Politique de confidentialité Loi 25 : modèle PME

Vous cherchez un modèle de politique de confidentialité Loi 25 pour une PME québécoise ? Il n'existe pas de texte unique « certifié CAI » à télécharger — par contre, vos clients et la CAI s'attendent à une structure claire, publiée sur votre site, qui reflète ce que vous faites vraiment.

Rôle de la politique sur le Web

La politique explique quelles données vous collectez, pourquoi, avec qui vous les partagez, combien de temps vous les conservez et comment exercer les droits. Elle complète la bannière cookies et vos formulaires.

Si personne ne la comprend, elle ne sert pas. Un modèle PME doit rester lisible — évitez le copier-coller juridique de 40 pages que même vos employés n'osent pas ouvrir.

Sections recommandées (checklist PME)

• Identité du responsable de la protection des renseignements personnels (PRP) et coordonnées (désignation PRP).
• Catégories de renseignements (clients, employés, visiteurs Web, témoins de navigation).
• Finalités par catégorie (vente, support, marketing, sécurité, analytics).
• Fondements (consentement, intérêt légitime lorsque applicable, obligation légale).
• Tiers et sous-traitants (hébergeur, CRM, publicité, outils de mesure).
• Transferts hors Québec le cas échéant.
• Durées de conservation et critères de destruction (cycle de vie).
• Droits des personnes (accès, rectification, retrait du consentement, plainte à la CAI) — voir droits des clients.
• Incidents de confidentialité — comment vous informez les personnes concernées.
• Date de mise à jour visible.

Erreurs fréquentes des PME

1. Politique générique SaaS non adaptée au Québec (RGPD copié-collé, mauvaises autorités).
2. Lien cassé ou PDF non lisible sur mobile — la politique doit être trouvable en deux clics.
3. Coordonnées PRP fantômes — courriel générique que personne ne lit.
4. Écart politique / réalité — traceurs ou finalités décrits ne correspondent pas au site (voir incontournables Web).

Modèle : travailler par étapes

Voici l'ordre que nous voyons fonctionner en PME :

1. Inventorier vos traitements réels (CRM, site, RH).
2. Rédiger ou faire valider le texte avec un juriste — le modèle structure, il ne remplace pas l'avis.
3. Publier une version datée sur le Web.
4. Vérifier techniquement l'accessibilité et l'alignement cookies / formulaires.

Pour les projets à risque, planifiez une EFVP.

En bref

Votre politique est votre contrat de transparence avec le public. Sections complètes, langage clair, date visible — et surtout, cohérence avec ce que fait votre site aujourd'hui, pas il y a trois ans.

Références utiles

• CAI — Protection des renseignements personnels — attentes et guides pour les organisations.
• Politique Web : les incontournables — marketing, formulaires, cookies.
• Gouvernance et politiques — politique interne employés en complément.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Une politique mal liée ou déconnectée des traceurs réels, on le voit vite au scan. Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.