou une question d'un client ;
  • la politique publique n'a pas de base solide — elle prétend des pratiques qui n'existent pas vraiment ;
  • la CAI, lors d'une enquête, ne peut pas constater une gouvernance documentée — elle ne voit qu'un texte public sans support interne.

La politique publique est le visage — la politique interne est le corps. Sans corps, le visage ne tient pas.

Qu'est-ce qu'une politique interne PRP?

Une politique interne PRP est un document signé par la direction qui détaille les règles, les rôles, les procédures et les sanctions que l'organisation se donne pour traiter les renseignements personnels. Elle s'applique à l'ensemble du personnel et des sous-traitants ayant accès à des renseignements personnels traités par l'organisation.

🎯 Votre politique interne est-elle opérationnelle?

  • Existence — la politique interne est-elle signée par la direction et accessible à tout le personnel?
  • Rôles définis — chaque employé sait-il à qui s'adresser pour signaler un incident, traiter une demande d'accès, encadrer un sous-traitant?
  • Procédures écrites — accès, rectification, incidents, conservation sont-ils documentés au-delà du verbal?
  • Date de révision — la politique a-t-elle été révisée dans les 12 derniers mois?

Si une seule réponse est non, vos employés improvisent — et la politique publique qui en découle n'a pas de fondations.

Comment construire la politique interne — démarche pas-à-pas

  1. S'appuyer sur le registre des traitements. Sans inventaire des traitements, impossible de rédiger des procédures justes — la politique interne suit la matière du registre.
  2. Cadrer avec la direction. Niveau de rigueur attendu, sanctions internes possibles, budget de formation, rythme de révision.
  3. Rédiger article par article à partir du template ci-dessous, en adaptant chaque section à la réalité de l'organisation.
  4. Valider avec les responsables internes. RH valide les procédures qui touchent les employés, le responsable des opérations valide les procédures de service.
  5. Faire signer par la direction. La politique interne tire son autorité de la signature.
  6. Diffuser et former. Tous les employés doivent connaître l'existence de la politique. Formation initiale + rappels annuels.
  7. Réviser annuellement. Date fixe au calendrier. Mise à jour à chaque changement organisationnel majeur.

Template — Politique interne commentée

Voici les onze articles typiques d'une politique interne PRP. Chaque article est suivi d'une note d'adaptation.

Article 1 — Objet et portée

La présente politique encadre le traitement des renseignements personnels au sein de [Nom de l'organisation]. Elle s'applique à l'ensemble du personnel, des sous-traitants et des partenaires ayant accès à des renseignements personnels traités par l'organisation.

💡 À adapter : préciser les types de traitements concernés (RH, clients, marketing) si vous voulez restreindre la portée.

Article 2 — Définitions

Pour les fins de la présente politique : Renseignement personnel — toute information concernant une personne physique identifiable; RPRP — Responsable de la protection des renseignements personnels désigné par l'organisation; Incident de confidentialité — accès, utilisation, communication non autorisés ou perte d'un renseignement personnel; Sous-traitant — personne ou organisation à qui l'organisation confie le traitement de renseignements personnels.

💡 À adapter : ajouter les termes propres à votre secteur (dossier patient, dossier client, représentant).

Article 3 — Rôles et responsabilités

La direction est ultimement responsable du respect de la Loi 25 et alloue les ressources nécessaires. Le RPRP, désigné par lettre de mandat distincte, applique et fait appliquer la présente politique. Les gestionnaires s'assurent du respect des procédures dans leur équipe. Les employés respectent les procédures, signalent les incidents et participent à la formation.

💡 À adapter : nommer les rôles tels qu'ils existent dans votre organisation. Référencer la lettre de mandat RPRP.

Article 4 — Principes directeurs

L'organisation respecte les six principes de la Loi 25 : responsabilité, finalité, limitation, proportionnalité, sécurité et transparence. Chaque traitement est rattaché à une finalité documentée dans le registre des activités de traitement.

💡 À adapter : ajouter les principes propres à votre éthique (primauté de la confiance client, minimisation par défaut).

Article 5 — Procédures internes

Collecte — un avis de collecte est remis ou rendu accessible avant toute collecte. Consentement — explicite pour les données sensibles, le retrait est traité dans les 30 jours. Accès et rectification — toute demande est traitée par le RPRP dans les 30 jours. Portabilité — sur demande, communication des données dans un format technologique structuré.

💡 À adapter : détailler les procédures propres à vos canaux (téléphone, papier, formulaire web).

Article 6 — Gestion des incidents de confidentialité

Tout employé constatant un incident le signale immédiatement au RPRP. Le RPRP évalue le risque de préjudice sérieux selon les critères de la Loi 25, prend les mesures de mitigation, consigne l'incident au registre et, le cas échéant, notifie la CAI et les personnes concernées sans délai indu.

💡 À adapter : renvoyer à la procédure détaillée d'incident (annexe ou document séparé).

Article 7 — Sous-traitance et tiers

Tout sous-traitant ayant accès à des renseignements personnels traités par l'organisation doit être encadré par une entente écrite (DPA) précisant les obligations, les mesures de sécurité, la sous-traitance ultérieure, la localisation des données et le sort des données en fin de contrat.

💡 À adapter : renvoyer à la liste des DPA tenue par le RPRP. Voir la formation Mise en place gouvernance — partie 2 pour le template DPA.

Article 8 — Conservation et destruction

Les renseignements personnels sont conservés selon les durées documentées dans la table de conservation jointe à la présente politique. À l'expiration, les renseignements sont détruits de manière sécurisée selon la procédure interne; la destruction est tracée.

💡 À adapter : annexer la table de durées (par catégorie) construite à partir du guide Conservation et destruction.

Article 9 — Formation et sensibilisation

Tout nouvel employé reçoit une formation d'initiation à la protection des renseignements personnels dans un délai raisonnable suivant son embauche. L'ensemble du personnel suit un rappel annuel adapté à l'évolution des pratiques et des obligations.

💡 À adapter : préciser les rôles nécessitant une formation approfondie (RH, marketing, opérations).

Article 10 — Audit interne et révision

Le RPRP procède annuellement à une revue de la conformité et rapporte à la direction. La politique est révisée à cette occasion ou en cas de changement organisationnel majeur. Toute version est datée et archivée.

💡 À adapter : définir le rythme et le format du rapport (note de service, rapport au conseil).

Article 11 — Sanctions internes

Tout manquement à la présente politique peut entraîner des mesures disciplinaires selon la politique générale de l'organisation, sans préjudice des recours civils ou pénaux applicables.

💡 À adapter : aligner sur votre cadre disciplinaire existant (manuel employé, convention collective).

Politique interne copiée vs politique interne construite

❌ Politique interne copiée

  • Modèle générique non adapté
  • Rôles flous (« le responsable »)
  • Procédures absentes ou théoriques
  • Aucune référence au registre réel
  • Sanctions internes non précisées
  • Jamais signée, jamais révisée

✅ Politique interne construite

  • Reflète votre registre des traitements
  • Rôles nommés (RPRP, gestionnaires, employés)
  • Procédures opérationnelles documentées
  • Cadre d'incident clair (qui, quoi, quand)
  • Sanctions internes alignées sur la politique RH
  • Signée par la direction, revue annuellement

Comment diffuser la politique interne dans l'organisation

  • Annonce écrite à tout le personnel — date d'entrée en vigueur, où trouver la politique, qui est le RPRP.
  • Intégration à l'accueil — toute nouvelle embauche reçoit la politique en lecture obligatoire dans les premiers jours.
  • Lien stable accessible à tous — intranet, espace partagé, manuel d'employé, selon vos outils.
  • Rappel annuel — relecture obligatoire et signature d'attestation de prise de connaissance.
  • Communication aux sous-traitants — annexer ou référencer la politique dans chaque DPA.

Comment maintenir la politique interne à jour

  • Revue annuelle datée — calendrier fixe, RPRP responsable, rapport à la direction.
  • Mise à jour déclenchée par les changements organisationnels — nouvelle structure, nouveaux services, nouveaux fournisseurs.
  • Mise à jour déclenchée par les retours du terrain — incidents traités, demandes d'accès complexes, écarts constatés en audit interne.
  • Historique des versions — conserver chaque version datée et signée pour démontrer l'évolution de la gouvernance.
  • Communication des changements substantiels au personnel et aux sous-traitants.

Concrètement pour une PME

Sans politique interne construite et maintenue :

  • vos employés improvisent face aux incidents et aux demandes;
  • vos sous-traitants ne savent pas à quelles règles ils sont tenus;
  • la politique publique qui en découle n'a pas de fondation documentée.

Une politique interne signée et appliquée est ce qui transforme la conformité d'un titre en une fonction opérationnelle.

En résumé

Définition : La politique interne est le document signé par la direction qui détaille les règles, rôles, procédures et sanctions que l'organisation se donne pour traiter les renseignements personnels au quotidien.

3 faits clés

  • Onze articles typiques — voir le template commenté plus haut
  • S'appuie sur le registre des activités de traitement
  • Diffusée à tout le personnel, signée et révisée annuellement

👉 Action : Commencez par le registre, validez les rôles avec la direction, puis rédigez chaque article à partir du template — adaptation, pas copie.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales du contenu, ce que la CAI examine et les risques en cas de politique incomplète.

Politique de confidentialité selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Votre politique de confidentialité actuelle…

Si vous avez répondu non à une seule question,
votre politique est probablement incomplète — et la CAI le constatera dès l'ouverture du fichier.

Pas certain que votre politique passe l'examen?
L'Analyse gouvernance PRP examine la politique parmi les 9 dimensions évaluées.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)