auditloi25.ca
Documents légaux · Loi 25

Politique de confidentialité Québec : modèle gratuit conforme à la Loi 25 (2026)

Depuis septembre 2023, toute organisation qui collecte des renseignements personnels sur des résidents du Québec doit afficher une politique de confidentialité conforme à la Loi 25. Pourtant, la majorité des PME québécoises publient encore des textes génériques copiés d'un modèle anglophone — incomplets, parfois trompeurs, et exposés à des sanctions de la CAI.

7 min de lecture

Pourquoi votre politique actuelle est probablement insuffisante

La Loi 25 a introduit des obligations substantiellement plus strictes que ce que la plupart des organisations appliquaient avant 2023. Le problème principal : les modèles disponibles gratuitement en ligne ont été rédigés avant l'entrée en vigueur de la loi, ou reprennent des exigences du RGPD européen qui ne correspondent pas exactement au cadre québécois.

Votre politique peut sembler complète tout en étant non conforme sur plusieurs points critiques. La CAI a identifié trois catégories prioritaires dans ses contrôles : les professionnels de santé, les détaillants en ligne, et les services financiers.

Les 7 éléments obligatoires selon la CAI

1

Les finalités de la collecte

Votre politique doit expliquer pourquoi vous collectez chaque type de renseignement. Une formulation vague comme « pour améliorer nos services » ne suffit pas. Vous devez nommer chaque finalité spécifiquement : prise de rendez-vous, envoi d'infolettres, facturation, statistiques de fréquentation.

Exemple attendu par la CAI : « Les renseignements collectés via notre formulaire de contact (nom, adresse courriel) sont utilisés exclusivement pour répondre à votre demande et ne sont pas conservés au-delà de 12 mois. »

2

La durée de conservation

Vous devez indiquer combien de temps chaque catégorie de données est conservée. Pas de durée par défaut, pas de « jusqu'à ce que vous demandiez la suppression » sans précision. La durée doit être justifiée par la finalité déclarée.

3

Les droits des personnes concernées

La Loi 25 garantit à toute personne le droit d'accéder à ses renseignements, de les corriger, de les faire supprimer et de retirer son consentement. Votre politique doit expliquer comment exercer chacun de ces droits, avec un délai de réponse maximum de 30 jours.

4

Les coordonnées du responsable de la protection (RPRP)

Depuis septembre 2023, toute organisation doit désigner un RPRP et rendre son identité publiquement accessible. Ce peut être le propriétaire, un employé désigné, ou un prestataire externe. Son nom (ou titre) et ses coordonnées doivent figurer dans votre politique.

5

Les transferts hors Québec

Si vous utilisez des outils qui transfèrent des données hors du Québec (Google Analytics hébergé aux États-Unis, CRM européen, etc.), vous devez le déclarer explicitement. La Loi 25 exige une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout transfert vers un pays n'offrant pas un niveau de protection adéquat.

6

Les formulaires et données sensibles

Chaque formulaire de collecte (contact, prise de rendez-vous, inscription) doit renvoyer vers votre politique ou contenir une mention de consentement explicite. Pour les données sensibles (santé, opinions, finances), le consentement doit être exprès — une case à cocher, pas une mention en pied de page.

7

La mise à jour et le versionnage

Votre politique doit indiquer la date de sa dernière mise à jour. En cas de modification substantielle, vous avez l'obligation d'en informer les personnes concernées avant que la modification prenne effet.

Modèle de politique de confidentialité pour PME québécoise

Voici un modèle de base que vous pouvez adapter. Il couvre les exigences minimales de la Loi 25 pour une organisation sans données sensibles. Remplacez les éléments entre crochets.

Politique de confidentialité de [Nom de l'organisation]

Dernière mise à jour : [date]

1. Renseignements collectés

Nous collectons les renseignements suivants : [liste]. Ces renseignements sont collectés dans les buts suivants : [finalités].

2. Durée de conservation

Les renseignements collectés sont conservés pendant [durée] puis détruits de façon sécuritaire.

3. Partage des renseignements

Nous ne vendons pas vos renseignements personnels. Ils peuvent être partagés avec [liste des sous-traitants] dans le cadre de la prestation de nos services. Ces prestataires sont contractuellement tenus de les protéger.

4. Transferts hors Québec

Certains de nos outils (ex. : Google Analytics, Mailchimp) hébergent des données aux États-Unis. Une évaluation des facteurs relatifs à la vie privée a été réalisée conformément à la Loi 25.

5. Vos droits

Vous pouvez accéder à vos renseignements, les corriger ou demander leur suppression en contactant notre responsable de la protection : [Nom], [courriel], [téléphone]. Délai de réponse : 30 jours maximum.

6. Cookies et traceurs

Notre site utilise des cookies. Vous pouvez gérer vos préférences via notre bannière de consentement ou les paramètres de votre navigateur.

Les 5 erreurs qui rendent une politique non conforme

Copier-coller un modèle RGPD

Le RGPD et la Loi 25 partagent des principes, mais les obligations précises diffèrent. Le RPRP est propre à la Loi 25, l'EFVP aussi. Un modèle européen ne couvre pas vos obligations québécoises.

Ne pas mentionner Google Analytics

Tout outil de mesure d'audience qui transfère des données hors Québec doit être déclaré. C'est l'un des points les plus contrôlés par la CAI.

Finalités trop vagues

« Améliorer nos services » ou « à des fins commerciales » ne satisfont pas l'exigence de spécificité de la Loi 25.

Pas de RPRP nommé

L'absence de responsable identifié est une violation directe de l'art. 3.1 de la Loi 25, sanctionnable même sans plainte déposée.

Politique non mise à jour depuis 2022

Si votre politique date d'avant septembre 2023, elle ne peut pas être conforme à la version actuelle de la loi.

Ce que l'audit couvre pour votre politique

  • Présence et accessibilité de la politique depuis toutes les pages
  • Les 7 éléments obligatoires : finalités, durée de conservation, droits, RPRP, transferts hors Québec
  • Cohérence entre les outils actifs sur votre site et les déclarations de la politique
  • Date de mise à jour et conformité post-septembre 2023

Vérifiez la conformité de votre site maintenant

Notre scanner analyse votre site en 30 secondes et détecte les non-conformités les plus fréquentes : cookies sans consentement, politique absente, RPRP manquant. Gratuit, sans inscription.

Vérifier mon site gratuitement

Résultats instantanés · Sans engagement · Aucune carte requise

Audit complet à 99 $ CAD — rapport PDF sous 48h →
Retour à l'accueilChecklist Loi 25 pour votre site →
Obtenir mon pré-audit gratuit →