On se souvient (un peu trop) bien de la fuite de Desjardins en 2019! 🫣

Rédiger une politique de confidentialité conforme, c’est un peu comme marcher sur des œufs… en talons hauts. 

Au Québec, une entreprise peut écoper jusqu’à 35 M$ d’amendes dès sa première infraction à la Loi 25. Pas étonnant que tant d’entrepreneurs commencent à transpirer rien qu’à l’idée.

Cette politique, c’est un peu comme le générique de fin d’un film : on a tendance à l’ignorer… pourtant, c’est un élément INCONTOURNABLE (notamment si vous souhaitez vous mettre en conformité avec la loi 25 au Québec 😉) 

C’est pourquoi notre agence loi 25 vous a préparé ce petit guide. Vous y trouverez une explication simple et actionnable pour créer une politique de confidentialité (conforme à la Loi 25, évidemment).

Et cerise sur le sundae: nous vous proposons aussi un exemple de politique de confidentialité 100% adaptable pour vous faciliter la vie.

Alors, prêt à devenir le Shakespeare de la politique de confidentialité ✍️?

Rédiger une politique de confidentialité

Qu’est-ce qu’une politique de confidentialité?

Une politique de confidentialité est un document juridique qui explique comment une entreprise collecte, stocke, partage et gère les données personnelles de ses visiteurs.

Définition d'une politique de confidentialité: document juridique qui explique comment une entité collecte utilise et protège les informations personnelles de ses visiteurs.

Ce n’est pas seulement une formalité, c’est une obligation légale depuis la mise en application de nouvelles dispositions en 2023 de la loi 25 au Québec.

Cette dernière surveille les entreprises qui veulent profiter des données des gens sans leur consentement. Si vous voulez jongler avec les données de vos clients, vous devez donc vous conformer aux règles du jeu.

Quelles sont les données concernées par cette politique de confidentialité?

Lorsqu’on parle de politique de confidentialité, on pense souvent aux données personnelles comme les noms, adresse courriel et numéros de cellulaire.

Liste des données personnelles à inclure dans une politique de confidentialité

Mais saviez-vous que cela inclut également des données collectées automatiquement, comme les habitudes de navigation, les pages visitées et les données de localisation? 🌐

Meme sur les données personnelles avec une politique de confidentialité conforme à la loi 25

Ces renseignements peuvent être ceux de vos clients, mais pas seulement! Vos fournisseurs, prospects, visiteurs, etc.

Oui, tout cela doit être couvert dans une politique de confidentialité conforme à la loi 25.

Qui doit se conformer à cette législation?

Vous souhaitez savoir si vous êtes concernés par la rédaction d’une politique de confidentialité? 

Voici un tableau récapitulatif des questions à vous poser avant de vous lancer:

Questions à vous poser pour savoir si vous devez rédiger une politique de confidentialitéRéponses
Un formulaire de contact est disponible sur votre site internet demandant le nom et le numéro de cellulaire pour être complété?Oui/Non
Vous proposez à vos visiteurs de s’inscrire à votre infolettre en échange de leur adresse courriel?Oui/Non
Vous demandez des informations personnelles à vos visiteurs s’ils souhaitent créer un compte?Oui/Non
Vos clients remplissent leurs coordonnées avec leur adresse postale lorsqu’ils passent une commande sur votre site ou votre application?Oui/Non
Vous utilisez Google Analytics pour suivre le comportement des visiteurs de votre site internet ou de votre application?Oui/Non
Utilisez-vous des fichiers témoins (cookies) pour pour collecter des données sur les préférences des utilisateurs?Oui/Non
Recueillez-vous des données sur l’emplacement géographique des utilisateurs?Oui/Non

Si vous avez répondu oui à au moins une de ces questions: pas de doute possible! Vous avez besoin de rédiger une politique de confidentialité pour vous conformer aux exigences légales de la loi 25. 

En fait, toutes les organisations qui collectent ou traitent des données personnelles doivent rédiger et mettre en ligne une politique de confidentialité pour se conformer aux dernières modalités de la loi 25 depuis septembre 2023.

Qui doit rédiger votre politique de confidentialité?

Une politique de protection de la vie privée doit être rédigée ou révisée par un professionnel qualifié, tel qu’un juriste ou votre responsable de la protection des renseignements personnels (RPRP)

En effet, la politique doit être conforme aux lois et règlements en vigueur, et il est donc important de s’assurer que les termes utilisés sont exacts et juridiquement contraignants.

Un professionnel expérimenté avec une base juridique sera en mesure d’identifier les risques potentiels et de donner des conseils sur la meilleure façon de rédiger la politique de confidentialité de votre entreprise. 

Nous pouvons vous aider à rédiger votre politique de confidentialité: contactez-nous ici

Importance de rédiger une politique de confidentialité: ne fermez pas les yeux 👀

À quoi ça sert une politique de confidentialité?

Vous vous demandez peut-être: “Pourquoi, bon sang, j’aurais bien besoin d’une politique de confidentialité?”

Une politique de protection de la vie privée est importante pour toute organisation, car elle définit la manière dont vous protégez les données personnelles de vos utilisateurs et des autres parties prenantes en:

  • Expliquant quelles informations personnelles sont collectées
  • Témoignant de vos pratiques en matière du traitement des données à caractère personnel
  • Mettant en lumière les droits des utilisateurs en matière de protection des données

Une politique de confidentialité montre les étapes qu’une entreprise suit pour protéger les informations des utilisateurs.

Protections de la vie privée des utilisateurs en rédigeant une politique de confidentialité

Elle aide ainsi les visiteurs à comprendre quelles données personnelles sont collectées par l’entreprise et ce qu’elle fait pour les protéger. Ainsi, chacun peut décider s’il souhaite donner ses informations à cette entreprise (ou pas).

Car sans transparence, les dégâts peuvent rapidement dépasser la simple perte de confiance. Une fuite de données peut faire boule de neige : bad buzz, plaintes, recours collectifs… et une réputation écornée pour longtemps (on pense tous à Desjardins, non?)

Risques de sanctions en l’absence de politique de confidentialité

Amendes salées, réputation écornée, actions en justice… les conséquences peuvent faire très mal.

On vous en parlait brièvement en intro : au Québec, la Loi 25 permet d’imposer jusqu’à 70 M $ d’amendes en cas de récidive.

Ignorer la nécessité d’une politique de confidentialité, c’est un peu comme jouer à la roulette russe avec votre entreprise 🎰 

Bon… okay. On l’admet, les sanctions maximales n’ont pas encore été appliquées. Mais ce plafond existe et … mieux vaut ne pas être les premiers à le tester, croyez-nous.

Curieux de connaître les montants exacts ? Ne cherchez pas plus loin, on vous a tout résumé ici 👇

SituationAdministrativePénaleTotal cumulé
Infraction uniquejusqu’à 10 M $ (ou 2% du CA)jusqu’à 25 M $ (ou 4% du CA)jusqu’à 35 M $ (ou 6% du CA)
Récidive (cas multiple)jusqu’à 20 M $jusqu’à 50 M $jusqu’à 70 M $

📌 Source : Loi sur la protection des renseignements personnels dans le secteur privé (articles 90.12 à 90.16)

Maintenant que vous savez pourquoi vous ne pouvez pas passer à côté d’une politique de confidentialité, il est l’heure d’apprendre à la rédiger en toute conformité avec la loi 25.

Quels sont les ingrédients de cette recette légale? ⬇️

La recette de la politique de confidentialité parfaite

Que doit contenir une politique de confidentialité conforme à la Loi 25? On vous liste tous les ingrédients ici: 

1) Identification de l’entreprise

Présentez votre entreprise de manière claire et concise. Incluez le nom officiel et les coordonnées complètes et expliquez l’objectif de votre entreprise à travers cette politique de confidentialité.

Exemple de politique de confidentialité:

“L’objectif de cette politique de confidentialité est d’informer les utilisateurs de notre site www.monsite.ca des données personnelles que nous recueillons ainsi que de leur utilisation.

MonSite se conforme strictement à la loi 25 du Québec en matière de protection des données personnelles.

Cette politique de confidentialité détaille également notre engagement et les mesures prises pour garantir la sécurité de vos informations personnelles

2) Type de données que vous collectez

Énumérez les types de données que vous collectez et les méthodes employées. Qu’il s’agisse de formulaires en ligne pour s’inscrire à votre infolettre, de coordonnées bancaires ou de la collecte d’adresse pour des achats sur votre boutique en ligne.

Par exemple:

Lors de votre visite sur www.monsite.ca, nous collectons automatiquement des informations sur votre appareil et votre interaction avec notre site via l’outil Google Analytics.

Cela inclut les données suivantes:

  • Adresse IP
  • Lieu
  • Détails matériels et logiciels
  • Contenu que l’utilisateur consulte sur notre site
  • Liens sur lesquels un utilisateur clique en allant sur le site

Données personnelles récoltées non automatiquement

Vos données personnelles sont collectées via:

  • Formulaire de contact
  • Formulaire de commande
  • Création d’un compte

Cela inclut les données suivantes:

  • Prénom
  • Nom
  • Adresse postale
  • Date de naissance
  • Âge
  • Courriel
  • Numéro de cellulaire
  • Mot de passe de votre compte sur notre site
  • Information de paiement”

3) Utilisation des données

Montrez comment vous utilisez les données personnelles collectées sur votre site internet ou votre application mobile. 

Exemple de politique de confidentialité:

Veuillez noter que nous ne collectons que les données qui nous aident à atteindre l’objectif énoncé dans cette politique de confidentialité. Nous ne recueillerons pas de données supplémentaires sans vous en informer au préalable.

Nous utilisons ces données pour:

  • Exécuter des contrats
  • Envoyer des offres promotionnelles et des communications ciblées via notre infolettre
  • Faire des analyses statistiques pour améliorer le site
  • Faire un suivi de commande
  • Dans le cadre d’un protocole de sécurité des données

4) Mesures de sécurité 

Vous avez collecté des données, super! Mais comment les protégez-vous? 🛡️ C’est là que les mesures de sécurité entrent en jeu.

Votre politique de confidentialité doit détailler avec transparence les mesures prises pour protéger les données des utilisateurs.

Cela peut inclure des méthodes comme le cryptage, les pare-feu et les protocoles de sécurité. 

Ne lésinez pas sur les détails, plus vous êtes transparent, plus vous gagnez la confiance des utilisateurs ✅

Exemple de politique de confidentialité:

Vos données sont stockées dans un environnement sécurisé et contrôlé. MonSite utilise des protocoles SSL et des mesures de sécurité robustes avec double authentification pour prévenir tout accès non autorisé.

Nous nous engageons à ne pas vendre ou partager vos données avec des tiers sauf si la loi l’exige ou en cas de procédure judiciaire. 

Nous pouvons divulguer à tout membre de notre organisation les données utilisateur dont il a raisonnablement besoin pour réaliser les objectifs énoncés dans la présente politique.

5) Transfert international des données collectées

Mentionnez également si ces données sont transférées hors du Québec ou partagées avec des tiers.

Exemple de politique de confidentialité:

Les données utilisateur peuvent être consultées, traitées ou collectées dans les pays suivants: Canada et France.”

6) Durée d’exploitation des renseignements personnels

La gestion des données ne se limite pas à leur collecte. Indiquez la durée pendant laquelle les données seront conservées, les conditions de leur suppression et les méthodes d’anonymisation.

Exemple de politique de confidentialité:

Nous stockons les données personnelles pour une durée de 5 ans. Nous veillerons à ce que les utilisateurs soient avisés si leurs données sont conservées plus longtemps que cette durée. Vous pouvez nous contacter si vous souhaitez apporter des modifications, supprimer ou anonymiser vos données personnelles”.

7) Gestion des incidents de sécurité

Même avec les meilleures mesures de sécurité, les incidents peuvent survenir 🚨

Qu’il s’agisse de fuites de données ou de cyberattaques, votre politique de confidentialité doit détailler les procédures en place pour gérer ces incidents. Cela inclut la notification à la commission d’Accès à l’information du Québec et aux personnes concernées.

Par exemple:

“En cas de fuite de vos données personnelles, nous nous engageons à vous en tenir informé ainsi que la Commission d’Accès à l’Information du Québec.”

8) Droits des utilisateurs

L’un des piliers d’une politique de confidentialité solide est le respect des droits des utilisateurs 🙌

Ils doivent savoir comment accéder à leurs données, les rectifier et, si nécessaire, retirer leur consentement. 

Votre politique doit donc inclure une section détaillée expliquant comment les utilisateurs peuvent exercer ces droits et vous contacter s’ils souhaitent modifier des informations relatives à leurs données personnelles.

Pour cela:

  • Partagez les coordonnées de votre Responsable de la Protection des Renseignements Personnels
  • Indiquez qui est responsable de la gestion des données au sein de votre entreprise et comment le contacter pour toute question relative à la protection des données

Exemple de politique de confidentialité:

“Si vous êtes résident du Québec, conformément à la loi 25, vous bénéficiez de droits spécifiques concernant vos données personnelles:

  • Droit d’être informé
  • Droit d’accès
  • Droit à la rectification
  • Droit à la portabilité des données

Vous avez le droit de vous opposer à l’utilisation de vos données et de les retirer. Pour exercer ces droits, contactez notre responsable de la protection des données personnelles. Voici ses coordonnées:

Adresse: 16 boulevard Jean Drapeau – H4G 1S6 Montréal

Courriel: michelle@monsite.ca

Téléphone: +1 000 0001 0006

Site web: https://monsite/contact

Droit d’accès et de rectification

Vous pouvez consulter, modifier ou supprimer vos données. Pour ce faire, utilisez les mêmes coordonnées mentionnées ci-dessus.

Consentement et retrait

Vous pouvez visiter notre site sans révéler votre identité. Cependant, certaines fonctionnalités nécessitent la collecte de données personnelles. Vous avez toujours le choix de ne pas fournir ces informations.

Mineurs

La loi 25 précise que les personnes de moins de 14 ans sont considérées comme des mineurs aux fins de la collecte de données. Leurs renseignements personnels ne pourront donc pas être recueillis sans le consentement du titulaire de l’autorité parentale (ou du tuteur), sauf lorsque cette collecte sera manifestement au bénéfice du mineur.”

9) Liens de navigation externes

Indiquez que vous n’êtes pas responsable des politiques de confidentialité des entreprises vers lesquelles vous avez un lien. 

Voici un exemple d’extrait de politique de confidentialité:

Notre site peut contenir des liens vers d’autres sites internet. Nous ne sommes pas responsables de leurs pratiques de confidentialité.”

10) Mise à jour de votre politique de confidentialité

Concluez en indiquant la date de la dernière mise à jour de votre politique de confidentialité.

Exemple de politique de confidentialité:

Notre politique de confidentialité a été mise à jour le 13/10/2023

Pour toute question relative à cette politique de confidentialité, vous pouvez nous contacter via cette adresse courriel: michelle@monsite.ca

En utilisant notre site www.monsite.ca, vous acceptez les termes de cette politique de confidentialité.”

Ingrédients bonus

Bien que facultatifs, les cookies et les technologies de suivi peuvent être mentionnés pour une transparence accrue.

En suivant cette recette étoilée, vous cuisinerez une politique de confidentialité robuste et conforme à la loi 25 ⭐⭐⭐⭐⭐

Bon appétit, et n’oubliez pas la cerise sur le gâteau: les bonnes pratiques pour rédiger une politique de confidentialité 🍒

Les bonnes pratiques: une politique de confidentialité claire, lisible, publique

Conforme ne veut pas dire compliquée. Juste bien pensée. 

Voici 4 bonnes pratiques essentielles pour vous aider à rédiger une politique conforme à la Loi 25:

Les bonnes pratiques pour rédiger une politique de confidentialité

Allons les voir de plus près… 👀

Rédigez de manière claire et lisible ✅

Pas la peine de noyer le poisson dans 100 pages de textes. La politique de confidentialité doit être rédigée dans des termes simples et clairs

Pensez facile d’accès ✅

Pour être conforme à la loi 25, votre politique de confidentialité doit être facilement accessible.

  • Où placer la politique de confidentialité sur votre site web? 

L’emplacement de votre politique de confidentialité sur votre site web n’est pas à prendre à la légère 📍

Idéalement, elle devrait être accessible depuis chaque page, souvent via un lien en bas de page. Cela maximise la visibilité et permet aux utilisateurs de trouver facilement les informations dont ils ont besoin.

  • Où placer la politique de confidentialité dans votre application?

Dans une application mobile, la politique de confidentialité est idéalement placée dans le menu principal ou la section “Paramètres”. Pour une meilleure visibilité, envisagez de l’inclure également lors des étapes d’inscription ou de connexion. 

Mettez à jour régulièrement votre politique de confidentialité ✅

La loi 25 évolue avec, par exemple, le droit à la portabilité des données qui a fait son apparition en 2024.

Pensez à consulter régulièrement les sites du gouvernement pour mettre à jour votre politique de confidentialité.

Faites appel à une ressource légale ✅

On le redit, mais rien ne vaut l’expertise d’une ressource légale pour vous permettre d’être sûr de rédiger une politique de confidentialité conforme à la loi 25.

Exemples de politiques de confidentialité

Vous avez les bonnes pratiques en tête, mais vous ne savez pas par où commencer ?

Quelques exemples de pratiques à éviter

Avant de vous dévoiler nos modèles de politiques conformes, mettons les points sur les i (et les barres sur les t) en commençant par ce que vous devez absolument éviter.

Voici quelques exemples concrets de pratiques qui enfreignent la Loi 25 :

  • Si un resto en ligne garde des infos de carte sans le dire
  • Si une PME utilise ChatGPT ou une IA qui garde des données de clients sans leur en parler
  • Si un site ne donne pas l’option de dire “non” aux cookies et qu’il précoche les cases “j’accepte les cookies” involontairement
  • Si un cabinet de marketing n’explique pas à ses clients qu’il utilise leurs données personnelles pour faire du reciblage publicitaire
  • Si une boutique en ligne transfère ou vend les infos de ses clients à des partenaires commerciaux sans les aviser
  • Si les données récoltées par une appli mobile ne sont pas sécurisées (par du cryptage, par exemple)
  • Si une entreprise tech se fait hacker ou subit une fuite de données et n’en avise pas la CAI (Commission d’accès à l’information)

Maintenant que les pièges sont clairs, place aux solutions prêtes à l’emploi 👇

2 modèles de politique de confidentialité (conformes à la Loi 25)

Vous vous sentez un peu perdu au moment de rédiger votre politique de confidentialité? Pas de panique! On a un modèle pour vous (en fait, on en a même deux) 🎯

Ils sont spécialement conçus pour être conformes à la Loi 25, couvrant tous les éléments essentiels évoqués ci-dessus… de la collecte des données à la gestion des consentements.

C’est un (très) bon point de départ. Vous n’avez qu’à ajuster les critères en bleu en fonction de votre entreprise.

Voici les deux modèles qu’on vous propose :

  • Téléchargez notre exemple de politique de confidentialité pour un site web
  • Téléchargez notre exemple de politique de confidentialité pour une application

Vous êtes prêts à rédiger votre politique de confidentialité!

Ce guide complet vous a donné toutes les clés et les bonnes pratiques pour vous lancer dans la rédaction d’une politique de confidentialité conforme à la loi 25. 

N’oubliez pas, la transparence et la conformité ne sont pas seulement des contraintes, mais des opportunités pour renforcer la confiance de vos visiteurs 🛡️

La loi 25, on connaît ça! 

Nos experts en loi 25 sont là pour vous aider à rédiger une politique de confidentialité conforme à la loi 25 et accessible pour vos visiteurs. N’hésitez pas à nous contacter pour une consultation gratuite. Nous proposons un service complet de mise en conformité avec la loi 25.

FAQ pour rédiger une politique de confidentialité conforme à la Loi 25

Un générateur de politique de confidentialité est un outil en ligne qui crée une politique de confidentialité standardisée 🛠️

Il vous suffit de remplir certains critères et l’outil vous rédige automatiquement une politique de confidentialité.

Cependant, assurez-vous que le générateur est à jour avec la législation en vigueur.

Pour le Canada, nous vous conseillons cet outil générateur de politique de confidentialité.

Vous pouvez aussi découvrir d’autres outils de la loi 25 dans notre article dédié 😉

Oui, si votre site collecte des données personnelles, une politique de confidentialité est obligatoire 🛑

Toutes les organisations collectant ou traitant des données personnelles doivent rédiger et publier une politique de confidentialité pour se conformer aux dernières modalités de la loi 25 depuis septembre 2023.

Contactez notre agence loi 25 à Montréal si vous souhaitez de l’aide pour l’élaboration de votre politique de confidentialité.

Une politique de confidentialité sert à expliquer comment l’entreprise protège les données personnelles de ses utilisateurs, à définir quelles informations sont collectées, à montrer les droits des utilisateurs en matière de protection des données, et à établir la confiance entre l’entreprise et ses visiteurs.

Les mentions obligatoires dans la rédaction d’une politique de confidentialité conforme à la loi 25 incluent:

  •  le nom de l’entreprise et les coordonnées du Responsable de la Protection de Renseignements Personnels
  •  La nature des données collectées et leur utilisation
  • Les mesures de sécurité prises pour protéger les données

La rédaction de votre politique de confidentialité doit être claire, transparente et en conformité avec les directives de la loi 25. Utilisez un langage simple et précis pour que tous vos visiteurs puissent comprendre votre politique de confidentialité.

Idéalement, un expert en droit du numérique ou un conseiller juridique devrait être consulté pour la rédaction de votre politique de confidentialité. Cela garantit que la loi 25 est conforme aux lois en vigueur.

La politique de confidentialité concerne la gestion des données personnelles, tandis que les conditions générales régissent l’utilisation du site.

La politique de confidentialité doit être facilement accessible, souvent via un lien en pied de page ou dans le menu principal.

Au-delà de la conformité légale, c’est une question de transparence et de confiance avec vos utilisateurs.

Les sanctions peuvent aller de lourdes amendes à des actions en justice, nuisant à la réputation de votre entreprise ⚖️

La Loi 25 est entrée en vigueur en trois grandes étapes, réparties sur trois ans :

  • 1er septembre 2022 : obligation de désigner un responsable de la protection des renseignements personnels (RPRP) dans chaque organisation
  • 1er septembre 2023 : mise en place de nouvelles obligations comme le consentement éclairé, la transparence, le droit à l’oubli et le signalement obligatoire des incidents de confidentialité
  • 1er septembre 2024 : entrée en vigueur des mesures les plus avancées, incluant l’évaluation des facteurs relatifs à la vie privée (EFVP), le droit à la portabilité des données et des règles renforcées pour les systèmes utilisant l’intelligence artificielle

La politique de confidentialité doit être consultable publiquement par toute personne, qu’elle soit cliente ou non. Pour respecter les conditions de la Loi 25, la Commission d’accès à l’information indique qu’elle doit être facilement accessible sur votre site web. Cela assure une transparence complète envers tous les visiteurs.

Ce contenu vous a plu?
[Total: 9 Moyenne: 4.8]
Envie de propulser vos affaires sur le web?

This field is for validation purposes and should be left unchanged.
Clara Dutrevis
Clara est Directrice des Opérations et Associée chez Digitad depuis 2023. Titulaire d’une double maîtrise en administration des affaires et stratégie marketing, elle a acquis une solide expérience en travaillant pour les départements marketing de grandes firmes telles que L’Oréal et Nespresso. En 2019, Clara rejoint Digitad à Montréal, où elle se consacre à la création d’études de marché numérique, à la croisée entre la consultation stratégique et l’univers du marketing digital. Depuis deux ans, Clara supervise les opérations de l’entreprise, collaborant avec les équipes pour accompagner plus de 450 entreprises québécoises et internationales. Passionnée par l’impact de l’intelligence artificielle sur l’amélioration de la productivité et les nouvelles stratégies de marketing digital, Clara partage régulièrement ses découvertes dans ses articles pour aider les entreprises à adopter ces innovations.

Discutons dès aujourd’hui!

Nous nous ferons un plaisir de vous répondre!

This field is for validation purposes and should be left unchanged.