← Blogue·15 juillet 2026

Politique de confidentialité Loi 25 : ce qu’elle doit contenir (et les pièges des modèles gratuits)

Depuis septembre 2023, toute entreprise québécoise qui recueille des renseignements personnels par un moyen technologique (un formulaire de contact, une infolettre, une boutique en ligne, même une simple adresse courriel de réservation) doit publier une politique de confidentialité rédigée « en termes clairs et simples » (art. 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, telle que modifiée par la Loi 25).

En pratique, la majorité des PME ont réglé la question en copiant un modèle trouvé en ligne. C'est compréhensible, et c'est précisément le piège.

Pourquoi un modèle générique peut vous nuire

Une politique de confidentialité n'est pas un texte décoratif : c'est un engagement public. Elle décrit ce que votre entreprise fait, ou prétend faire, avec les renseignements des gens.

Quand vous copiez un modèle générique :

  • Vous documentez des engagements que vous ne tenez pas. Le modèle affirme que vous répondez aux demandes d'accès en 30 jours avec un processus établi ? Si un client vous teste et que rien n'existe, votre propre politique devient la preuve de l'écart.
  • Vous omettez ce que vous faites réellement. Le modèle ne mentionne ni votre infolettre Mailchimp, ni votre CRM américain, ni vos caméras ? La politique est inexacte dès le premier jour, et l'exactitude est exactement ce que l'article 8.2 exige.
  • Elle ne vieillit pas avec vous. Vous adoptez un nouvel outil, la politique reste figée. Un an plus tard, elle décrit une entreprise qui n'existe plus.

Ce qu'une politique conforme doit contenir

Selon les lignes directrices de la Commission d'accès à l'information (CAI), votre politique devrait couvrir, en français clair :

  1. Qui vous êtes et qui est votre responsable de la protection des renseignements personnels, avec son titre et ses coordonnées (leur publication est une obligation distincte, art. 3.1).
  2. Quels renseignements vous recueillez : catégories concrètes (coordonnées, données de facturation, renseignements de santé si applicable…), pas des généralités.
  3. Comment vous les recueillez : formulaires, courriel, téléphone, en personne, témoins (cookies).
  4. Pourquoi : les fins précises de la collecte. Chaque collecte doit être rattachée à une fin sérieuse et légitime.
  5. Qui y a accès : à l'interne, et chez quels fournisseurs (hébergeur, infolettre, plateforme de paiement…), incluant si des renseignements peuvent être communiqués à l'extérieur du Québec.
  6. Les témoins et le profilage : les technologies d'identification ou de profilage doivent être désactivées par défaut jusqu'au consentement (art. 8.1).
  7. Combien de temps vous conservez les renseignements, et comment ils sont détruits.
  8. Les droits des personnes : accès, rectification, retrait du consentement, portabilité, et comment les exercer, avec le délai de réponse de 30 jours.

Le test rapide : votre politique actuelle est-elle exacte ?

Ouvrez votre politique et posez-vous trois questions :

  • Nomme-t-elle votre responsable avec ses coordonnées à jour ?
  • Mentionne-t-elle les outils que vous utilisez réellement aujourd'hui ?
  • A-t-elle été mise à jour depuis moins de 12 mois ?

Trois « non » ? Vous n'êtes pas seul : les études évaluent qu'à peine 3 à 5 % des PME québécoises sont réellement conformes. Mais une politique inexacte publiée est plus risquée qu'une politique absente : elle documente l'écart entre le discours et la pratique.

La bonne approche : partir de vos pratiques, pas d'un modèle

La séquence logique est l'inverse du copier-coller : inventoriez d'abord vos pratiques réelles (quels renseignements, quels outils, quelles fins), puis rédigez la politique qui les décrit. C'est exactement ce que fait En Règle : une entrevue guidée en français simple recense vos pratiques, puis génère une politique, et quatre autres documents exigés par la loi, qui décrivent votre entreprise, pas une entreprise fictive.