Formation Site web · Module 2 · Exigences légales
Articles applicables et contenu recommandé par la CAI

Politique de confidentialité publiée — Exigences Loi 25 Québec

L'article 8.2 de la Loi sur le privé impose la publication d'une politique de confidentialité « rédigée en termes simples et clairs » depuis le 22 septembre 2023. Voici les obligations précises, le contenu attendu par la CAI et les distinctions à respecter avec les autres documents.

Faire auditer mon site web Planifier la formation pour mon équipe →

Contexte légal

La publication d'une politique de confidentialité sur le site web est devenue une obligation explicite avec l'entrée en vigueur de l'article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) le 22 septembre 2023. D'autres obligations connexes s'y rattachent : publication des coordonnées du Responsable de la protection des renseignements personnels (article 3.1), publication d'informations sur les politiques et pratiques de gouvernance (article 3.2). L'ensemble forme la face publique de la conformité d'une organisation — celle que la CAI, les partenaires d'affaires et les visiteurs peuvent évaluer immédiatement.

Applicable à tout site web. Les obligations ci-dessous s'appliquent à toute entreprise québécoise qui recueille des renseignements personnels par un moyen technologique — peu importe la plateforme (WordPress, Wix, Squarespace, Shopify, Webflow ou site sur mesure). C'est l'activité de collecte qui crée l'obligation, pas la stack technique.

Ce que vous devez retenir — version dirigeant

  • Article 8.2 — publication obligatoire d'une politique de confidentialité « simple et claire » depuis sept. 2023.
  • Article 3.1 — coordonnées du RPRP publiées sur le site.
  • Article 3.2 — informations sur vos politiques et pratiques de gouvernance publiées de façon accessible.
  • La CAI distingue 4 documents : politique de confidentialité, politique de gouvernance, consentement, conditions d'utilisation. Les fusionner = non-conformité.

Ce que ça implique pour votre organisation

  • Si votre politique n'a pas été révisée depuis sept. 2023, elle ne couvre probablement pas l'art. 8.2.
  • Si elle n'inclut pas le contenu CAI, vous publiez un document plus faible que ce que la loi exige — visible publiquement.
  • Si elle est fusionnée avec les conditions d'utilisation, c'est un constat de non-conformité immédiat lors d'un audit.

Ce que ça signifie concrètement pour vous

  • Votre politique vous engage publiquement — un écart entre ce qu'elle dit et ce que le site fait est opposable à l'organisation.
  • La CAI commence ses constats par la lecture publique de votre site — la politique est le premier document examiné.
  • Vos partenaires B2B et donneurs d'ouvrage la consultent avant signature — une politique générique signale une organisation non gérée.

L'obligation existe. La politique aussi. C'est leur cohérence qui est absente — et qui fait le risque.

Définition légale et portée

La politique de confidentialité publiée est, au sens de la Loi 25, le document accessible publiquement qui informe les personnes concernées de la manière dont leurs renseignements personnels sont recueillis, utilisés, conservés, communiqués et protégés. L'article 8.2 exige qu'elle soit rédigée en termes simples et clairs et que toute modification fasse l'objet d'un avis également publié.

Cadre juridique applicable

Article 8.2 — Obligation centrale de publication

« La personne qui recueille par un moyen technologique des renseignements personnels doit publier sur le site Internet de l'entreprise, le cas échéant, et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Elle fait de même pour l'avis dont toute modification à cette politique doit faire l'objet. »

Implication : la simple existence du site déclenche l'obligation. La politique doit être rédigée pour le grand public — pas pour des juristes. Toute modification importante doit être annoncée.

Article 3.1 — Coordonnées du RPRP

« Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles par tout autre moyen approprié. »

Implication : le nom (ou au minimum le titre) et un moyen de contact dédié doivent figurer publiquement. Une adresse générique « info@ » ne respecte pas l'esprit de l'obligation, qui vise à offrir une voie de contact identifiable pour les questions de confidentialité.

Article 3.2 — Politiques et pratiques de gouvernance

« Des informations détaillées au sujet de ces politiques et de ces pratiques (...) sont, en termes simples et clairs, publiées sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendues accessibles par tout autre moyen approprié. »

Implication : un résumé public de votre gouvernance interne (rôles, responsabilités, processus, mesures de sécurité) doit être accessible. Cela peut être intégré à la politique de confidentialité ou faire l'objet d'une page distincte.

Contenu attendu selon le guide CAI

Le guide explicatif de la Commission d'accès à l'information (décembre 2023) liste le contenu d'une politique conforme. Bien qu'aucun règlement ne le rende obligatoire pour le secteur privé (contrairement au secteur public), la CAI considère ce contenu comme le minimum raisonnable — et c'est ce qui sera évalué en cas d'enquête.

  • Identification — nom de l'entreprise, date d'entrée en vigueur, date de la dernière mise à jour
  • Moyens technologiques de collecte — formulaires, courriels, témoins/cookies, applications, objets connectés
  • Tiers qui recueillent pour vous — fournisseurs, consultants, agences nommés ou par catégorie
  • Technologies d'identification, de localisation, de profilage — mention + manière d'activer (par défaut désactivées)
  • Catégories de renseignements collectés — avec exemples (identification, technique, financier, santé, biométrique, démographique)
  • Buts précis de la collecte — concrets et opérationnels (« expédier les commandes », « gérer la facturation », « répondre aux demandes »)
  • Mesures pour refuser certains renseignements et conséquences possibles
  • Personnes qui ont accès aux renseignements au sein de l'organisation
  • Transferts à d'autres organisations — renseignements concernés, buts, noms ou catégories de tiers, transferts hors Québec
  • Brève description des mesures de sécurité — physiques, technologiques, administratives
  • Droits des personnes concernées — accès, rectification, plainte
  • Coordonnées du RPRP — nom, titre, courriel ou autre voie dédiée

Exemples concrets pour une PME

Obligation : publier en termes simples et clairs (art. 8.2) → Exemple PME : au lieu de « Nous traitons vos données conformément aux exigences applicables », écrire « Nous gardons votre courriel pendant 12 mois après notre dernière communication, puis nous le supprimons ».

Obligation : mentionner les transferts hors Québec (CAI guide) → Exemple PME : « Pour la planification des rendez-vous, nous utilisons Calendly (États-Unis). Vos données sont traitées sur des serveurs américains pour cette finalité uniquement. »

Obligation : coordonnées du RPRP (art. 3.1) → Exemple PME : « Marie Tremblay, RPRP — rprp@entreprise.com — disponible pour toute question relative à vos renseignements personnels et pour traiter vos demandes d'accès dans les 30 jours. »

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations confondent ou fusionnent la politique de confidentialité avec les conditions d'utilisation, le formulaire de consentement et la politique de gouvernance.

Résultat :

  • Le visiteur ne sait plus quel document encadre ses droits
  • La politique noyée dans des CGU devient juridiquement ambiguë
  • La CAI distingue explicitement ces 4 documents — leur fusion est un constat de non-conformité immédiat
  • Une « politique de confidentialité » qui parle de litiges, de juridiction et de propriété intellectuelle n'est pas une politique de confidentialité

Une politique fusionnée n'est pas un document — c'est un signal de désorganisation visible publiquement.

Deux réalités possibles

✗ Politique défaillante

  • Document hérité, non daté
  • Sections CAI partiellement absentes
  • Outils tiers non nommés
  • RPRP indéterminé ou caché
  • Fusion avec conditions d'utilisation

✓ Politique conforme

  • Datée, révisée annuellement
  • 12 sections CAI présentes
  • Chaque outil tiers nommé + localisation
  • RPRP nommé avec courriel dédié
  • Document distinct des CGU

Exemples d'application concrète

Politique courte vs. politique exhaustive

La Loi 25 n'impose pas une longueur. Une politique de 1 200 mots bien structurée pour une PME de 10 employés peut être plus conforme qu'une politique de 8 000 mots pour la même organisation. Le critère est la cohérence avec la réalité, pas le volume de texte.

Avis de modification

L'article 8.2 exige un avis pour toute modification de la politique. En pratique, cela peut être un encart en haut de la politique pendant 60-90 jours après le changement, une mention dans l'infolettre ou une notification courriel aux clients existants. La diligence consiste à laisser une trace visible que la politique a évolué.

Termes simples et clairs

L'article 8.2 exige une rédaction « en termes simples et clairs ». Le guide CAI conseille : phrases courtes, idée principale en début de paragraphe, écrire au « vous » et au « nous », tester la lisibilité auprès du public cible. Une politique remplie de jargon juridique peut être techniquement complète mais légalement non conforme à l'exigence de clarté.

Risques en cas de non-conformité

Sanctions juridiques

  • Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
  • Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
  • Ordonnance de la CAI — obligation de publier ou de corriger la politique dans un délai prescrit
  • Action privée — d'un visiteur ayant subi un préjudice du fait d'une politique trompeuse ou absente
  • Impact réputationnel — les décisions de la CAI sont publiques et nomment l'organisation

Coûts opérationnels

  • Réécriture sous pression d'une politique en cas de demande d'un partenaire B2B
  • Mobilisation simultanée du dirigeant, du webmestre et d'un consultant externe
  • Communication aux clients existants pour expliquer un changement de politique
  • Pertes commerciales B2B avec des donneurs d'ouvrage qui exigent une preuve de conformité PRP
  • Temps perdu à expliquer des incohérences entre le texte publié et la réalité du site

Une politique cohérente avec la réalité réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Une politique défaillante :

  • Donne une mauvaise première impression à chaque partenaire B2B qui la consulte
  • Ouvre la voie à des constats immédiats lors d'un audit ou d'une plainte
  • Engage l'organisation sur des pratiques non maîtrisées

Le coût vient de la divergence entre la politique et la réalité — pas du fait de publier une politique.

Lien avec la gouvernance PRP

La rédaction du contenu juridique de la politique relève de la gouvernance interne — sujet abordé dans la Formation Gouvernance PRP, module Politique de confidentialité. Ce module-ci se concentre sur la publication web : où l'afficher, comment la lier au reste du site, comment la rendre lisible et accessible, comment la maintenir à jour. La politique publiée est le miroir public de la politique interne — elle ne peut pas la dépasser, mais elle peut être plus simple sans la trahir.

🛡️ Diagnostic rapide

Trois questions pour évaluer votre conformité :

  • Votre politique inclut-elle toutes les sections recommandées par le guide CAI de décembre 2023?
  • Est-elle distincte (et non fusionnée) des conditions d'utilisation et du formulaire de consentement?
  • Mentionne-t-elle nommément chaque outil tiers actif sur votre site avec sa localisation?

Si non à une seule, vous êtes probablement en non-conformité avec l'article 8.2 ou avec les attentes de la CAI.

Faire auditer mon site web →

Concrètement

  • Vos obligations existent dès qu'un seul renseignement personnel est collecté par un moyen technologique.
  • Mais une politique générique ne respecte pas ces obligations — elle les masque.
  • Ce qui transforme la situation théorique en exposition réelle, c'est la première lecture par un partenaire, un visiteur ou la CAI.

La Formation Site web et Loi 25 traite ce module après la cartographie parce que la politique repose sur l'inventaire fait au module 1. Sans cartographie, la politique ne peut être qu'incomplète.

En résumé

  • Article 8.2 (en vigueur depuis sept. 2023) — politique simple et claire publiée sur le site.
  • Articles 3.1 et 3.2 — coordonnées du RPRP et infos sur la gouvernance publiées.
  • Le guide CAI de décembre 2023 liste 12 sections — c'est le minimum raisonnable.
  • Politique de confidentialité, gouvernance, consentement et conditions d'utilisation = 4 documents distincts.

Pour la version pratique

Comment publier concrètement une politique de confidentialité conforme à votre site (WordPress, Wix, Shopify ou autre)?

Voir le guide pratique →

Évaluer la conformité publique de votre site

L'audit de visibilité publique Loi 25 vérifie l'alignement entre votre politique publiée et la réalité observable du site, identifie les écarts et produit un rapport opposable.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.