Module 3 · Guide pratique · Formation Loi 25 pour employés
Les principes comme boussole décisionnelle

Quels sont les principes de protection
des renseignements personnels au Québec?

Quand la loi ne dit pas exactement quoi faire, les principes servent de boussole. Ce guide présente les 6 principes fondamentaux et comment les appliquer au quotidien dans une PME.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

La loi ne donne pas toujours une réponse précise à chaque situation de la vie quotidienne d'une PME. Faut-il demander la date de naissance d'un client pour une soumission? Combien de temps garder les CV non retenus? Peut-on partager un fichier d'adresses avec un sous-traitant? Les réponses ne sont pas dans un article de loi — elles se construisent à partir de principes fondamentaux qui servent de boussole décisionnelle. Les comprendre, c'est pouvoir trancher dans 80 % des situations qui se présentent.

Définition : à quoi servent les principes?

Les principes fondamentaux sont des repères qui guident les décisions en protection des renseignements personnels lorsque la loi ne donne pas de réponse explicite. Ils permettent de prendre des décisions raisonnables, cohérentes et justifiables.

En pratique, la conformité n'est pas une checklist à cocher — c'est une capacité de raisonnement. Quand une question se présente, les principes permettent de structurer la réflexion : l'information est-elle vraiment nécessaire? La finalité est-elle claire? Les mesures de sécurité sont-elles proportionnées au risque?

Les 6 principes appliqués au quotidien

  • Responsabilité — L'organisation est responsable des renseignements qu'elle détient, même lorsqu'un employé ou un sous-traitant les manipule. Pas de dilution possible.
  • Détermination des finalités — On sait pourquoi on collecte une information avant de la recueillir, et on l'explique à la personne concernée.
  • Limitation de la collecte — On demande uniquement ce qui est nécessaire aux finalités identifiées. Rien « au cas où ».
  • Proportionnalité — Les mesures de protection sont adaptées à la sensibilité des renseignements et à la nature des risques.
  • Sécurité — Les mesures techniques et organisationnelles protègent les renseignements contre les accès non autorisés, les pertes et les fuites.
  • Transparence — On explique clairement aux personnes concernées comment leurs renseignements sont utilisés et qui peut y accéder.

Ce que ça veut dire concrètement

Si les principes ne sont pas compris par votre équipe :

  • vos décisions dans les zones grises sont improvisées — chacun tranche selon son intuition ;
  • les pratiques deviennent incohérentes entre services et employés ;
  • votre capacité à démontrer la diligence en cas d'enquête est sérieusement compromise.

Dans la réalité des PME québécoises…

📋

Limitation : Un formulaire de soumission demande la date de naissance et le numéro d'assurance sociale du client « au cas où ». Ces informations ne sont pas nécessaires pour établir un prix de travaux — leur collecte enfreint le principe de limitation.

🎯

Finalités : Une adresse courriel collectée pour facturer un client se retrouve dans une liste d'envoi marketing. La finalité initiale (facturation) ne couvre pas la nouvelle utilisation (prospection) — un consentement distinct est requis.

🔒

Proportionnalité : Une liste de participants à une activité d'équipe et un registre médical d'employés ne nécessitent pas le même niveau de protection. La sécurité doit refléter la sensibilité réelle des renseignements.

Erreurs fréquentes à éviter

  • « On applique les principes comme une recette » — Les principes demandent du jugement, pas une application mécanique. Le contexte compte toujours.
  • « Un principe isolé peut tout justifier » — Invoquer la transparence pour publier n'importe quoi, ou la sécurité pour refuser tout partage, déforme l'esprit de la loi.
  • « On décide, on n'a pas besoin de documenter » — Une décision non documentée est invisible en cas d'enquête. Garder une trace simple (courriel, note) suffit souvent.
  • « On collecte large pour ne rien manquer » — La collecte « au cas où » est une violation claire du principe de limitation. Moins, c'est mieux.

Ce que la Loi 25 implique concrètement

Les principes ne sont pas des souhaits éthiques — ils sont ancrés dans la loi et se traduisent en obligations concrètes :

  • Avant toute collecte : documenter les finalités et les expliquer aux personnes concernées.
  • Pendant la collecte : se limiter au strict nécessaire et obtenir un consentement valide.
  • Pendant l'utilisation : respecter les finalités annoncées, ne pas dériver vers d'autres usages sans nouveau consentement.
  • Pour la sécurité : adapter les mesures à la sensibilité des renseignements et à la taille de l'organisation.
  • En continu : rendre les pratiques accessibles aux personnes concernées (politique, moyens de contact).

Cas réel simplifié

Un gestionnaire veut utiliser la liste clients pour une campagne marketing

  • aucune finalité marketing n'avait été prévue lors de la collecte initiale ;
  • aucun consentement distinct n'a été obtenu pour cette nouvelle utilisation ;
  • aucune réflexion documentée ne justifie la décision.

Résultat :

  • utilisation non conforme — violation des principes de finalité et de consentement ;
  • impossibilité de justifier la décision si un client se plaint à la CAI.

🧭 Comment utiliser les principes en 10 secondes

Avant de prendre une décision impliquant un renseignement personnel, posez-vous trois questions :

  • Est-ce que cette information est vraiment nécessaire?
  • Est-ce que la personne comprend pourquoi on l'utilise?
  • Est-ce que les protections sont proportionnées au risque?

Si une réponse est incertaine, il faut ralentir et valider avant de poursuivre.

Pourquoi c'est critique

Sans maîtrise des principes, les coûts s'accumulent :

  • Paralysie décisionnelle face aux situations nouvelles — chaque cas devient un arbitrage.
  • Inconsistance entre services — chacun applique sa propre logique, l'organisation n'a pas de pratique unifiée.
  • Difficulté à démontrer la diligence — sans documentation du raisonnement, aucune preuve face à la CAI.

En résumé

Définition : Les 6 principes fondamentaux (responsabilité, finalités, limitation, proportionnalité, sécurité, transparence) sont une boussole décisionnelle pour les situations où la loi ne donne pas de réponse explicite.

3 faits clés

  • La conformité est une capacité de raisonnement, pas une checklist
  • Un principe isolé ne justifie pas une pratique — il doit s'articuler avec les autres
  • Documenter les décisions prises au nom des principes démontre la diligence

👉 Action : Avant de collecter, d'utiliser ou de partager un renseignement, posez-vous la question : est-ce nécessaire, proportionné et expliqué?

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les principes de la Loi 25, leur application juridique et les obligations documentaires associées.

Principes de la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez hésité à l'une de ces questions,
il est probable que vos pratiques reposent sur des arbitrages individuels plutôt que sur une boussole commune — avec des risques d'incohérence et de non-conformité difficiles à détecter avant un incident.

Pas certain du niveau de maturité de vos pratiques?
Obtenez un bilan rapide de votre posture PRP en quelques minutes.

Évaluer mon niveau de risque →

Initier votre équipe aux bases de la protection des renseignements personnels

La formation d'initiation PRP d'une heure permet à vos employés de comprendre les concepts de base — reconnaissance d'un renseignement personnel, cadres juridiques applicables, cycle de vie des données, rôle du RPRP, gestion des incidents et prise de décision. Conçue pour les PME et entrepreneurs québécois — sans jargon juridique, avec des exemples tirés du terrain.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)