Conformité

Politique de confidentialité conforme à la Loi 25 : structure et exemple

11 juillet 2026
Xavier PeichPar Xavier Peich

Ce que la Loi 25 exige vraiment dans une politique de confidentialité, le squelette à adapter, et pourquoi un modèle RGPD copié de France échoue au Québec.

Politique de confidentialité conforme à la Loi 25 : structure et exemple

Cherchez « politique de confidentialité exemple » et vous trouverez des dizaines de modèles gratuits à copier-coller. La plupart sont écrits pour le RGPD, souvent pour des sites français. Installés tels quels sur un site québécois, ils donnent un document qui a l'air conforme, et qui ne l'est pas. Notre résumé des obligations de la Loi 25 pour les PME montre que la loi québécoise a sa propre logique ; la politique de confidentialité en est l'illustration la plus visible.

Depuis le 22 septembre 2023, publier une politique de confidentialité est une obligation légale dès que votre entreprise recueille des renseignements personnels par un moyen technologique. Un formulaire de contact suffit. Une adresse courriel de service à la clientèle aussi.

Cet article détaille ce que la loi exige de divulguer, propose un squelette à adapter, et clarifie la distinction que la plupart des PME manquent : la politique publiée n'est pas le seul document exigé.

La réponse courte, pour les pressés

Depuis le 22 septembre 2023, toute entreprise qui recueille des renseignements personnels par un moyen technologique (site web, formulaire, adresse courriel) doit publier une politique de confidentialité en termes simples et clairs : c'est l'article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, modifiée par la Loi 25. La politique doit divulguer ce que l'article 8 exige : les fins de la collecte, les moyens utilisés, les droits d'accès et de rectification, le droit de retirer son consentement, les tiers destinataires et la possibilité d'une communication à l'extérieur du Québec. S'y ajoutent le titre et les coordonnées du responsable de la protection des renseignements personnels (article 3.1) et, en cas de technologies d'identification, de localisation ou de profilage, l'information exigée par l'article 8.1, ces fonctions devant être désactivées par défaut. Ce document public est distinct des politiques de gouvernance internes exigées par l'article 3.2.

Une obligation depuis septembre 2023, avec des dents

L'exigence vient de l'article 8.2 de la loi : quiconque recueille des renseignements personnels par un moyen technologique doit publier sur son site une politique de confidentialité rédigée « en termes simples et clairs », et diffuser un avis pour chaque modification. Le guide explicatif de la Commission d'accès à l'information (CAI), publié en décembre 2023, cite comme exemples un site web, une application, ou simplement une adresse courriel.

Les plafonds de sanction sont surdimensionnés pour une PME : jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial en sanctions administratives pécuniaires (article 90.12), jusqu'à 25 millions ou 4 % au pénal (article 91). Personne n'imposera ces montants à une entreprise de douze employés. Mais l'omission d'informer les personnes conformément à l'article 8 figure parmi les manquements sanctionnables (article 90.1), et c'est le plus facile à constater : il suffit de visiter votre site.

Deux documents, pas un : la confusion la plus fréquente

La loi exige deux choses distinctes, que presque tous les modèles gratuits confondent.

La première, à l'article 3.2, ce sont les « politiques et pratiques de gouvernance » : un cadre interne qui prévoit les règles de conservation et de destruction des renseignements, les rôles et responsabilités de votre personnel tout au long de leur cycle de vie, et un processus de traitement des plaintes. Ce cadre doit être approuvé par votre responsable de la protection des renseignements personnels, être proportionné à vos activités, et des informations détaillées à son sujet doivent aussi être publiées sur votre site.

La seconde, à l'article 8.2, c'est la politique de confidentialité proprement dite : le document public qui informe les visiteurs de ce que vous recueillez et pourquoi.

Le guide de la CAI consacre une section entière à cette distinction. La politique de confidentialité s'adresse à vos visiteurs ; les politiques de gouvernance encadrent vos pratiques internes, y compris ce que vos employés font des renseignements, jusqu'aux outils d'IA qu'ils utilisent parfois sans vous le dire. Un modèle qui mélange les deux, ou ignore le second, ne remplit correctement aucune des deux.

Ce que la politique doit divulguer, point par point

L'article 8 dresse la liste : les fins de la collecte, les moyens utilisés, les droits d'accès et de rectification, le droit de retirer son consentement et, le cas échéant, les tiers pour qui la collecte est faite ou à qui les renseignements sont communiqués, et la possibilité qu'ils le soient à l'extérieur du Québec.

Précision très québécoise : « à l'extérieur du Québec » inclut le reste du Canada. Un fournisseur infonuagique dont les serveurs sont en Ontario déclenche l'article 17, qui exige une évaluation des facteurs relatifs à la vie privée avant la communication.

L'article 8 contient une seconde liste, à fournir « sur demande » : les renseignements recueillis, les catégories de personnes qui y ont accès dans l'entreprise, la durée de conservation, les coordonnées du responsable. Le guide de la CAI suggère de les inclure d'emblée : répondre à ces demandes une à une coûte plus cher que publier une fois.

L'article 3.1 exige par ailleurs, depuis septembre 2022, que le titre et les coordonnées de votre responsable figurent sur votre site. Par défaut, ce responsable est la plus haute autorité de l'entreprise : dans une PME, le président ou la présidente, sauf délégation écrite.

Enfin, si l'un de vos outils rend des décisions fondées exclusivement sur un traitement automatisé (un score de crédit, un tri de candidatures, certains agents IA), l'article 12.1 vous oblige à en informer la personne au plus tard au moment de la décision ; la politique est l'endroit naturel pour l'annoncer.

Témoins, analytique et profilage : ce que les bannières RGPD ne règlent pas

L'article 8.1 vise les technologies comprenant des fonctions permettant d'identifier une personne, de la localiser ou d'en effectuer un profilage. Si votre site en utilise, vous devez en informer la personne au préalable, avec les moyens offerts pour activer ces fonctions. Le guide de la CAI est explicite : elles doivent être désactivées par défaut.

La logique québécoise n'est donc pas celle de la bannière de témoins européenne. Le RGPD raisonne en consentement préalable au dépôt de témoins ; la loi québécoise raisonne en activation : les fonctions de profilage restent éteintes tant que la personne ne les allume pas. Détail curieux : l'article 9.1, qui impose la confidentialité maximale par défaut aux produits technologiques, exclut expressément les témoins de connexion ; l'article 8.1, lui, ne les exclut pas. Conséquence pratique : un outil d'analyse d'audience qui identifie ou profile les visiteurs exige une mécanique d'activation et une mention claire dans la politique. Un outil qui n'identifie, ne localise ni ne profile personne y échappe. C'est un argument sérieux en faveur de l'analytique sans témoins, celle que nous installons par défaut chez nos clients.

Pourquoi le modèle français copié-collé échoue

Un modèle RGPD, même bien rédigé, échoue au Québec sur au moins quatre points précis.

L'intérêt légitime n'existe pas ici. Les modèles européens justifient la moitié de leurs traitements par cette base légale du RGPD, sans équivalent au Québec : le régime repose sur le consentement et sur des exceptions précises. Chaque paragraphe qui invoque l'intérêt légitime décrit un traitement dont la base juridique reste à établir.

La géographie n'est pas la bonne. « Hors Union européenne » ne correspond à rien dans l'article 17 ; le seuil québécois se franchit dès la rivière des Outaouais, Toronto comprise.

Le DPO n'est pas le responsable. Le RGPD n'exige un délégué à la protection des données que dans des cas précis ; la loi québécoise désigne d'office la plus haute autorité de l'entreprise et exige la publication de son titre et de ses coordonnées.

Le recours n'est pas la CNIL. Une politique conforme pointe vers votre processus interne de traitement des plaintes, celui que l'article 3.2 vous oblige à avoir, et vers la Commission d'accès à l'information, pas vers une autorité française.

Ajoutez la portabilité, en vigueur au Québec depuis le 22 septembre 2024 et limitée aux renseignements recueillis auprès de la personne (pas ceux créés ou inférés), et le constat s'impose : adapter sérieusement un modèle RGPD demande plus de travail que rédiger une politique québécoise à partir de la bonne structure.

Le squelette à adapter

Voici la structure que nous utilisons, alignée sur l'article 8 et sur le guide de la CAI.

1. Qui nous sommes. Nom de l'entreprise, date d'entrée en vigueur de la politique, date de la dernière mise à jour.

2. Comment nous recueillons vos renseignements. Formulaires, courriels, infolettre, témoins ; les tiers qui recueillent pour vous (paiement, infolettre).

3. Ce que nous recueillons, et pourquoi. Catégories de renseignements et fins correspondantes ; les moyens offerts pour refuser certaines collectes et leurs conséquences.

4. Technologies de suivi. Témoins et outils d'analyse ; fonctions de profilage s'il y en a, désactivées par défaut, avec la manière de les activer.

5. Qui y a accès. Catégories de personnes à l'interne ; tiers destinataires ; communication éventuelle à l'extérieur du Québec.

6. Conservation et sécurité. Durées de conservation ; description sommaire des mesures de sécurité.

7. Vos droits. Accès, rectification, retrait du consentement, portabilité, plainte selon votre processus interne, avec la CAI en recours.

8. Responsable de la protection des renseignements personnels. Titre et coordonnées.

9. Modifications. Comment les changements seront annoncés, l'avis étant exigé par l'article 8.2.

C'est une structure, pas un texte à recopier : chaque section doit décrire vos pratiques réelles. Une politique qui promet des pratiques que vous n'avez pas est pire qu'une politique absente : elle documente l'écart.

Par où commencer

Le travail tient en trois étapes : inventorier ce que votre site recueille réellement (chaque formulaire, chaque outil tiers, chaque témoin), rédiger la politique à partir du squelette, puis mettre par écrit vos politiques de gouvernance pour que le processus de plainte annoncé existe vraiment. Pour un site simple, c'est quelques jours de travail, pas quelques mois.

Si vous préférez déléguer l'inventaire, on le mène régulièrement pour nos clients, en même temps que la refonte ou l'entretien de leur site.

→ Parlez-nous de votre site

Ce texte vulgarise des obligations légales pour aider une PME à poser les bonnes questions ; il ne constitue pas un avis juridique. Les textes de la Loi sur la protection des renseignements personnels dans le secteur privé et les positions de la Commission d'accès à l'information font foi : pour une situation particulière, consultez un juriste.

Xavier Peich

Écrit par

Xavier Peich