«Страница» не обязательно должна быть HTTPS. Только соединение, которое захватывает информацию (если эти данные не сохраняются на незащищенной странице на другой незащищенной странице).
Такая защита работает на основе транзакций.
Как только вы загрузите свою страницу небезопасно (HTTP), вы можете загрузить защищенный контент, пока ваш ajax достигает защищенного URL (HTTPS).
Помимо этого, при работе с безопасными пользовательскими данными, безусловно, существуют и другие проблемы безопасности, но если вызов, который захватывает эти данные, выполняется через соединение HTTPS, то у вас все хорошо.
Еще один пример этого - если вы создали форму, собирающую информацию пользователей. Страницу, содержащую форму, не нужно доставлять через HTTPS, вам нужен HTTPS, только когда пользователь отправляет эти данные в ваше приложение для обработки. Не считайте «страницу» защищенной HTTPS, просто «транзакцию».
EDIT:
Перечитывая ваш вопрос, я думаю, что я сделал предположение. Если вы получаете эти защищенные данные после загрузки своей страницы, и вы используете ajax через HTTPS-соединение, то вы хороши.
Но в своем вопросе вы не упоминаете использование ajax. Если вы захватываете все данные и сразу отправляете их пользователю, а затем просто скрываете / отображаете их на странице, тогда ДА, эта страница должна быть HTTPS. Вы по-прежнему передаете защищенные данные через незащищенное соединение, даже если конечная страница их скрывает.