Politique de confidentialité: Ce qu’elle doit contenir en 2025

Votre politique de confidentialité n’est plus un simple document juridique que personne ne lit. Avec la Loi 25 au Québec, elle devient un outil de transparence obligatoire qui peut vous coûter cher si elle est incomplète ou absente.

Pourquoi c’est maintenant obligatoire

La Loi 25 exige que toute entreprise qui collecte des renseignements personnels publie une politique de confidentialité qui soit:

• Rédigée en termes simples et clairs
• Facilement accessible (pas cachée au fond du site)
• À jour et reflétant vos pratiques réelles

Les sanctions pour non-conformité peuvent atteindre 10 millions de dollars ou 2% de votre chiffre d’affaires mondial.

Les 10 éléments obligatoires

1. Coordonnées du responsable de la protection des renseignements

Qui est responsable dans votre entreprise? Cette personne doit être identifiable:

Responsable: Marie Tremblay
Courriel: confidentialite@votreentreprise.com
Téléphone: 514-555-1234

Par défaut, c’est la personne ayant la plus haute autorité (PDG, propriétaire).

2. Types de renseignements collectés

Soyez spécifique sur ce que vous collectez:

• Informations d’identification
• Nom, prénom
• Adresse postale
• Numéro de téléphone
• Adresse courriel

• Informations techniques
• Adresse IP
• Type de navigateur
• Pages visitées
• Durée des visites

• Informations transactionnelles
• Historique d’achats
• Mode de paiement (sans les numéros complets)

3. Finalités de la collecte (le « pourquoi »)

Expliquez clairement pourquoi vous collectez chaque type de donnée:

4. Moyens de collecte (le « comment »)

• Formulaires sur le site web
• Création de compte
• Processus de commande
• Témoins de navigation (cookies)
• Communications par courriel
• Appels téléphoniques

5. Droits des individus

Les personnes dont vous collectez les données ont des droits. Expliquez-les clairement:

Droit d’accès
Vous pouvez demander à consulter tous les renseignements que nous détenons sur vous.

Droit de rectification
Vous pouvez faire corriger toute information inexacte ou incomplète.

Droit à l’effacement
Vous pouvez demander la suppression de vos renseignements personnels, sous réserve de nos obligations légales.

Droit de retrait du consentement
Vous pouvez retirer votre consentement à tout moment.

Droit à la portabilité (depuis septembre 2024)
Vous pouvez obtenir vos données dans un format technologique structuré et couramment utilisé.

6. Comment exercer ces droits

Fournissez une procédure simple:

• « `
• Pour exercer vos droits, contactez-nous:
• Par courriel: confidentialite@votreentreprise.com
• Par courrier: 123 rue Exemple, Montréal, QC H1A 1A1

Nous répondrons dans un délai de 30 jours.
« `

7. Partage avec des tiers

Identifiez les catégories de tiers avec qui vous partagez les données:

• Fournisseurs de services: hébergement, paiement, livraison
• Partenaires marketing: uniquement avec consentement
• Autorités légales: si requis par la loi

Nommez les types de services, pas nécessairement les entreprises spécifiques (qui peuvent changer).

8. Transferts hors Québec

Si des données sont traitées à l’extérieur du Québec:

Certaines données peuvent être hébergées sur des serveurs situés
aux États-Unis (Amazon Web Services). Nous nous assurons que ces
fournisseurs offrent un niveau de protection adéquat conformément
à la Loi 25.

9. Durée de conservation

Indiquez combien de temps vous gardez les données:

10. Mesures de sécurité

Décrivez les mesures en place (sans révéler de détails exploitables):

• Chiffrement des données en transit (HTTPS)
• Accès restreint aux employés autorisés
• Authentification à deux facteurs
• Sauvegardes régulières
• Surveillance des accès

Éléments additionnels recommandés

Utilisation des témoins (cookies)

Détaillez les types de cookies utilisés:

• Cookies essentiels (pas de consentement requis)
• Session utilisateur
• Panier d’achat
• Sécurité

• Cookies analytiques (consentement requis)
• Google Analytics
• Mesure de performance

• Cookies marketing (consentement requis)
• Publicité ciblée
• Réseaux sociaux

Processus en cas d’incident

Expliquez brièvement ce qui se passe si vos données sont compromises:

En cas d'incident de confidentialité présentant un risque sérieux
de préjudice, nous vous en informerons dans les meilleurs délais
et prendrons les mesures nécessaires pour limiter les conséquences.

Date de mise à jour

Toujours inclure:

Dernière mise à jour: 28 janvier 2025

Ce qu’il faut éviter

Le jargon juridique excessif

Mauvais exemple:
> « Les données personnelles susmentionnées seront traitées conformément aux dispositions législatives applicables en la matière… »

Bon exemple:
> « Nous utilisons vos informations uniquement pour les raisons décrites ci-dessous. »

Les formulations vagues

Mauvais exemple:
> « Nous pouvons partager vos données avec des partenaires sélectionnés. »

Bon exemple:
> « Nous partageons votre adresse uniquement avec notre transporteur (Postes Canada ou Purolator) pour livrer vos commandes. »

Les politiques copiées-collées

• Une politique générique trouvée sur Internet:
• Ne reflète pas vos pratiques réelles
• Peut contenir des inexactitudes
• Démontre un manque de sérieux

Où et comment publier

Emplacement sur le site

• Lien dans le pied de page (obligatoire)
• Lien avant chaque formulaire de collecte
• Accessible en un maximum de 2 clics depuis toute page

Format recommandé

• Page HTML dédiée (pas un PDF)
• Table des matières cliquable
• Sections claires avec titres
• Version imprimable disponible

Accessibilité

• Taille de police lisible
• Contraste suffisant
• Compatible avec les lecteurs d’écran

Modèle de structure

POLITIQUE DE CONFIDENTIALITÉ
Dernière mise à jour: [DATE]

1. INTRODUCTION
2. – Qui sommes-nous
3. – Notre engagement

1. RESPONSABLE DE LA PROTECTION
2. – Nom et coordonnées

1. RENSEIGNEMENTS COLLECTÉS
2. – Types de données
3. – Moyens de collecte

1. UTILISATION DES RENSEIGNEMENTS
2. – Finalités
3. – Base juridique

1. PARTAGE DES RENSEIGNEMENTS
2. – Catégories de tiers
3. – Transferts hors Québec

1. CONSERVATION
2. – Durées par type de donnée

1. SÉCURITÉ
2. – Mesures en place

1. VOS DROITS
2. – Liste des droits
3. – Comment les exercer

1. TÉMOINS DE NAVIGATION (COOKIES)
2. – Types utilisés
3. – Gestion des préférences

1. MODIFICATIONS
2. – Comment vous serez informé

1. CONTACT
2. – Coordonnées complètes
3. « `

Révision et mise à jour

Révisez votre politique:

• Annuellement au minimum
• À chaque changement de pratique de collecte
• Lors de l’ajout de nouveaux services tiers
• Après un incident de confidentialité

Documentez les changements et informez vos utilisateurs des modifications significatives.

Conclusion

Votre politique de confidentialité est le reflet de votre engagement envers vos clients. Une politique claire, honnête et à jour renforce la confiance et démontre votre professionnalisme — en plus de vous protéger légalement.

Prenez le temps de la rédiger correctement. Vos clients (et la Commission d’accès à l’information) vous remercieront.

---

Votre site web a-t-il tous les éléments requis? Vérifiez sa conformité à la Loi 25 gratuitement.