Rédiger une politique de confidentialité conforme à la Loi 25

Pourquoi votre politique de confidentialité est-elle insuffisante ?

La majorité des PME et OBNL québécois ont une politique de confidentialité sur leur site — mais peu d'entre elles sont réellement conformes à la Loi 25. Soit elles ont été copiées d'un modèle générique trouvé en ligne, soit elles ont été rédigées avant 2022 et n'ont jamais été mises à jour. La CAI est explicite : une politique de confidentialité conforme à la Loi 25 doit couvrir huit éléments précis.

Les 8 éléments obligatoires selon la CAI

1. Les catégories de renseignements personnels collectés

Listez clairement quels types de renseignements vous collectez : nom, prénom, adresse courriel, numéro de téléphone, adresse postale, adresse IP, informations de paiement, etc. Soyez précis — « vos données personnelles » ne suffit pas.

Exemple de formulation conforme : « Nous collectons les renseignements suivants via notre formulaire de contact : nom, prénom et adresse courriel. »

2. Les finalités de la collecte

Expliquez pourquoi vous collectez ces renseignements. La collecte doit être justifiée par une finalité légitime et précise. La collecte à des fins vagues comme « améliorer nos services » ne suffit pas.

Exemple : « Nous utilisons votre adresse courriel pour répondre à vos demandes de renseignements et, avec votre consentement, pour vous envoyer notre infolettre mensuelle. »

3. La durée de conservation

Indiquez combien de temps vous conservez les renseignements personnels. La Loi 25 exige que la conservation ne dure pas au-delà de ce qui est nécessaire pour les finalités déclarées.

Exemple : « Les renseignements transmis via notre formulaire de contact sont conservés pendant 24 mois, puis supprimés de nos systèmes. »

4. Les droits des personnes concernées

Expliquez les droits dont disposent vos visiteurs : droit d'accès à leurs renseignements, droit de rectification, droit de retrait du consentement, droit à la portabilité dans certains cas. Précisez comment exercer ces droits.

5. Les transferts à des tiers

Identifiez les principaux fournisseurs et partenaires qui reçoivent des renseignements de votre site : hébergeur, outil de formulaire, plateforme d'infolettre, outil de paiement, analytics. Si des données sont transmises à l'extérieur du Québec ou du Canada, vous devez le mentionner.

6. Les coordonnées du responsable

Indiquez le nom (ou le titre) et les coordonnées de la personne responsable de la protection des renseignements personnels au sein de votre organisation. Dans une PME, c'est souvent le dirigeant ou le directeur général.

7. Les mécanismes de plainte

Expliquez comment une personne peut porter plainte si elle estime que ses droits n'ont pas été respectés — auprès de votre organisation et, en dernier recours, auprès de la CAI.

8. Les cookies et témoins de connexion

Si votre site utilise des cookies, votre politique doit inclure une section dédiée qui liste les types de cookies utilisés (essentiels, analytiques, publicitaires), les outils correspondants (ex. : Google Analytics, Meta Pixel) et la façon dont l'utilisateur peut gérer ses préférences.

Ce que votre politique ne devrait pas faire

• Utiliser un texte générique qui ne reflète pas vos pratiques réelles
• Être inaccessible (page introuvable, lien brisé, absent du pied de page)
• Être rédigée uniquement en anglais
• Ne pas avoir été mise à jour depuis l'entrée en vigueur de la Loi 25

Conclusion

Une politique de confidentialité conforme à la Loi 25 n'est pas un document de 40 pages rédigé par un juriste — c'est un texte clair, honnête et à jour, qui reflète exactement ce que vous faites avec les données de vos visiteurs. Si vous n'êtes pas certain que la vôtre est à jour, un audit de votre site peut rapidement identifier les lacunes à corriger.