Sommaire
- Qu’est-ce qu’une politique de confidentialité?
- Importance de rédiger une politique de confidentialité: ne fermez pas les yeux 👀
- La recette de la politique de confidentialité parfaite
- 1) Identification de l’entreprise
- 2) Type de données que vous collectez
- 3) Utilisation des données
- 4) Mesures de sécurité
- 5) Transfert international des données collectées
- 6) Durée d’exploitation des renseignements personnels
- 7) Gestion des incidents de sécurité
- 8) Droits des utilisateurs
- 9) Liens de navigation externes
- 10) Mise à jour de votre politique de confidentialité
- Ingrédients bonus
- Les bonnes pratiques: une politique de confidentialité claire, lisible, publique
- Exemples de politiques de confidentialité
- Vous êtes prêts à rédiger votre politique de confidentialité!
On se souvient (un peu trop) bien de la fuite de Desjardins en 2019! 🫣
Rédiger une politique de confidentialité conforme, c’est un peu comme marcher sur des œufs… en talons hauts.
Au Québec, une entreprise peut écoper jusqu’à 35 M$ d’amendes dès sa première infraction à la Loi 25. Pas étonnant que tant d’entrepreneurs commencent à transpirer rien qu’à l’idée.
Cette politique, c’est un peu comme le générique de fin d’un film : on a tendance à l’ignorer… pourtant, c’est un élément INCONTOURNABLE (notamment si vous souhaitez vous mettre en conformité avec la loi 25 au Québec 😉)
C’est pourquoi notre agence loi 25 vous a préparé ce petit guide. Vous y trouverez une explication simple et actionnable pour créer une politique de confidentialité (conforme à la Loi 25, évidemment).
Et cerise sur le sundae: nous vous proposons aussi un exemple de politique de confidentialité 100% adaptable pour vous faciliter la vie.
Alors, prêt à devenir le Shakespeare de la politique de confidentialité ✍️?
Qu’est-ce qu’une politique de confidentialité?
Une politique de confidentialité est un document juridique qui explique comment une entreprise collecte, stocke, partage et gère les données personnelles de ses visiteurs.
Ce n’est pas seulement une formalité, c’est une obligation légale depuis la mise en application de nouvelles dispositions en 2023 de la loi 25 au Québec.
Cette dernière surveille les entreprises qui veulent profiter des données des gens sans leur consentement. Si vous voulez jongler avec les données de vos clients, vous devez donc vous conformer aux règles du jeu.
Quelles sont les données concernées par cette politique de confidentialité?
Lorsqu’on parle de politique de confidentialité, on pense souvent aux données personnelles comme les noms, adresse courriel et numéros de cellulaire.
Mais saviez-vous que cela inclut également des données collectées automatiquement, comme les habitudes de navigation, les pages visitées et les données de localisation? 🌐
Ces renseignements peuvent être ceux de vos clients, mais pas seulement! Vos fournisseurs, prospects, visiteurs, etc.
Oui, tout cela doit être couvert dans une politique de confidentialité conforme à la loi 25.
Qui doit se conformer à cette législation?
Vous souhaitez savoir si vous êtes concernés par la rédaction d’une politique de confidentialité?
Voici un tableau récapitulatif des questions à vous poser avant de vous lancer:
| Questions à vous poser pour savoir si vous devez rédiger une politique de confidentialité | Réponses |
|---|---|
| Un formulaire de contact est disponible sur votre site internet demandant le nom et le numéro de cellulaire pour être complété? | Oui/Non |
| Vous proposez à vos visiteurs de s’inscrire à votre infolettre en échange de leur adresse courriel? | Oui/Non |
| Vous demandez des informations personnelles à vos visiteurs s’ils souhaitent créer un compte? | Oui/Non |
| Vos clients remplissent leurs coordonnées avec leur adresse postale lorsqu’ils passent une commande sur votre site ou votre application? | Oui/Non |
| Vous utilisez Google Analytics pour suivre le comportement des visiteurs de votre site internet ou de votre application? | Oui/Non |
| Utilisez-vous des fichiers témoins (cookies) pour pour collecter des données sur les préférences des utilisateurs? | Oui/Non |
| Recueillez-vous des données sur l’emplacement géographique des utilisateurs? | Oui/Non |
Si vous avez répondu oui à au moins une de ces questions: pas de doute possible! Vous avez besoin de rédiger une politique de confidentialité pour vous conformer aux exigences légales de la loi 25.
En fait, toutes les organisations qui collectent ou traitent des données personnelles doivent rédiger et mettre en ligne une politique de confidentialité pour se conformer aux dernières modalités de la loi 25 depuis septembre 2023.
Qui doit rédiger votre politique de confidentialité?
Une politique de protection de la vie privée doit être rédigée ou révisée par un professionnel qualifié, tel qu’un juriste ou votre responsable de la protection des renseignements personnels (RPRP).
En effet, la politique doit être conforme aux lois et règlements en vigueur, et il est donc important de s’assurer que les termes utilisés sont exacts et juridiquement contraignants.
Un professionnel expérimenté avec une base juridique sera en mesure d’identifier les risques potentiels et de donner des conseils sur la meilleure façon de rédiger la politique de confidentialité de votre entreprise.
Nous pouvons vous aider à rédiger votre politique de confidentialité: contactez-nous ici.
Importance de rédiger une politique de confidentialité: ne fermez pas les yeux 👀
À quoi ça sert une politique de confidentialité?
Vous vous demandez peut-être: “Pourquoi, bon sang, j’aurais bien besoin d’une politique de confidentialité?”
Une politique de protection de la vie privée est importante pour toute organisation, car elle définit la manière dont vous protégez les données personnelles de vos utilisateurs et des autres parties prenantes en:
- Expliquant quelles informations personnelles sont collectées
- Témoignant de vos pratiques en matière du traitement des données à caractère personnel
- Mettant en lumière les droits des utilisateurs en matière de protection des données
Une politique de confidentialité montre les étapes qu’une entreprise suit pour protéger les informations des utilisateurs.
Elle aide ainsi les visiteurs à comprendre quelles données personnelles sont collectées par l’entreprise et ce qu’elle fait pour les protéger. Ainsi, chacun peut décider s’il souhaite donner ses informations à cette entreprise (ou pas).
Car sans transparence, les dégâts peuvent rapidement dépasser la simple perte de confiance. Une fuite de données peut faire boule de neige : bad buzz, plaintes, recours collectifs… et une réputation écornée pour longtemps (on pense tous à Desjardins, non?)
Risques de sanctions en l’absence de politique de confidentialité
Amendes salées, réputation écornée, actions en justice… les conséquences peuvent faire très mal.
On vous en parlait brièvement en intro : au Québec, la Loi 25 permet d’imposer jusqu’à 70 M $ d’amendes en cas de récidive.
Ignorer la nécessité d’une politique de confidentialité, c’est un peu comme jouer à la roulette russe avec votre entreprise 🎰
Bon… okay. On l’admet, les sanctions maximales n’ont pas encore été appliquées. Mais ce plafond existe et … mieux vaut ne pas être les premiers à le tester, croyez-nous.
Curieux de connaître les montants exacts ? Ne cherchez pas plus loin, on vous a tout résumé ici 👇
| Situation | Administrative | Pénale | Total cumulé |
|---|---|---|---|
| Infraction unique | jusqu’à 10 M $ (ou 2% du CA) | jusqu’à 25 M $ (ou 4% du CA) | jusqu’à 35 M $ (ou 6% du CA) |
| Récidive (cas multiple) | jusqu’à 20 M $ | jusqu’à 50 M $ | jusqu’à 70 M $ |
📌 Source : Loi sur la protection des renseignements personnels dans le secteur privé (articles 90.12 à 90.16)
Maintenant que vous savez pourquoi vous ne pouvez pas passer à côté d’une politique de confidentialité, il est l’heure d’apprendre à la rédiger en toute conformité avec la loi 25.
Quels sont les ingrédients de cette recette légale? ⬇️
La recette de la politique de confidentialité parfaite
Que doit contenir une politique de confidentialité conforme à la Loi 25? On vous liste tous les ingrédients ici:
1) Identification de l’entreprise
Présentez votre entreprise de manière claire et concise. Incluez le nom officiel et les coordonnées complètes et expliquez l’objectif de votre entreprise à travers cette politique de confidentialité.
Exemple de politique de confidentialité:
“L’objectif de cette politique de confidentialité est d’informer les utilisateurs de notre site www.monsite.ca des données personnelles que nous recueillons ainsi que de leur utilisation.
MonSite se conforme strictement à la loi 25 du Québec en matière de protection des données personnelles.
Cette politique de confidentialité détaille également notre engagement et les mesures prises pour garantir la sécurité de vos informations personnelles“
2) Type de données que vous collectez
Énumérez les types de données que vous collectez et les méthodes employées. Qu’il s’agisse de formulaires en ligne pour s’inscrire à votre infolettre, de coordonnées bancaires ou de la collecte d’adresse pour des achats sur votre boutique en ligne.
Par exemple:
“Lors de votre visite sur www.monsite.ca, nous collectons automatiquement des informations sur votre appareil et votre interaction avec notre site via l’outil Google Analytics.
Cela inclut les données suivantes:
- Adresse IP
- Lieu
- Détails matériels et logiciels
- Contenu que l’utilisateur consulte sur notre site
- Liens sur lesquels un utilisateur clique en allant sur le site
Données personnelles récoltées non automatiquement
Vos données personnelles sont collectées via:
- Formulaire de contact
- Formulaire de commande
- Création d’un compte
Cela inclut les données suivantes:
- Prénom
- Nom
- Adresse postale
- Date de naissance
- Âge
- Courriel
- Numéro de cellulaire
- Mot de passe de votre compte sur notre site
- Information de paiement”
3) Utilisation des données
Montrez comment vous utilisez les données personnelles collectées sur votre site internet ou votre application mobile.
Exemple de politique de confidentialité:
“Veuillez noter que nous ne collectons que les données qui nous aident à atteindre l’objectif énoncé dans cette politique de confidentialité. Nous ne recueillerons pas de données supplémentaires sans vous en informer au préalable.
Nous utilisons ces données pour:
- Exécuter des contrats
- Envoyer des offres promotionnelles et des communications ciblées via notre infolettre
- Faire des analyses statistiques pour améliorer le site
- Faire un suivi de commande
- Dans le cadre d’un protocole de sécurité des données“
4) Mesures de sécurité
Vous avez collecté des données, super! Mais comment les protégez-vous? 🛡️ C’est là que les mesures de sécurité entrent en jeu.
Votre politique de confidentialité doit détailler avec transparence les mesures prises pour protéger les données des utilisateurs.
Cela peut inclure des méthodes comme le cryptage, les pare-feu et les protocoles de sécurité.
Ne lésinez pas sur les détails, plus vous êtes transparent, plus vous gagnez la confiance des utilisateurs ✅
Exemple de politique de confidentialité:
“Vos données sont stockées dans un environnement sécurisé et contrôlé. MonSite utilise des protocoles SSL et des mesures de sécurité robustes avec double authentification pour prévenir tout accès non autorisé.
Nous nous engageons à ne pas vendre ou partager vos données avec des tiers sauf si la loi l’exige ou en cas de procédure judiciaire.
Nous pouvons divulguer à tout membre de notre organisation les données utilisateur dont il a raisonnablement besoin pour réaliser les objectifs énoncés dans la présente politique.“
5) Transfert international des données collectées
Mentionnez également si ces données sont transférées hors du Québec ou partagées avec des tiers.
Exemple de politique de confidentialité:
“Les données utilisateur peuvent être consultées, traitées ou collectées dans les pays suivants: Canada et France.”
6) Durée d’exploitation des renseignements personnels
La gestion des données ne se limite pas à leur collecte. Indiquez la durée pendant laquelle les données seront conservées, les conditions de leur suppression et les méthodes d’anonymisation.
Exemple de politique de confidentialité:
“Nous stockons les données personnelles pour une durée de 5 ans. Nous veillerons à ce que les utilisateurs soient avisés si leurs données sont conservées plus longtemps que cette durée. Vous pouvez nous contacter si vous souhaitez apporter des modifications, supprimer ou anonymiser vos données personnelles”.
7) Gestion des incidents de sécurité
Même avec les meilleures mesures de sécurité, les incidents peuvent survenir 🚨
Qu’il s’agisse de fuites de données ou de cyberattaques, votre politique de confidentialité doit détailler les procédures en place pour gérer ces incidents. Cela inclut la notification à la commission d’Accès à l’information du Québec et aux personnes concernées.
Par exemple:
“En cas de fuite de vos données personnelles, nous nous engageons à vous en tenir informé ainsi que la Commission d’Accès à l’Information du Québec.”
8) Droits des utilisateurs
L’un des piliers d’une politique de confidentialité solide est le respect des droits des utilisateurs 🙌
Ils doivent savoir comment accéder à leurs données, les rectifier et, si nécessaire, retirer leur consentement.
Votre politique doit donc inclure une section détaillée expliquant comment les utilisateurs peuvent exercer ces droits et vous contacter s’ils souhaitent modifier des informations relatives à leurs données personnelles.
Pour cela:
- Partagez les coordonnées de votre Responsable de la Protection des Renseignements Personnels
- Indiquez qui est responsable de la gestion des données au sein de votre entreprise et comment le contacter pour toute question relative à la protection des données
Exemple de politique de confidentialité:
“Si vous êtes résident du Québec, conformément à la loi 25, vous bénéficiez de droits spécifiques concernant vos données personnelles:
- Droit d’être informé
- Droit d’accès
- Droit à la rectification
- Droit à la portabilité des données
Vous avez le droit de vous opposer à l’utilisation de vos données et de les retirer. Pour exercer ces droits, contactez notre responsable de la protection des données personnelles. Voici ses coordonnées:
Adresse: 16 boulevard Jean Drapeau – H4G 1S6 Montréal
Courriel: michelle@monsite.ca
Téléphone: +1 000 0001 0006
Site web: https://monsite/contact
Droit d’accès et de rectification
Vous pouvez consulter, modifier ou supprimer vos données. Pour ce faire, utilisez les mêmes coordonnées mentionnées ci-dessus.
Consentement et retrait
Vous pouvez visiter notre site sans révéler votre identité. Cependant, certaines fonctionnalités nécessitent la collecte de données personnelles. Vous avez toujours le choix de ne pas fournir ces informations.“
Mineurs
La loi 25 précise que les personnes de moins de 14 ans sont considérées comme des mineurs aux fins de la collecte de données. Leurs renseignements personnels ne pourront donc pas être recueillis sans le consentement du titulaire de l’autorité parentale (ou du tuteur), sauf lorsque cette collecte sera manifestement au bénéfice du mineur.”
Indiquez que vous n’êtes pas responsable des politiques de confidentialité des entreprises vers lesquelles vous avez un lien.
Voici un exemple d’extrait de politique de confidentialité:
“Notre site peut contenir des liens vers d’autres sites internet. Nous ne sommes pas responsables de leurs pratiques de confidentialité.”
10) Mise à jour de votre politique de confidentialité
Concluez en indiquant la date de la dernière mise à jour de votre politique de confidentialité.
Exemple de politique de confidentialité:
“Notre politique de confidentialité a été mise à jour le 13/10/2023
Pour toute question relative à cette politique de confidentialité, vous pouvez nous contacter via cette adresse courriel: michelle@monsite.ca
En utilisant notre site www.monsite.ca, vous acceptez les termes de cette politique de confidentialité.”
Ingrédients bonus
Bien que facultatifs, les cookies et les technologies de suivi peuvent être mentionnés pour une transparence accrue.
En suivant cette recette étoilée, vous cuisinerez une politique de confidentialité robuste et conforme à la loi 25 ⭐⭐⭐⭐⭐
Bon appétit, et n’oubliez pas la cerise sur le gâteau: les bonnes pratiques pour rédiger une politique de confidentialité 🍒
Les bonnes pratiques: une politique de confidentialité claire, lisible, publique
Conforme ne veut pas dire compliquée. Juste bien pensée.
Voici 4 bonnes pratiques essentielles pour vous aider à rédiger une politique conforme à la Loi 25:
Allons les voir de plus près… 👀
Rédigez de manière claire et lisible ✅
Pas la peine de noyer le poisson dans 100 pages de textes. La politique de confidentialité doit être rédigée dans des termes simples et clairs.
Pensez facile d’accès ✅
Pour être conforme à la loi 25, votre politique de confidentialité doit être facilement accessible.
- Où placer la politique de confidentialité sur votre site web?
L’emplacement de votre politique de confidentialité sur votre site web n’est pas à prendre à la légère 📍
Idéalement, elle devrait être accessible depuis chaque page, souvent via un lien en bas de page. Cela maximise la visibilité et permet aux utilisateurs de trouver facilement les informations dont ils ont besoin.
- Où placer la politique de confidentialité dans votre application?
Dans une application mobile, la politique de confidentialité est idéalement placée dans le menu principal ou la section “Paramètres”. Pour une meilleure visibilité, envisagez de l’inclure également lors des étapes d’inscription ou de connexion.
Mettez à jour régulièrement votre politique de confidentialité ✅
La loi 25 évolue avec, par exemple, le droit à la portabilité des données qui a fait son apparition en 2024.
Pensez à consulter régulièrement les sites du gouvernement pour mettre à jour votre politique de confidentialité.
Faites appel à une ressource légale ✅
On le redit, mais rien ne vaut l’expertise d’une ressource légale pour vous permettre d’être sûr de rédiger une politique de confidentialité conforme à la loi 25.
Exemples de politiques de confidentialité
Vous avez les bonnes pratiques en tête, mais vous ne savez pas par où commencer ?
Quelques exemples de pratiques à éviter
Avant de vous dévoiler nos modèles de politiques conformes, mettons les points sur les i (et les barres sur les t) en commençant par ce que vous devez absolument éviter.
Voici quelques exemples concrets de pratiques qui enfreignent la Loi 25 :
- Si un resto en ligne garde des infos de carte sans le dire
- Si une PME utilise ChatGPT ou une IA qui garde des données de clients sans leur en parler
- Si un site ne donne pas l’option de dire “non” aux cookies et qu’il précoche les cases “j’accepte les cookies” involontairement
- Si un cabinet de marketing n’explique pas à ses clients qu’il utilise leurs données personnelles pour faire du reciblage publicitaire
- Si une boutique en ligne transfère ou vend les infos de ses clients à des partenaires commerciaux sans les aviser
- Si les données récoltées par une appli mobile ne sont pas sécurisées (par du cryptage, par exemple)
- Si une entreprise tech se fait hacker ou subit une fuite de données et n’en avise pas la CAI (Commission d’accès à l’information)
Maintenant que les pièges sont clairs, place aux solutions prêtes à l’emploi 👇
2 modèles de politique de confidentialité (conformes à la Loi 25)
Vous vous sentez un peu perdu au moment de rédiger votre politique de confidentialité? Pas de panique! On a un modèle pour vous (en fait, on en a même deux) 🎯
Ils sont spécialement conçus pour être conformes à la Loi 25, couvrant tous les éléments essentiels évoqués ci-dessus… de la collecte des données à la gestion des consentements.
C’est un (très) bon point de départ. Vous n’avez qu’à ajuster les critères en bleu en fonction de votre entreprise.
Voici les deux modèles qu’on vous propose :
- Téléchargez notre exemple de politique de confidentialité pour un site web
- Téléchargez notre exemple de politique de confidentialité pour une application
Vous êtes prêts à rédiger votre politique de confidentialité!
Ce guide complet vous a donné toutes les clés et les bonnes pratiques pour vous lancer dans la rédaction d’une politique de confidentialité conforme à la loi 25.
N’oubliez pas, la transparence et la conformité ne sont pas seulement des contraintes, mais des opportunités pour renforcer la confiance de vos visiteurs 🛡️
La loi 25, on connaît ça!
Nos experts en loi 25 sont là pour vous aider à rédiger une politique de confidentialité conforme à la loi 25 et accessible pour vos visiteurs. N’hésitez pas à nous contacter pour une consultation gratuite. Nous proposons un service complet de mise en conformité avec la loi 25.
