La politique de confidentialité est l'un des documents les plus visibles d'une organisation en matière de protection des renseignements personnels. C'est souvent le premier document que la CAI demande, et le premier qu'une personne consulte avant de confier ses données à votre organisation.
Pourtant, beaucoup de PME québécoises ont soit une politique générique copiée d'un modèle anglophone, soit aucune politique du tout. Voici comment en rédiger une qui soit à la fois conforme et utile.
Ce que doit contenir votre politique de confidentialité
La Loi 25 ne prescrit pas un format précis, mais elle exige que certaines informations soient accessibles. Une politique complète couvre généralement ces éléments :
1. Les types de renseignements collectés Soyez précis. "Renseignements personnels" est trop vague. Listez les catégories : nom, courriel, adresse, données de paiement, données de navigation, informations liées à l'emploi, etc.
2. Les finalités de la collecte Pourquoi collectez-vous chaque catégorie? La publicité ciblée, le traitement des commandes, la gestion des ressources humaines et la conformité légale sont des finalités différentes qui doivent être nommées séparément.
3. Les tiers qui reçoivent vos données Si vous utilisez un service d'envoi de courriels, une plateforme de paiement, un système de gestion de la relation client, ou un service d'hébergement infonuagique, ces tiers reçoivent des renseignements personnels. Mentionnez les catégories de destinataires (pas nécessairement les noms de toutes les entreprises, mais le type : fournisseurs de services TI, partenaires de livraison, etc.).
4. Les durées de conservation C'est l'une des lacunes les plus fréquentes. Combien de temps conservez-vous les données clients après la fin d'une relation d'affaires? Quand supprimez-vous les candidatures non retenues? Les durées doivent être définies et respectées.
5. Les droits des personnes Les individus ont le droit d'accéder à leurs renseignements, de les faire rectifier, de retirer leur consentement, et dans certains cas, de les faire supprimer ou de les faire transmettre à un autre organisme (portabilité). Votre politique doit expliquer comment exercer ces droits.
6. Les coordonnées du responsable Nom ou titre du responsable de la protection des renseignements personnels et moyen de le joindre (courriel ou formulaire de contact).
Les lacunes les plus fréquentes
Durées de conservation absentes ou vagues. "Nous conservons vos données aussi longtemps que nécessaire" ne respecte pas l'esprit de la loi. Définissez des durées concrètes par catégorie.
Finalités trop génériques. "Pour améliorer nos services" couvre trop de réalités différentes. Précisez : analyses statistiques internes? Tests de fonctionnalités? Communication de résultats à un tiers?
Absence de mention des droits. Beaucoup de politiques décrivent ce que fait l'organisation, mais ne disent pas comment les personnes peuvent agir. Le droit d'accès, de rectification et de retrait du consentement doit être explicitement mentionné.
Politique unilingue dans un contexte bilingue. Si votre organisation interagit avec des clients dans les deux langues, votre politique doit être disponible en français et en anglais.
Politique non mise à jour. Une politique datée de 2018 qui ne mentionne pas la Loi 25, le responsable de la protection, ou les droits de portabilité est un signal d'alarme.
Conseils de rédaction en langage clair
Une politique de confidentialité efficace n'est pas un document juridique impénétrable. Voici quelques principes :
- Écrivez pour la personne qui vous confie ses données, pas pour votre avocat. Si votre client de PME ou votre candidat en emploi ne comprend pas ce que vous faites avec ses renseignements, la politique ne remplit pas sa fonction.
- Une idée par paragraphe. Les listes sont vos alliées.
- Évitez le jargon. "Traitement de données à caractère personnel" peut devenir "comment nous utilisons vos renseignements".
- Utilisez des titres clairs. Les gens ne lisent pas les politiques de confidentialité de bout en bout. Ils cherchent une réponse précise. Aidez-les à la trouver.
La mise à jour est aussi importante que la rédaction
Une politique de confidentialité n'est pas un document statique. Chaque fois que vous intégrez un nouveau fournisseur, lancez un nouveau produit, ou modifiez vos pratiques de collecte, vous devez vérifier si votre politique doit être mise à jour.
Prévoyez une révision annuelle, et désignez clairement qui est responsable de cette révision dans votre organisation.
Observantia propose des gabarits bilingues de politique de confidentialité adaptés aux PME québécoises, avec les éléments requis par la Loi 25 déjà structurés. Personnalisez-les selon vos pratiques réelles, puis intégrez-les à votre démarche de conformité.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.