Depuis le 22 septembre 2023, les organisations qui exercent des activités au Québec sont tenues de publier une politique de confidentialité sur leur site Web si elles recueillent des renseignements personnels par un moyen technologique, quel qu’il soit (par exemple, par l’entremise d’une adresse courriel, d’un site Web ou d’une application mobile).

Le 18 décembre 2023, la Commission d’accès à l’information (CAI), l’organisme de réglementation de la protection de la vie privée du Québec, a publié un guide essentiel pour les organisations désirant des précisions concernant la rédaction et la révision de leur politique de confidentialité. Cliquez ici pour accéder au guide.

Voici les trois grands points à retenir du guide explicatif « Rédiger une politique de confidentialité » de la CAI :


null

1. Comprendre la double nature des politiques sur la protection de la vie privée

Le guide de la CAI établit une distinction cruciale entre deux types de politiques : la politique de confidentialité (en ligne) et les autres politiques de protection de la vie privée.

La politique de confidentialité, exigée aux termes de l’article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P -39.1, ou la Loi québécoise sur la protection des renseignements personnels), est obligatoire pour les organisations qui recueillent des renseignements personnels par des moyens technologiques (généralement sur des sites Web ou des plateformes numériques).

En revanche, les autres types de politiques, exigées aux termes de l’article 3.2 de la même loi, couvrent des aspects plus généraux de la protection des renseignements personnels au sein d’une organisation. Ces politiques décrivent habituellement la manière dont une organisation gère tous les renseignements personnels (pas seulement ceux recueillis en ligne), et explicitent des pratiques liées au stockage des données, à l’accès aux données et aux mesures de protection. Pour respecter la législation et gérer efficacement la protection de la vie privée, il est crucial de savoir faire la différence entre ces deux types de politiques.

2. La clarté avant tout : conseils sur le langage simple

Le guide de la CAI insiste sur l’importance de rédiger les politiques de confidentialité dans un langage clair et simple. On y présente des conseils pratiques pour la rédaction de politiques facilement compréhensibles pour le grand public. Il ne s’agit pas d’exigences strictes, mais plutôt de pratiques exemplaires que tous les professionnels du secteur de la protection de la vie privée devraient adopter pour veiller à l’accessibilité universelle de leurs politiques.

Le guide propose également des outils et des idées particulièrement utiles pour les professionnels du domaine qui souhaitent mettre leur politique de confidentialité à l’essai avant de la publier (ou lors de la révision de leur politique existante). En la testant auprès d’un groupe diversifié, les organisations peuvent s’assurer que leur politique de confidentialité est non seulement conforme à la loi, mais aussi qu’elle est claire, compréhensible et applicable dans l’ensemble de l’organisation.

3. Avis de modifications apportées à la politique

Malheureusement, le guide de la CAI ne fournit aucune précision concernant l’obligation pour les organisations d’informer les personnes concernées de modifications apportées à leur politique de confidentialité. Actuellement, en vertu de la Loi québécoise sur la protection des renseignements personnels, les organisations sont tenues d’aviser les personnes concernées de tout changement à leur politique.

Cette exigence peut s’avérer contraignante et conduire à des scénarios inusités dans lesquels les organisations doivent signaler des changements minimes, comme la correction d’une coquille dans leur politique.

Pour conclure

Le Guide de la CAI constitue un outil précieux pour les organisations qui souhaitent rédiger ou réviser leur politique de confidentialité. Il permet de mieux comprendre les exigences juridiques, encourage la communication claire, souligne les aspects auxquels il convient de s’attarder et propose des outils pour la mise à l’essai de la politique avant sa publication.

Pour toute question additionnelle concernant les politiques de protection de la vie privée de votre organisation ou sur tout autre sujet relatif à ce domaine, n’hésitez pas à nous contacter.