Paramètres de confidentialité par défaut : comment les appliquer dans vos outils

Votre nouveau CRM arrive avec tout partagé « pour faciliter la collaboration »? Depuis septembre 2024, la Loi 25 exige l'inverse pour les services technologiques offerts au public : le plus haut niveau de confidentialité par défaut — pas un labyrinthe de paramètres cachés.

C'est quoi, la confidentialité par défaut?

Pendant des années, le modèle était : tout est public, l'utilisateur se protège. La loi renverse la logique pour vos clients et visiteurs : collecte minimale, partage désactivé, visibilité restreinte — sauf choix explicite dans l'autre sens lorsque la loi le permet.

En pratique : la personne ne devrait pas avoir à décocher quinze cases pour ne pas être exposée. Vous partez du réglage le plus protecteur.

Voici quelques exemples concrets :

• Portail client — profil « privé » par défaut; pas de liste d'amis visible sans action.
• Site Web — cookies non essentiels bloqués avant consentement (bannière cookies CAI).
• Infolettre — case décochée par défaut; pas de consentement présumé par l'inaction.

SaaS courants (marketing, CRM, RH)

Chaque outil a ses réglages. Voici où regarder en priorité :

• CRM — qui voit quels champs; export massif réservé aux rôles qui en ont besoin; pas « tout le monde admin ».
• Courriel marketing — double confirmation (double opt-in) lorsque possible; listes séparées par finalité.
• RH — accès au dossier salarié limité aux rôles nécessaires; journalisation des consultations sensibles.

Par contre, cocher « paramètres par défaut du fournisseur » sans les lire n'est pas une conformité — c'est de l'espoir.

Documenter pour prouver vos choix

Une page interne suffit : outil, paramètre retenu, date, responsable (souvent le PRP). En cas de plainte ou d'EFVP, vous montrez que vous avez réfléchi, pas improvisé après coup.

En bref

Confidentialité par défaut, ce n'est pas une suggestion — c'est le réglage de départ de vos services publics. Après chaque nouveau logiciel (CRM, portail, formulaire), bloquez trente minutes pour les paramètres avant d'ouvrir l'accès aux données réelles.

Références utiles

• CAI — Protection des renseignements personnels — confidentialité par défaut et services technologiques.
• Loi P-39.1 (secteur privé) — exigences depuis septembre 2024.
• Bannière cookies — paramètres protecteurs sur le site public.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.