Droits des citoyens : ce que vos clients peuvent exiger

Un client vous écrit : « Quelles données avez-vous sur moi ? » Ce n'est plus un cas rare — c'est le quotidien sous la Loi 25. Vos clients, prospects et visiteurs ont des droits renforcés ; une PME doit les reconnaître et répondre dans les délais, sans improviser à chaque courriel.

Principaux droits (vue d'ensemble)

• Droit d'accès — savoir quels renseignements vous détenez et en obtenir une copie.
• Rectification — corriger des renseignements inexacts ou incomplets.
• Retrait du consentement — lorsque le traitement repose sur le consentement (p. ex. infolettre).
• Portabilité — recevoir certains renseignements dans un format structuré et couramment utilisé (depuis septembre 2024).
• Cessation de diffusion et désindexation — dans les cas prévus, demander d'arrêter la diffusion ou le référencement (souvent appelé « droit à l'oubli »).
• Plainte à la CAI — toute personne peut s'adresser à la Commission d'accès à l'information.

Détails sur la portabilité et la désindexation : portabilité et droit à l'oubli.

Le silence n'est pas une stratégie. Ne pas répondre (ou renvoyer au centre d'appels sans traiter le dossier) est le piège le plus fréquent — et souvent le plus coûteux en réputation.

Organiser la réception des demandes dans une PME

Voici les étapes que nous recommandons avant la première vraie demande :

1. Une seule adresse courriel dédiée (souvent celle du responsable PRP), affichée sur le site — pas une boîte « info@ » que personne ne surveille.
2. Un modèle interne : date de réception, identité du demandeur, type de droit, échéance, responsable du dossier.
3. Vérifier l'identité avant de transmettre des renseignements sensibles (pièce d'identité raisonnable, questions de confirmation).
4. Impliquer TI ou le CRM tôt si l'export est technique — ne promettez pas un fichier CSV en 24 h si personne ne sait comment l'extraire.

Délais, pièges et exemples de réponses

La loi fixe des délais stricts (en général 30 jours, avec possibilité de prolongation motivée dans certains cas). Par contre, un accusé de réception froid du type « Nous accusons réception… » n'aide personne. Préférez un ton humain et clair :

• Accès — « Merci — nous avons bien reçu votre demande. Nous vous reviendrons avec les renseignements demandés, ou une explication claire si la loi nous permet de ne pas tout transmettre, dans le délai prévu. Nous pourrions avoir besoin de confirmer votre identité avant l'envoi. »
• Rectification — confirmez la correction dans vos systèmes et les sources publiques si applicable (site, annuaire).
• Retrait du consentement (infolettre) — désabonnement effectif sous 48 h ouvrables ; conservez une preuve (journal, capture).

Votre politique de confidentialité doit expliquer comment exercer ces droits — même adresse, même délai, pas de surprise pour le client.

En bref

Les droits des personnes ne sont pas réservés aux grandes entreprises. Une adresse courriel dédiée, un registre simple et des réponses dans les délais suffisent souvent à éviter une plainte — et à montrer que vous prenez la vie privée au sérieux.

Références utiles

• CAI — Droits des citoyens — vue officielle des droits et recours.
• Loi P-39.1 (LégisQuébec) — texte du secteur privé au Québec.
• Portabilité et désindexation — droits renforcés depuis septembre 2024.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Les droits s'exercent souvent par le site : politique, coordonnées du PRP, formulaires. Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.