Formation Site web · Module 2 · Guide pratique
Publier une politique qui reflète vraiment vos pratiques

Que doit contenir une politique de confidentialité de site web conforme à la Loi 25?

Une politique de confidentialité copiée d'un autre site, générée automatiquement ou laissée intacte depuis 2021 n'est pas conforme. Voici la structure exacte recommandée par la Commission d'accès à l'information, comment l'adapter à votre site et comment éviter les pièges fréquents.

Faire auditer mon site web Planifier la formation pour mon équipe →

Depuis le 22 septembre 2023, l'article 8.2 de la Loi 25 oblige toute entreprise qui recueille des renseignements personnels par un moyen technologique à publier une politique de confidentialité « rédigée en termes simples et clairs ». En pratique, la majorité des PME québécoises ont une politique — mais beaucoup sont des copies génériques, des versions générées automatiquement ou des textes hérités d'avant 2024 qui ne couvrent pas les nouvelles exigences. Une politique non conforme n'est pas un détail : c'est le document que la CAI consulte en premier lors d'une plainte ou d'une enquête.

Applicable à tout site web. Les exemples qui suivent illustrent un site WordPress, qui équipe la majorité des PME québécoises. Les principes s'appliquent à l'identique sur Wix, Squarespace, Shopify, Webflow ou un site sur mesure — c'est le contenu et l'accessibilité qui comptent, pas la technologie.

Définition

La politique de confidentialité publiée est le document accessible publiquement sur votre site web qui décrit comment votre organisation recueille, utilise, conserve, communique et protège les renseignements personnels. Elle doit refléter vos pratiques réelles — pas un modèle générique.

Les sections recommandées par la Commission d'accès à l'information

Le guide explicatif de la CAI publié en décembre 2023 liste le contenu attendu d'une politique conforme. Il n'existe pas de règlement obligatoire pour le secteur privé (contrairement au secteur public), mais la CAI considère ces sections comme le minimum raisonnable :

  • Identification — nom de l'entreprise, date d'entrée en vigueur, date de la dernière mise à jour
  • Moyens technologiques utilisés pour recueillir (formulaires, courriels, témoins/cookies, applications)
  • Tiers qui recueillent pour vous — fournisseurs de services, consultants, agences
  • Technologies d'identification, de localisation ou de profilage — mention + manière d'activer (désactivées par défaut)
  • Catégories de renseignements collectés avec exemples (identification, technique, financier, santé, biométrique)
  • Buts de la collecte formulés concrètement (« expédier les commandes », « gérer la facturation »)
  • Conséquences d'un refus de fournir certains renseignements
  • Personnes qui ont accès aux renseignements au sein de l'organisation
  • Transferts à d'autres organisations — renseignements concernés, buts, noms ou catégories, transfert hors Québec
  • Mesures de sécurité — brève description (physiques, technologiques, administratives)
  • Droits des personnes concernées (accès, rectification, plainte)
  • Coordonnées du RPRP — nom et titre + courriel ou autre voie de contact

Ce que ça veut dire concrètement

Si votre politique est incomplète :

  • Vous publiez un document qui dit moins que la loi exige — c'est en soi un signal de non-conformité visible.
  • Une plainte ou un audit commence par la lecture de la politique — l'absence d'une section devient le premier constat.
  • Vos visiteurs ne peuvent pas exercer leurs droits parce qu'ils ne savent pas comment, ni à qui s'adresser.

Ce que ça signifie concrètement pour un dirigeant

Si votre politique est générique ou désuète :

  • Vous engagez l'organisation sur des pratiques décrites dans la politique mais que personne ne contrôle réellement.
  • Un partenaire B2B qui consulte la politique avant de signer voit immédiatement qu'elle ne correspond pas à votre activité — perte de crédibilité.
  • La politique sert de référence à la CAI : si elle dit « nous ne partageons pas avec des tiers » et que Google Analytics est actif, le constat est immédiat.

Le risque n'est pas l'absence de politique — c'est l'écart entre la politique publiée et la réalité du site.

🎯 Diagnostic rapide : votre politique tient-elle la route?

Trois questions, sans la rouvrir devant un juriste :

  • La date de dernière mise à jour est-elle visible et postérieure à septembre 2023?
  • Chaque outil tiers actif sur votre site (Google Analytics, Mailchimp, plugins, formulaires) y est-il mentionné nommément?
  • Le nom et le courriel du RPRP y sont-ils, distincts du courriel général info@?

Si un seul élément manque, la politique est techniquement non conforme — peu importe la qualité du reste.

Dans la réalité des PME québécoises

📋 La politique est un copier-coller. Un modèle générique trouvé en ligne, ou la politique d'un concurrent, adaptée superficiellement avec le nom de l'organisation.

🗓️ Aucune date. La politique ne mentionne ni date d'entrée en vigueur ni date de dernière révision — impossible de prouver qu'elle est à jour.

🔍 Les outils tiers sont absents. Google Analytics, Mailchimp, Calendly, Tidio sont actifs sur le site mais aucun n'est nommé dans la politique. La CAI le voit en 30 secondes.

Cas réel simplifié

Une PME de services reçoit un appel d'un fournisseur potentiel important : « Avant de signer, on vérifie votre conformité PRP. Envoyez-nous votre politique. »

Contexte :

  • La politique date de 2022, héritée d'un ancien webmestre
  • Elle parle de « cookies » sans détail et ne mentionne aucun outil par son nom
  • Aucun RPRP n'est nommé — juste « contact@entreprise.com »
  • La date de dernière mise à jour est absente

Résultat :

  • Le fournisseur potentiel demande des précisions — l'organisation tarde à répondre
  • Le contrat est attribué à un concurrent dont la politique est plus claire
  • Aucune sanction de la CAI, mais une perte commerciale concrète

Une politique qui ne reflète pas la réalité ne rate pas seulement la conformité — elle rate aussi des contrats.

Quatre croyances erronées sur la politique de confidentialité

  • « On a une politique, on est en règle. » Faux. La conformité dépend du contenu et de son alignement avec la réalité du site, pas de la simple existence du document.
  • « Une politique générée automatiquement par un plugin suffit. » Faux. Ces générateurs produisent des textes plausibles mais ne connaissent pas vos outils, vos finalités, votre RPRP. Le résultat est générique par construction.
  • « Les conditions d'utilisation, c'est pareil que la politique. » Faux. La CAI distingue explicitement : politique de confidentialité, politique de gouvernance, formulaire de consentement et conditions d'utilisation sont quatre documents distincts qui ne doivent pas être fusionnés.
  • « Une politique de 2021 est encore bonne aujourd'hui. » Faux. La Loi 25 a déployé ses obligations en trois étapes (2022, 2023, 2024). Une politique d'avant septembre 2023 ne couvre pas l'article 8.2 ni les exigences récentes.

Une politique copiée d'un autre site est une politique qui ment — auditable comme telle.

Politique générique / Politique conforme

✗ Politique générique

  • Aucune date ou date d'avant 2023
  • « Nous utilisons des cookies » sans précisions
  • Aucun outil tiers nommé
  • RPRP absent ou caché derrière info@
  • Texte plausible mais inapplicable

✓ Politique conforme

  • Dates d'entrée en vigueur et de mise à jour visibles
  • Chaque type de témoin nommé avec sa finalité
  • Tous les outils tiers nommés + localisation
  • RPRP avec courriel dédié (rprp@…)
  • Texte fidèle aux pratiques réelles du site

Ce que la Loi 25 implique concrètement

  • Article 8.2 — Obligation de publier la politique sur le site, en termes simples et clairs, avec un avis pour toute modification.
  • Article 3.1 — Le titre et les coordonnées du RPRP doivent être publiés sur le site.
  • Article 3.2 — Les informations sur les politiques et pratiques de gouvernance doivent être publiées en termes simples et clairs.

La CAI précise que politique de confidentialité, politique de gouvernance, consentement et conditions d'utilisation sont quatre documents distincts. Les fusionner crée une confusion juridique — et signale un travail bâclé.

Pourquoi c'est critique

  • C'est le premier document que la CAI consulte. Avant tout, l'enquête commence par la lecture publique du site.
  • C'est ce que les partenaires B2B vérifient. Une politique générique signale un manque de maturité PRP.
  • C'est le miroir de votre cartographie. Une politique complète repose sur l'inventaire fait au module précédent — sans cartographie, la politique ment par omission.

Concrètement pour une PME

Sans politique adaptée et datée :

  • Chaque demande d'un partenaire B2B sur la conformité ralentit la signature
  • Chaque audit révèle des écarts immédiats entre le document publié et la réalité
  • Chaque mise à jour de la loi rend la version actuelle plus désuète sans que personne s'en rende compte

Le coût vient de la divergence — pas de la rédaction.

En résumé

Définition : la politique de confidentialité publiée est le document qui décrit honnêtement vos pratiques de collecte, conservation, communication et protection.

Trois faits clés :

  • Article 8.2 exige sa publication en termes simples et clairs depuis septembre 2023
  • Le guide CAI de décembre 2023 liste 12 sections attendues — c'est le minimum raisonnable
  • Une politique générique ou copiée n'est pas conforme, peu importe sa longueur

👉 Action : auditer la politique actuelle, la réécrire à partir de votre cartographie, la dater et l'aligner sur votre RPRP.

La rédaction du contenu juridique de la politique est traitée en profondeur dans la Formation Gouvernance PRP, module Politique de confidentialité. Ce module-ci se concentre sur la publication web : structure, accessibilité, lisibilité, lien avec le reste du site.

Pour aller plus loin

Articles précis 8.2, 3.1, 3.2, contenu CAI détaillé et erreurs stratégiques sur la politique publiée?

Voir les exigences légales →

Test rapide — votre politique reflète-t-elle votre site?

Trois questions pour évaluer votre situation.

Si non à une seule, votre politique présente probablement des écarts visibles depuis l'extérieur.

Faire auditer mon site web →

Maîtriser la conformité Loi 25 de votre site

La Formation Site web et Loi 25 couvre les sept obligations applicables à votre site — cartographie des collectes, politique de confidentialité, formulaires, outils tiers, cookies, données sensibles publiées, droits des visiteurs.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web