Que doit contenir une politique de confidentialitu00e9 Loi 25?

7 u00e9lu00e9ments obligatoires : (1) finalitu00e9s de la collecte, (2) moyens de collecte, (3) droits des utilisateurs, (4) tiers nommu00e9s explicitement, (5) transferts hors Quu00e9bec avec pays mentionnu00e9, (6) duru00e9es de conservation, (7) coordonnu00e9es du RPRP. Les formulations vagues sur les tiers sont une violation.

La politique de confidentialitu00e9 doit-elle u00eatre en franu00e7ais?

Oui. Pour les utilisateurs quu00e9bu00e9cois, elle doit u00eatre disponible en franu00e7ais, aussi complu00e8te que les autres versions. Une politique uniquement en anglais expose une organisation opu00e9rant au Quu00e9bec u00e0 des sanctions de la CAI.

u00c0 quelle fru00e9quence mettre u00e0 jour la politique de confidentialitu00e9?

u00c0 chaque modification substantielle : nouveau partenaire de donnu00e9es, nouvelle finalitu00e9, nouveau pays de traitement. Chaque mise u00e0 jour majeure doit u00eatre versionnu00e9e, archivu00e9e et du00e9clencher un re-consentement des utilisateurs qui avaient du00e9ju00e0 acceptu00e9 la version pru00e9cu00e9dente.

Peut-on utiliser une politique gu00e9nu00e9rique trouvu00e9e sur internet?

Non. La CAI est explicite : les politiques gu00e9nu00e9riques avec des formulations vagues constituent une violation. Les tiers doivent u00eatre nommu00e9s spu00e9cifiquement. Une politique non adaptu00e9e u00e0 vos pratiques ru00e9elles vous expose u00e0 des sanctions lors d'un audit.

14 min

Leçon 2.2 : Politique de confidentialité conforme à la Loi 25

Un document légalement contraignant, pas un formulaire générique

Depuis septembre 2023, toute organisation assujettie à la Loi 25 doit publier et maintenir une politique de confidentialité en termes simples et clairs. Les politiques génériques copiées d’internet sont une violation si elles ne reflètent pas vos pratiques réelles.

Les 7 éléments obligatoires

Finalités de la collecte : Pourquoi collectez-vous chaque type de données? (commandes, infolettres, amélioration du site). Chaque finalité doit être nommée.
Moyens de collecte : Comment? (formulaires, cookies, pixels). Nommez les outils spécifiques.
Droits des utilisateurs : Accès, rectification, effacement, portabilité, retrait du consentement, avec instructions pour les exercer.
Tiers nommés explicitement : La CAI interdit les formulations vagues. Nommez Stripe, Mailchimp, Google Analytics, etc.
Transferts hors Québec : Si des données vont hors Québec, divulguez le pays ou la région.
Durée de conservation : Combien de temps conservez-vous chaque catégorie de données?
Coordonnées du RPRP : Nom, titre, courriel, adresse postale.

« Certains partenaires de confiance » = violation. Les tiers doivent être nommés spécifiquement selon la CAI.

Langue et accessibilité

La politique doit être disponible en français pour les utilisateurs québécois. Une politique uniquement en anglais expose à des sanctions.

Contrôle de version et re-consentement

Chaque modification substantielle (nouveau partenaire, nouveau pays de traitement, nouvelle finalité) doit :

Être versionnée avec date d’entrée en vigueur.
Déclencher le re-affichage de la bannière pour forcer un nouveau consentement.
Être archivée pour démonstration devant la CAI.

SiteQC automatise la politique

SiteQC génère automatiquement la politique en détectant les scripts tiers actifs sur votre site. Elle est versionnée, synchronisée avec la bannière pour déclencher le re-consentement, et mise à jour quand un nouveau script est détecté. Tout est archivé pour la CAI.

Points clés

Obligatoire depuis septembre 2023.
7 éléments requis, tiers nommés explicitement (pas de formulations vagues).
Disponible en français.
Versionnée et déclenchant un re-consentement lors de modifications majeures.