Aller au contenu
découvrez Hilo Intelligence
Guide Loi 25

Modèles et gabarits

Points de départ réutilisables pour votre politique de confidentialité, vos avis de consentement, votre procédure d'incident, votre registre des incidents et vos EFVP. À adapter par un avocat avant publication.

Mis à jour le 20 avril 20268 min de lectureRédigé par Pascal DupuismodèlesgabaritspolitiqueconsentementEFVP

Ce chapitre rassemble des points de départ que vous pouvez copier et adapter pour votre PME. Tous ces gabarits doivent être revus par un avocat avant publication ou signature : ils sont fidèles à la Loi 25 telle qu'elle existe au moment de la rédaction de ce guide, mais chaque contexte commercial, chaque secteur et chaque risque résiduel exige une validation spécifique.

Hilo Tech ne rédige pas ces documents à la place du juriste — notre rôle est de les intégrer techniquement (les publier sur votre site, les envoyer, les journaliser) une fois validés.

1. Gabarit de politique de confidentialité (squelette)

Votre politique de confidentialité est le document public qui explique, en langage clair, ce que vous faites avec les renseignements personnels. Elle doit être accessible depuis chaque page de votre site (typiquement dans le pied de page).

# Politique relative à la protection des renseignements personnels

**Date de dernière mise à jour : [AAAA-MM-JJ]**

## 1. Introduction
[Nom de l'entreprise] respecte votre vie privée et s'engage à protéger les renseignements
personnels que vous nous confiez. La présente politique décrit comment nous recueillons,
utilisons, communiquons et conservons ces renseignements, conformément à la Loi sur la
protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1).

## 2. Responsable du traitement
[Nom de l'entreprise] est le responsable du traitement de vos renseignements personnels.
Vous pouvez joindre notre responsable de la protection des renseignements personnels :
- Nom : [Nom de la personne]
- Courriel : privacy@[domaine]
- Téléphone : [numéro]
- Adresse : [adresse postale]

## 3. Renseignements que nous recueillons
Nous recueillons les catégories suivantes de renseignements :
- [Identification : nom, prénom, courriel, téléphone]
- [Contractuels : historique d'achats, factures, correspondance]
- [Techniques : adresse IP, type d'appareil, pages visitées]
- [RH (si employés) : CV, coordonnées, évaluations, paie]
- [Sensibles (si applicable) : santé, biométrie — avec consentement exprès]

## 4. Finalités
Nous utilisons vos renseignements pour :
- [Fournir le produit/service demandé]
- [Traiter les paiements et la facturation]
- [Communiquer avec vous concernant votre compte ou vos commandes]
- [Respecter nos obligations légales (fiscales, comptables)]
- [Avec votre consentement, vous envoyer des communications marketing]

## 5. Fondement juridique
La collecte et l'utilisation reposent sur :
- Votre consentement (sauf exceptions légales);
- L'exécution d'un contrat avec vous;
- Le respect d'obligations légales;
- [Autre — à valider avec votre avocat].

## 6. Communication à des tiers
Nous pouvons communiquer vos renseignements à :
- Nos fournisseurs TI (ex. [hébergeur, CRM, paiement]) — par contrat et pour les fins décrites;
- Les autorités publiques lorsque la loi nous y oblige;
- [Autres tiers, avec votre consentement préalable].

## 7. Transferts hors Québec
[Si applicable] Certains de nos fournisseurs hébergent ou accèdent à vos renseignements
hors du Québec. Nous avons réalisé une évaluation des facteurs relatifs à la vie privée
(EFVP) qui conclut que ces transferts bénéficient d'une protection équivalente. Les pays
concernés sont : [liste].

## 8. Conservation
Nous conservons vos renseignements pendant la durée nécessaire aux finalités décrites
et aux délais de prescription légaux :
- [Données client : durée de la relation + X années]
- [Données RH : durée d'emploi + X années]
- [Données comptables : 6 ans (exigence fiscale)]

## 9. Vos droits
Vous disposez des droits suivants : accès, rectification, retrait du consentement,
désindexation, portabilité, information sur toute décision automatisée vous concernant.
Pour exercer ces droits, écrivez à privacy@[domaine]. Nous répondrons dans les 30 jours.

## 10. Cookies
[Si site web] Notre site utilise des cookies pour [finalités]. Vous pouvez gérer vos
préférences via le bandeau de consentement ou les paramètres de votre navigateur.

## 11. Sécurité
Nous mettons en œuvre des mesures techniques (chiffrement, contrôles d'accès,
journalisation) et organisationnelles (formation, procédures) pour protéger vos
renseignements. Aucun système n'est infaillible; en cas d'incident de confidentialité
présentant un risque de préjudice sérieux, nous vous aviserons dans les meilleurs délais.

## 12. Plaintes
Si vous êtes insatisfait de notre réponse, vous pouvez porter plainte à la Commission
d'accès à l'information du Québec :
https://www.cai.gouv.qc.ca/

## 13. Modifications
Nous pouvons mettre à jour cette politique. La date de dernière mise à jour figure en
tête. Les changements significatifs vous seront communiqués par un avis visible.

2. Clause de consentement exprès pour renseignements sensibles

Cette clause s'intègre dans un formulaire d'admission ou un contrat. À adapter par votre avocat selon le contexte.

CONSENTEMENT EXPRÈS À LA COLLECTE DE RENSEIGNEMENTS SENSIBLES

Je consens à ce que [Nom de l'entreprise] recueille, utilise et conserve les
renseignements personnels de nature sensible suivants me concernant :

[ ] Renseignements de santé (diagnostics, antécédents, résultats de tests)
[ ] Renseignements financiers détaillés (numéro de carte, comptes bancaires)
[ ] Renseignements biométriques (empreintes, reconnaissance faciale)
[ ] Autre : _______________________

Ce consentement est donné aux fins suivantes :
_______________________________________________________

Ces renseignements seront conservés pendant : ________________

Je peux retirer ce consentement en tout temps en écrivant à privacy@[domaine].
Je comprends que certains services pourraient ne plus m'être accessibles après le retrait.

Signature : _____________________ Date : _____________________

3. Avis aux personnes concernées (modèle d'incident)

À envoyer lorsqu'un incident de confidentialité présente un risque de préjudice sérieux. Courriel, lettre ou combinaison des deux selon l'ampleur.

OBJET : Avis d'incident de confidentialité concernant vos renseignements personnels

[Date]
[Nom de la personne]

Madame, Monsieur,

Nous vous écrivons pour vous informer qu'un incident de confidentialité est survenu
le [date ou période] et qu'il a touché certains de vos renseignements personnels que
nous détenons.

**Nature de l'incident**
[Description factuelle et claire, sans jargon technique. Ex. : « Un ordinateur portable
contenant votre dossier a été volé le X. Le rapport de police a été déposé. »]

**Renseignements touchés**
[Liste précise : nom, adresse, numéro de dossier, date de naissance, etc.]

**Ce que nous avons fait**
- [Mesures immédiates prises]
- [Notification à la Commission d'accès à l'information]
- [Mesures correctives en cours]

**Ce que vous pouvez faire**
- [Changer vos mots de passe si les identifiants sont concernés]
- [Surveiller votre dossier de crédit (Equifax, TransUnion)]
- [Signaler toute activité suspecte à vos institutions financières]

**Nous sommes disponibles**
Pour toute question, veuillez communiquer avec notre responsable de la protection
des renseignements personnels :
- Courriel : privacy@[domaine]
- Téléphone : [numéro]

Nous sommes sincèrement désolés pour cet incident et pour les inconvénients qu'il
peut vous causer.

[Signature]
[Nom et titre]
[Nom de l'entreprise]

4. Procédure interne de gestion d'incident (structure)

À conserver au manuel des procédures, accessible à tous les employés clés. Version courte : 2 pages.

PROCÉDURE DE GESTION D'UN INCIDENT DE CONFIDENTIALITÉ

## 1. Définition
Un incident de confidentialité est un accès, une utilisation ou une communication
non autorisée de renseignements personnels, ou une perte de tels renseignements.

## 2. Détection et signalement
Tout employé qui soupçonne un incident doit le signaler IMMÉDIATEMENT à :
- Responsable RP : [nom, courriel, téléphone 24/7]
- En cas d'absence : [nom du suppléant]
- Équipe TI (Hilo Tech) : [ligne d'urgence]

## 3. Confinement (0-2 h)
- Isoler les systèmes affectés.
- Révoquer les accès compromis.
- Préserver les traces (logs).
- Ne PAS tenter de « réparer » sans préservation.

## 4. Évaluation (2-24 h)
- Réunion de l'équipe de crise : responsable RP, direction, TI, avocat.
- Recueil des faits : quoi, quand, qui, combien de personnes, quelle sensibilité.
- Évaluation du risque de préjudice sérieux (trois facteurs : sensibilité,
  conséquences, probabilité d'utilisation malveillante).

## 5. Décisions (24-72 h)
- Notifier la CAI? (Oui si risque de préjudice sérieux)
- Notifier les personnes concernées? (Selon le même critère)
- Impliquer la police? (Vol physique, rançongiciel, menace)
- Assurance cyber à contacter?

## 6. Notifications (72 h +)
- CAI : formulaire en ligne (cai.gouv.qc.ca).
- Personnes : courriel ou lettre (modèle à l'annexe A).
- Inscription au registre des incidents.

## 7. Rétablissement
- Restauration des systèmes.
- Renforcement des contrôles.
- Formation ciblée de l'équipe.

## 8. Post-mortem
- Leçons apprises, documentées.
- Mise à jour de la procédure si nécessaire.
- Rapport à la direction dans les 30 jours.

5. Registre des incidents (structure Excel ou table)

Colonnes minimales :

| ID | Date découverte | Date incident | Description | Catégories RP | Nb personnes |
| Sensibilité | Risque préjudice sérieux | Notification CAI | Notification personnes |
| Mesures prises | Mesures préventives | Responsable dossier | Statut | Date clôture |

Le registre doit être immuable (pas de suppression, seulement ajouts et mises à jour traçables). Un journal Excel avec protection du classeur, un outil GRC spécialisé ou un tableau dans HaloPSA/ServiceNow avec historique des modifications fait l'affaire.

6. Gabarit d'EFVP (5 pages)

Voir le chapitre Transferts hors Québec pour le détail. Structure condensée :

  1. Description du traitement — service, fournisseur, données, volume, durée.
  2. Finalité — pourquoi, alternatives évaluées.
  3. Sensibilité — ordinaires/sensibles, justification.
  4. Flux de données — schéma simple.
  5. Régime juridique du destinataire — pays, loi, autorité, recours.
  6. Mesures techniques — chiffrement, MFA, cloisonnement, logs.
  7. Mesures contractuelles — DPA, clauses ajoutées.
  8. Risques résiduels — ce qui reste, probabilité, impact.
  9. Décision — autorisé / autorisé avec conditions / refusé.
  10. Revue — date de la prochaine revue (annuelle).

Hilo Tech peut fournir le gabarit Word complet à ses clients sur demande — validé avec l'avocat du client avant réutilisation.

Conditions d'utilisation de ces gabarits

  • Les gabarits sont fournis à titre informatif. Ils ne constituent pas un avis juridique.
  • Ils reflètent la Loi 25 telle qu'en vigueur le 20 avril 2026. Toute modification ultérieure de la loi ou de la jurisprudence de la CAI nécessite une mise à jour.
  • Chaque gabarit doit être adapté à votre secteur, votre taille, vos systèmes et vos risques spécifiques.
  • La validation par un avocat est fortement recommandée avant publication ou signature.

Pour obtenir les fichiers sources (Word, Excel) ou un accompagnement sur l'intégration technique, écrivez-nous à info@hilotech.ca.

PrécédentSanctions et pénalitésSuivantHistorique des versions
Retour au sommaire de la collection Guide Loi 25

Une question sur ce guide?

Pascal et Jérémie peuvent répondre directement par courriel ou lors d'un appel de découverte.

Nous écrire