Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 13

Gabarits et modèles prêts à l'emploi

Points de départ à adapter à votre réalité. Ces gabarits ne remplacent pas un avis juridique — ils accélèrent votre mise en conformité.

13.1 · Document public

Politique de confidentialité — structure type (11 sections)

1. Qui sommes-nous — identité de l'entreprise et coordonnées du RPRP 2. Quels renseignements nous recueillons 3. Pourquoi nous les recueillons (finalités) 4. Comment nous les utilisons 5. À qui nous les communiquons (incl. fournisseurs et hors Québec) 6. Combien de temps nous les conservons 7. Comment nous les protégeons 8. Vos droits (accès, rectification, portabilité, retrait, désindexation) 9. Cookies et technologies de suivi (désactivés par défaut) 10. Comment exercer vos droits / porter plainte (RPRP + CAI) 11. Date de mise à jour de la politique
13.2 · Conservation 5 ans

Registre des incidents — colonnes obligatoires

| # | Date incident | Date découverte | Nature de l'incident | Données touchées | | Nb personnes | Risque préjudice sérieux (O/N) | Justification de l'évaluation | | CAI avisée (date) | Personnes avisées (date) | Mesures prises | Statut de clôture | Conserver au minimum 5 ans — peut être exigé par la CAI.
13.3 · Contrats fournisseurs

Clause contractuelle Loi 25 — fournisseur

Le Prestataire s'engage à : 1. Traiter les renseignements personnels uniquement aux fins du présent contrat. 2. Mettre en œuvre des mesures de sécurité raisonnables et proportionnées à la sensibilité des données. 3. Ne pas conserver les renseignements au-delà de la durée nécessaire aux fins prévues. 4. Aviser sans délai le Responsable de la protection des renseignements personnels du Client de tout incident ou tentative de violation. 5. Ne pas communiquer les renseignements hors Québec sans autorisation écrite préalable et évaluation ÉFVP complétée. 6. Permettre au Client de vérifier le respect des présentes obligations (audits, questionnaires). 7. Détruire ou retourner tous les renseignements à la fin du contrat et en fournir une attestation écrite.
13.4 · Réponse aux droits

Formulaire interne — demande d'exercice de droit

• Identité du demandeur et méthode de vérification effectuée • Type de demande : accès / rectification / portabilité / retrait / désindexation / décision automatisée • Renseignements visés (description) • Date de réception de la demande • Exceptions évaluées (droits de tiers, secret professionnel, etc.) • Décision prise et motivation • Date de réponse (cible : ~30 jours) • Recours mentionnés au demandeur (CAI)
13.5 · Notification

Avis d'incident à une personne concernée

• Description de l'incident (nature, date approximative, circonstances) • Renseignements personnels touchés (nature, pas nécessairement le détail) • Risques pour la personne (vol d'identité, fraude, etc.) • Mesures prises par notre organisation pour réduire les risques • Mesures recommandées à la personne : – Changer les mots de passe concernés – Surveiller les relevés bancaires et de crédit – Faire preuve de vigilance face aux tentatives d'hameçonnage • Coordonnées du RPRP pour toute question
Conseil : La CAI met à disposition un formulaire officiel de déclaration d'un incident et des modèles d'avis sur cai.gouv.qc.ca. Utilisez-les comme référence de premier rang.
← Études de casMythes & Sanctions →