Gouvernance des renseignements personnels : bâtir les bonnes politiques
Le PRP part en vacances et personne ne sait comment traiter une demande d'accès? C'est le signe que la conformité vit encore dans une tête, pas dans des politiques écrites. Deux documents — interne et public — donnent le cap à l'équipe et prouvent votre diligence envers la CAI.
Gouvernance, en une phrase : qui décide quoi, avec quels documents, et comment on le prouve quand ça va mal.
Interne (employés) vs public (clients, site Web)
| Politique interne | Politique publique |
|---|---|
| Accès aux dossiers, appareils, télétravail, courriel | Finalités, cookies, droits des personnes, coordonnées du PRP |
| Audience : employés, stagiaires | Audience : clients, visiteurs du site |
| Intranet, manuel RH | Pied de page du site, PDF daté |
Modèles et sections Web : politique PME, politique Web. RH : vie privée et ressources humaines.
Contenu minimal côté gouvernance
Votre politique n'a pas besoin de faire cent pages. Elle doit couvrir l'essentiel :
- Responsable PRP — rôle, coordonnées, comment joindre la personne (fiche PRP).
- Cycle de vie des données — collecte, durées, destruction (cycle de vie).
- Incidents — qui alerte qui, registre, notification CAI si requis.
- Droits des personnes — accès, rectification, portabilité, retrait du consentement (droits des citoyens).
- Formation — sensibilisation minimale des employés (formation).
Tenir les documents à jour sans surcharge
L'ennemi n'est pas la mise à jour — c'est le document Word de 2019 que personne n'ose rouvrir.
- Date de version visible — ex. : « Mis à jour le 15 mai 2026 » en tête de PDF ou pied de page du site.
- Revue annuelle au calendrier — même trente minutes; reprise obligatoire après tout nouveau CRM, outil RH ou plateforme marketing.
- Historique d'une ligne — « 2026-05-15 : ajout section cookies » suffit pour une PME.
- Site aligné avec la politique — après chaque changement d'outil, vérifiez bannière, formulaires et mentions PRP (scan technique).
En bref
Une politique que personne ne lit ne protège personne. Gardez-la courte, datée, et reliez-la à des gestes concrets (registre, formation, procédure d'incident). C'est votre levier quand la direction demande « où on en est avec la Loi 25 ».
Références utiles
- CAI — Protection des renseignements personnels — attentes de gouvernance et de transparence.
- Responsable PRP — rôle et publication des coordonnées.
- Politique de confidentialité PME — structure du document public.
Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.
Vérifier votre site Web
Plusieurs obligations se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.