Conception Web

Loi 25 et site web au Québec : êtes-vous conforme ?

16 mars 202612 min de lecture
Balance de justice et cadenas représentant la protection des données personnelles et la Loi 25

Depuis le 22 septembre 2023, toutes les dispositions de la Loi 25 (officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ») sont pleinement en vigueur au Québec. Cette loi impose des obligations strictes à toute organisation qui recueille, utilise ou communique des renseignements personnels — et cela inclut pratiquement tout site web qui utilise des cookies, des formulaires ou des outils d'analyse.

Pourtant, selon une étude récente, plus de 60 % des sites web québécois ne sont toujours pas conformes à la Loi 25. Les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Ce guide complet vous explique tout ce que vous devez savoir et faire pour mettre votre site en conformité.

Qu'est-ce que la Loi 25 ?

La Loi 25, adoptée le 21 septembre 2021 par l'Assemblée nationale du Québec, est une modernisation majeure du cadre législatif québécois en matière de protection des renseignements personnels. Elle modifie principalement deux lois existantes :

  • La Loi sur la protection des renseignements personnels dans le secteur privé
  • La Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels

La Loi 25 est souvent comparée au RGPD européen (Règlement général sur la protection des données), bien qu'elle ait ses propres particularités. Son objectif est de donner aux Québécois un meilleur contrôle sur leurs données personnelles et d'imposer des responsabilités accrues aux organisations qui les collectent.

Mise en vigueur progressive

La loi a été déployée en trois phases :

  • 22 septembre 2022 : désignation d'un responsable de la protection des données, signalement des incidents de confidentialité
  • 22 septembre 2023 : politique de confidentialité, consentement explicite, droit à la portabilité, évaluations des facteurs relatifs à la vie privée (EFVP)
  • 22 septembre 2024 : droit à la portabilité des données pleinement en vigueur

En 2026, toutes les dispositions sont actives et la Commission d'accès à l'information (CAI) effectue des vérifications et impose des sanctions.

Quelles sont les obligations pour votre site web ?

1. Politique de confidentialité

Votre site web doit avoir une politique de confidentialité claire, accessible et rédigée en langage simple. Cette politique doit être disponible directement sur votre site (généralement dans le pied de page) et doit inclure :

  • Les types de renseignements personnels collectés (nom, courriel, adresse IP, données de navigation, etc.)
  • Les fins pour lesquelles ces renseignements sont collectés
  • Les moyens de collecte utilisés (formulaires, cookies, pixels de suivi, etc.)
  • Les droits des personnes concernées (accès, rectification, suppression, portabilité)
  • Les coordonnées du responsable de la protection des renseignements personnels
  • Les tiers à qui les données sont communiquées (Google Analytics, Facebook Pixel, fournisseur d'infolettre, etc.)
  • Le transfert hors Québec : si des données sont transférées à l'extérieur du Québec (serveurs aux États-Unis, par exemple)
  • La durée de conservation des renseignements

Erreur courante : utiliser un modèle générique copié d'Internet. Votre politique doit refléter exactement les pratiques de VOTRE site web et de VOTRE entreprise.

2. Consentement pour les cookies et technologies de suivi

C'est probablement l'obligation la plus visible pour les visiteurs de votre site. La Loi 25 exige un consentement explicite, libre, éclairé et spécifique avant de déposer des cookies non essentiels sur l'appareil de l'utilisateur.

Ce qui est considéré comme un cookie « non essentiel » :

  • Google Analytics et autres outils d'analyse de trafic
  • Facebook Pixel, LinkedIn Insight Tag et autres pixels de suivi publicitaire
  • Cookies de remarketing et de ciblage
  • Cookies de personnalisation (sauf s'ils sont strictement nécessaires au fonctionnement)
  • Widgets de réseaux sociaux qui trackent les utilisateurs

Ce qui est considéré comme un cookie « essentiel » (exempt de consentement) :

  • Cookies de session (maintien de la connexion)
  • Cookies du panier d'achat sur un site e-commerce
  • Cookies de sécurité (CSRF, protection contre les fraudes)
  • Cookies de préférences de langue
  • Cookies nécessaires au fonctionnement technique du site

3. La bannière de consentement aux cookies

Pour respecter la Loi 25, votre bannière de cookies doit respecter plusieurs critères :

  • Opt-in explicite : les cookies non essentiels ne doivent PAS être activés par défaut. Le visiteur doit activement accepter.
  • Options claires : le visiteur doit pouvoir accepter, refuser ou personnaliser ses choix. Le bouton « Refuser » doit être aussi visible que le bouton « Accepter ».
  • Information suffisante : la bannière doit expliquer quels types de cookies sont utilisés et pourquoi.
  • Pas de « dark patterns » : interdiction de rendre le refus plus difficile que l'acceptation (couleurs différentes, boutons cachés, nombre de clics supplémentaires).
  • Retrait du consentement : le visiteur doit pouvoir changer d'avis à tout moment via un lien accessible (souvent dans le pied de page).
  • Conservation de la preuve : vous devez être en mesure de prouver que le consentement a été obtenu.

Important : une simple bannière d'information (« Ce site utilise des cookies. En continuant, vous acceptez. ») n'est PAS conforme à la Loi 25. Le consentement implicite n'est pas valide.

4. Responsable de la protection des renseignements personnels

Toute organisation doit désigner un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité (le PDG). Mais cette responsabilité peut être déléguée par écrit à une autre personne.

Le titre et les coordonnées de cette personne doivent être publiés sur votre site web (généralement dans la politique de confidentialité et/ou sur une page dédiée).

5. Évaluation des facteurs relatifs à la vie privée (EFVP)

Avant de mettre en place un nouveau projet impliquant des renseignements personnels, vous devez réaliser une EFVP. Pour un site web, cela inclut :

  • L'ajout d'un nouvel outil de suivi (nouveau pixel, nouvelle plateforme d'analyse)
  • La refonte du site impliquant de nouveaux formulaires ou processus de collecte
  • L'intégration d'un nouveau fournisseur qui accédera aux données des visiteurs
  • Le transfert de données vers un service hébergé à l'extérieur du Québec

6. Gestion des incidents de confidentialité

En cas de fuite de données ou d'incident de confidentialité impliquant un risque de préjudice sérieux, vous devez :

  1. Aviser la Commission d'accès à l'information (CAI) dans les plus brefs délais
  2. Aviser les personnes concernées
  3. Tenir un registre des incidents (même ceux sans risque de préjudice sérieux)

Pour un site web, un incident pourrait être : une faille de sécurité exposant les données des utilisateurs, un accès non autorisé à votre base de données clients, ou l'envoi accidentel de données à un mauvais destinataire.

Les sanctions en cas de non-conformité

La Loi 25 prévoit des sanctions sévères :

  • Sanctions administratives pécuniaires : jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial
  • Sanctions pénales : jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial
  • Droit privé d'action : les personnes dont les données ont été mal utilisées peuvent poursuivre l'entreprise et réclamer des dommages-intérêts punitifs d'au moins 1 000 $ par personne

En 2025-2026, la CAI a commencé à émettre ses premières sanctions. Bien que les PME ne soient pas les premières ciblées, la tendance est claire : la tolérance diminue et les vérifications augmentent.

Checklist de conformité Loi 25 pour votre site web

Utilisez cette checklist pour vérifier la conformité de votre site web :

Politique de confidentialité

  • ☐ La politique est accessible depuis toutes les pages (lien dans le pied de page)
  • ☐ Elle est rédigée en langage clair et simple
  • ☐ Elle liste tous les types de données collectées
  • ☐ Elle explique les finalités de la collecte
  • ☐ Elle identifie les tiers qui reçoivent des données
  • ☐ Elle mentionne les transferts hors Québec
  • ☐ Elle inclut les coordonnées du responsable de la protection des données
  • ☐ Elle décrit les droits des utilisateurs et comment les exercer
  • ☐ Elle indique la durée de conservation des données

Bannière de consentement aux cookies

  • ☐ Les cookies non essentiels sont bloqués AVANT le consentement
  • ☐ Le visiteur peut accepter, refuser ou personnaliser
  • ☐ Le bouton « Refuser » est aussi visible que « Accepter »
  • ☐ Les catégories de cookies sont clairement expliquées
  • ☐ Le consentement est enregistré et peut être prouvé
  • ☐ Le visiteur peut modifier son choix à tout moment
  • ☐ Pas de « dark patterns » ni de manipulation

Formulaires et collecte de données

  • ☐ Chaque formulaire ne collecte que les données nécessaires (minimisation)
  • ☐ La finalité de la collecte est indiquée sur le formulaire
  • ☐ Le consentement est obtenu avant l'inscription à une infolettre
  • ☐ Les données sont transmises de manière sécurisée (HTTPS)

Organisation

  • ☐ Un responsable de la protection des données est désigné
  • ☐ Ses coordonnées sont publiées sur le site
  • ☐ Un processus de gestion des incidents est en place
  • ☐ Un registre des incidents est maintenu
  • ☐ Des EFVP sont réalisées avant tout nouveau projet de collecte

Exemples concrets de mise en conformité

Exemple 1 : site vitrine d'un professionnel

Un comptable de Vaudreuil-Dorion a un site WordPress avec un formulaire de contact, Google Analytics et un widget Facebook. Pour se conformer à la Loi 25, il a dû :

  1. Installer une bannière de consentement qui bloque Google Analytics et le widget Facebook jusqu'au consentement
  2. Rédiger une politique de confidentialité mentionnant Google (États-Unis) et Facebook (États-Unis) comme destinataires de données
  3. Ajouter une mention sous le formulaire de contact indiquant la finalité de la collecte
  4. Se désigner comme responsable de la protection des données

Exemple 2 : boutique e-commerce

Une boutique en ligne sur Shopify collecte beaucoup plus de données : nom, adresse, courriel, téléphone, historique d'achats, données de paiement. En plus des mesures du site vitrine, elle a dû :

  1. Revoir sa politique de confidentialité pour inclure les données transactionnelles
  2. S'assurer que les applications Shopify tierces sont conformes
  3. Configurer la bannière pour bloquer les pixels de remarketing (Facebook, Google Ads) avant consentement
  4. Mettre en place un processus de droit à l'effacement (permettre aux clients de demander la suppression de leurs données)
  5. Réaliser une EFVP pour chaque nouvelle application Shopify installée

Exemple 3 : site avec infolettre

Un restaurant de Montréal collecte les courriels pour son infolettre via Mailchimp. Obligations supplémentaires :

  1. Double opt-in pour l'inscription à l'infolettre (confirmation par courriel)
  2. Mention que les données sont transférées aux États-Unis (serveurs de Mailchimp)
  3. Lien de désinscription fonctionnel dans chaque envoi
  4. Conservation des preuves de consentement

Outils recommandés pour la conformité

Plusieurs outils peuvent vous aider à mettre votre site web en conformité avec la Loi 25 :

  • CookieYes : plateforme de gestion du consentement (CMP) abordable, conforme Loi 25 et RGPD, facile à installer sur WordPress et Shopify
  • Complianz : plugin WordPress populaire avec détection automatique des cookies et génération de politique de confidentialité
  • OneTrust : solution entreprise plus complète pour les grandes organisations
  • Didomi : CMP française avec support bilingue, populaire au Québec
  • Google Tag Manager : en mode consentement, permet de bloquer les tags jusqu'à l'obtention du consentement via le Google Consent Mode v2

Loi 25 vs RGPD : quelles différences ?

Si votre site web cible également des utilisateurs européens, vous devez aussi vous conformer au RGPD. Voici les principales différences :

  • Portée géographique : la Loi 25 s'applique aux organisations québécoises; le RGPD s'applique à toute entreprise qui traite des données de résidents de l'UE
  • Délégué à la protection des données : obligatoire sous le RGPD dans certains cas, toujours requis sous la Loi 25
  • Consentement : similaire dans les deux cas (explicite, libre, éclairé)
  • Sanctions : RGPD jusqu'à 20 M€ ou 4 %; Loi 25 jusqu'à 25 M$ ou 4 %
  • Droit à l'oubli : plus détaillé dans le RGPD, mais présent dans la Loi 25 via le droit à la désindexation

En pratique, si votre site est conforme au RGPD, il est généralement conforme à la Loi 25 avec quelques ajustements mineurs. L'inverse n'est pas toujours vrai.

Questions fréquentes sur la Loi 25

Mon site ne collecte que des courriels via un formulaire. Suis-je concerné ?

Oui. Un courriel est un renseignement personnel. Vous devez avoir une politique de confidentialité, indiquer la finalité de la collecte et obtenir un consentement valide. Si vous utilisez aussi Google Analytics ou un pixel Facebook, une bannière de consentement est nécessaire.

Les cookies de Google Analytics sont-ils considérés comme essentiels ?

Non. Google Analytics n'est pas nécessaire au fonctionnement technique du site. Il requiert un consentement explicite. Cela signifie que vos données Analytics sous-estimeront votre trafic réel (les visiteurs qui refusent les cookies ne seront pas trackés).

Puis-je utiliser un « cookie wall » (bloquer l'accès au site sans acceptation) ?

Non. Le consentement doit être libre. Conditionner l'accès au site à l'acceptation des cookies rend le consentement non valide selon la Loi 25.

Combien de temps le consentement est-il valide ?

La Loi 25 ne spécifie pas de durée exacte, mais la pratique recommandée est de redemander le consentement tous les 12 mois. C'est ce que font la plupart des plateformes de gestion du consentement.

Conclusion : la conformité à la Loi 25 est une obligation, pas une option

La Loi 25 n'est pas qu'une contrainte réglementaire — c'est aussi une opportunité de bâtir la confiance avec vos visiteurs et clients. Dans un monde où les préoccupations en matière de vie privée sont croissantes, un site web transparent sur ses pratiques de collecte de données se démarque positivement.

La mise en conformité n'est pas aussi complexe ni aussi coûteuse qu'on pourrait le croire. Pour un site vitrine standard, quelques heures de travail suffisent. Pour un site e-commerce, prévoyez un effort plus important mais tout à fait gérable avec l'accompagnement d'un professionnel.

Chez H1Site, nous accompagnons les entreprises québécoises dans la mise en conformité de leur site web avec la Loi 25. De l'audit initial à l'implémentation technique de la bannière de consentement et de la politique de confidentialité, nous prenons en charge l'ensemble du processus. Contactez-nous pour un audit de conformité gratuit.

H1

H1Site

Agence Web Vaudreuil

Retour au blogue

Rendez votre site conforme à la Loi 25

Évitez les sanctions et protégez la confiance de vos clients. Notre équipe met votre site web en conformité avec la Loi 25 rapidement et efficacement.

Demander un devis gratuit