Une politique RGPD européenne suffit-elle pour PIPEDA ?

Non. Bien que les deux régimes partagent des principes communs, une politique rédigée pour le RGPD omet typiquement le vocabulaire et les obligations spécifiques à PIPEDA : référence aux dix principes de l'Annexe 1, désignation d'un responsable de la vie privée canadien, procédure de notification d'atteinte au CPVP selon les articles 10.1 à 10.3, et mention du droit de plainte au Commissariat. Réutiliser une politique RGPD sans adaptation laisse des trous de conformité réels.

Faut-il une politique différente pour le Québec ?

Oui, dans la plupart des cas. La Loi 25 du Québec impose des exigences que PIPEDA ne couvre pas : consentement distinct par finalité, désignation publique du responsable de la protection des renseignements personnels (RPRP), évaluation des facteurs relatifs à la vie privée (ÉFVP), et droit à la portabilité. Les entreprises servant à la fois le Québec et le reste du Canada doivent soit produire deux politiques, soit une politique unifiée qui couvre les deux cadres avec des sections clairement délimitées.

À quelle fréquence faut-il mettre à jour sa politique de confidentialité ?

Au minimum une fois par an, plus à chaque changement matériel de vos pratiques (nouveau service, nouveau sous-traitant, changement de finalité, nouveau pays de stockage). PIPEDA n'impose pas de fréquence fixe, mais le principe de transparence exige que la politique reflète vos pratiques réelles à tout moment. Les modifications substantielles doivent être communiquées activement aux personnes concernées, pas seulement publiées passivement sur le site.

Que risque une entreprise qui n'a pas de politique conforme PIPEDA ?

Sous PIPEDA actuel, le Commissariat à la protection de la vie privée (CPVP) peut publier des conclusions nommant l'organisation, saisir la Cour fédérale qui peut ordonner la conformité et accorder des dommages-intérêts, et imposer des amendes spécifiques jusqu'à 100 000 $ CA pour les manquements aux obligations de notification d'atteinte. Le projet de loi C-27, une fois adopté, portera les sanctions administratives jusqu'à 10 millions $ CA ou 3 % du chiffre d'affaires brut mondial — un saut quantitatif qui changera la nature du risque.

PIPEDA s'applique-t-elle aux entreprises non canadiennes ?

Oui, dès qu'une entreprise étrangère collecte ou traite des renseignements personnels de résidents canadiens dans le cadre d'activités commerciales avec un lien réel et substantiel avec le Canada (vente de produits, ciblage publicitaire, services en ligne accessibles depuis le Canada). Une boutique en ligne européenne qui livre au Canada, ou un SaaS américain qui a des clients canadiens, sont concernés. La portée extraterritoriale est désormais clairement établie par la jurisprudence canadienne.

Politique Confidentialité PIPEDA : Modèle

Toute organisation canadienne du secteur privé qui collecte des renseignements personnels en ligne a une obligation : publier une politique de confidentialité conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA). Mais qu’est-ce qu’une « politique conforme » exactement ? Quelles mentions sont obligatoires, et lesquelles distinguent un modèle générique d’un document que le Commissariat à la protection de la vie privée du Canada (CPVP) considérera comme suffisant en cas de plainte ? Ce guide détaille les exigences précises, propose une structure de modèle conforme et identifie les sections que la plupart des modèles gratuits omettent.

Pourquoi PIPEDA exige une politique de confidentialité

Le huitième principe de l’Annexe 1 de PIPEDA — la transparence — impose que « les politiques et les pratiques d’une organisation concernant la gestion des renseignements personnels » soient « facilement accessibles ». La politique de confidentialité publiée sur votre site web est l’instrument principal de cette obligation. Elle n’est pas un document marketing ni un avertissement défensif : c’est l’engagement public et opposable de votre organisation envers les personnes dont elle traite les données.

Une obligation cumulative. PIPEDA exige une politique en application du principe de transparence, mais aussi en application du principe de détermination des fins (deuxième principe) : les fins de la collecte doivent être communiquées au moment ou avant la collecte. Sans politique accessible, la collecte des données via votre site est techniquement non conforme dès la première visite.

Une obligation opposable. Une fois publiée, votre politique vous engage. Si vous y déclarez que vous ne partagez pas les données avec des tiers, et qu’une enquête révèle un transfert vers un fournisseur d’analyse non mentionné, vous violez à la fois votre propre engagement et le sixième principe (limitation de l’utilisation et de la communication). C’est précisément pour cette raison qu’une politique générique copiée d’un autre site est dangereuse : elle ne reflète pas vos pratiques réelles.

Pour le cadre général de PIPEDA et son application, consultez notre guide complet pour les entreprises canadiennes.

Les 10 mentions obligatoires de votre politique PIPEDA

Le CPVP a publié des lignes directrices détaillées sur le contenu attendu d’une politique de confidentialité conforme. Voici les éléments incontournables, organisés selon la logique des dix principes de l’Annexe 1.

1. Identité de l’organisation et coordonnées du responsable de la vie privée. Votre politique doit nommer l’entité juridique qui contrôle les données et désigner clairement la personne responsable de la conformité à PIPEDA. Les coordonnées doivent permettre un contact direct (courriel et adresse postale). Une simple boîte « contact@… » sans nom de responsable est insuffisante.

2. Types de renseignements collectés. Listez de façon spécifique les catégories de données : nom, adresse courriel, adresse IP, données de géolocalisation, identifiants d’appareil, historique de navigation, données de transaction, contenus que l’utilisateur soumet. Le niveau de détail doit permettre à une personne ordinaire de savoir ce qui la concerne.

3. Finalités de la collecte. Pour chaque catégorie, indiquez pourquoi vous collectez les données : exécution d’une commande, gestion d’un compte, sécurité du site, mesure d’audience, marketing, obligations légales. Le deuxième principe interdit la collecte « au cas où » : chaque collecte doit avoir une finalité documentée.

4. Base de consentement. Précisez quel type de consentement vous obtenez (explicite ou implicite) pour chaque catégorie de finalité, et comment l’utilisateur peut le retirer. Pour les renseignements sensibles (santé, finances, biométrie), le consentement explicite est obligatoire.

5. Destinataires et tiers. Identifiez les catégories de tiers avec lesquels vous partagez des renseignements : fournisseurs de paiement, hébergeurs, services d’analyse, sous-traitants marketing, partenaires commerciaux. Précisez la finalité de chaque transfert. Si vous utilisez Google Analytics, Meta, Stripe ou un fournisseur de courriels américain, ils doivent figurer.

6. Transferts transfrontaliers. Si des données quittent le Canada, votre politique doit le signaler explicitement et identifier les pays de destination. Le CPVP a précisé que les utilisateurs doivent être informés que leurs données peuvent être soumises à des lois étrangères, y compris des lois permettant l’accès par les autorités gouvernementales étrangères.

7. Mesures de sécurité. Décrivez de manière non technique les mesures protégeant les renseignements : chiffrement en transit (HTTPS), chiffrement au repos, contrôles d’accès, surveillance, sauvegardes. Le septième principe exige que les mesures soient proportionnées à la sensibilité des données.

8. Durées de conservation. Indiquez combien de temps vous conservez chaque catégorie de données et selon quels critères (durée de la relation client + obligations légales fiscales et comptables). Une formule vague comme « le temps nécessaire » ne suffit pas.

9. Droits des personnes. Énoncez les droits que la personne peut exercer sous PIPEDA : accès à ses renseignements, correction des inexactitudes, retrait du consentement, plainte auprès du responsable de la vie privée puis auprès du CPVP. Décrivez la procédure pratique pour exercer chaque droit (formulaire, courriel dédié, délai de réponse).

10. Procédure d’atteinte et de plainte. Indiquez comment l’organisation traite les atteintes aux mesures de sécurité et comment l’utilisateur peut porter plainte. Cette section est traitée plus en détail ci-dessous, car la plupart des modèles l’omettent.

Différences avec une politique RGPD

Si vous opérez aussi en Europe, vous avez peut-être déjà une politique RGPD. Pouvez-vous simplement la republier pour le Canada ? La réponse courte est non. Pour comprendre les écarts, consultez notre comparaison PIPEDA vs RGPD.

Vocabulaire et références. PIPEDA utilise « renseignements personnels » et non « données à caractère personnel » ; « atteinte aux mesures de sécurité » et non « violation de données » ; « Commissariat à la protection de la vie privée » et non « CNIL » ou « ICO ». Une politique qui parle d’« autorité de contrôle » sans nommer le CPVP est inadaptée pour un public canadien.

Bases légales. Le RGPD énumère six bases légales (article 6) : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, intérêts légitimes. PIPEDA fonctionne presque exclusivement sur le consentement (avec des exceptions limitées prévues à l’article 7). Une politique qui invoque l’« intérêt légitime » sous PIPEDA est juridiquement infondée.

Droits des personnes. Le RGPD énumère huit droits explicites (accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée, plainte). PIPEDA reconnaît trois droits clairs : accès, correction, plainte. Le « droit à l’oubli » n’existe pas formellement sous PIPEDA — bien que la jurisprudence évolue. Une politique qui promet des droits inexistants pourrait créer une attente non opposable.

Notification d’atteinte. Le RGPD impose 72 heures pour notifier l’autorité. PIPEDA exige une notification au CPVP « le plus tôt possible » lorsque l’atteinte présente un risque réel de préjudice grave, sans délai chiffré. Les modalités diffèrent suffisamment pour mériter une rédaction dédiée.

La section atteintes : ce que les modèles oublient

Depuis novembre 2018, les articles 10.1 à 10.3 de PIPEDA imposent une obligation de notification des atteintes aux mesures de sécurité. Cette obligation a une conséquence directe sur votre politique de confidentialité : elle doit décrire publiquement la procédure d’atteinte, parce que les utilisateurs ont le droit de savoir comment ils seront avertis si leurs renseignements sont compromis.

Les éléments à inclure dans cette section :

L’engagement de l’organisation à évaluer toute atteinte selon le critère du « risque réel de préjudice grave » (RRPG)
Le canal de notification utilisé (courriel direct, lettre, notification dans le compte client)
Le délai cible de notification après détection
L’engagement de notifier le CPVP dans les cas où le RRPG est constaté
Le maintien d’un registre interne de toutes les atteintes, même celles qui n’atteignent pas le seuil RRPG
La possibilité pour l’utilisateur de demander la consultation de ses propres notifications historiques

Pourquoi cette section est si rare. Les modèles génériques disponibles gratuitement en ligne ont été pour la plupart rédigés avant 2018 ou recopiés de modèles européens. Ils mentionnent rarement le RRPG, jamais le registre interne, et donnent rarement un canal de notification clair. C’est un trou de conformité massif et facilement détectable par le CPVP en cas d’enquête.

Le non-respect de l’obligation de notification est passible d’amendes spécifiques jusqu’à 100 000 $ CA — la seule sanction monétaire directement chiffrée dans le PIPEDA actuel.

Quatre approches pour rédiger votre politique

Avocat spécialisé en protection de la vie privée

Coût : 2 500 à 8 000 $ CA. Délai : 2 à 4 semaines.

Un avocat canadien spécialisé audite vos flux de données réels, rédige une politique sur mesure et la fait évoluer en cas de changement réglementaire. C’est l’option la plus rigoureuse, recommandée pour les entreprises traitant des renseignements sensibles (santé, finances, données de mineurs) ou opérant dans plusieurs juridictions canadiennes (PIPEDA + Loi 25 + Alberta PIPA + B.C. PIPA).

Modèle gratuit en ligne

Coût : 0 $. Risque : élevé.

Les modèles gratuits sont génériques, souvent rédigés sous un autre régime juridique (RGPD, CCPA), et jamais adaptés à votre activité spécifique. Ils omettent typiquement la section atteinte, ne mentionnent pas le CPVP correctement, et créent un faux sentiment de conformité. En cas de plainte, ils sont insuffisants.

Outil d’IA générique (ChatGPT et équivalents)

Coût apparent : 0 $. Coût réel : les lacunes qu’il laisse.

Un assistant IA généraliste produit un texte qui ressemble à une politique conforme, mais il ne peut pas auditer vos pratiques réelles, ne connaît pas la version la plus récente des lignes directrices du CPVP, et confond fréquemment PIPEDA avec d’autres régimes. Le résultat passe le test visuel, pas le test juridique.

Générateur spécialisé en documents légaux

Coût : 14,90 $ CA à 49,90 $ CA. Délai : moins de 10 minutes.

Un générateur spécialisé pose des questions ciblées sur votre activité, vos catégories de données, vos sous-traitants et votre juridiction, puis produit une politique qui adresse les exigences spécifiques de PIPEDA — incluant la section atteinte, les droits canadiens et les références au CPVP. Le scanner de conformité de WebLegal couvre les exigences PIPEDA et identifie les manquements de votre politique actuelle. Cette approche offre le meilleur équilibre rigueur-coût pour la majorité des entreprises canadiennes en ligne.

Conclusion

Une politique de confidentialité conforme PIPEDA n’est pas un copier-coller d’un modèle européen ni un générateur générique. C’est un document qui reflète vos pratiques réelles, intègre les dix principes de l’Annexe 1, nomme correctement les autorités canadiennes, et inclut une section atteinte robuste. Avec le projet de loi C-27 qui portera les sanctions à 10 millions $ CA ou 3 % du chiffre d’affaires mondial, l’écart entre une politique « passable » et une politique réellement conforme deviendra rapidement un risque financier majeur. Agissez avant que cette transition ne devienne contrainte.