Conception Web

Formulaire de consentement Loi 25 : modèle et guide de conformité

22 mars 202610 min de lecture
Document de consentement et formulaire de conformité pour la Loi 25 au Québec

La Loi 25 (anciennement projet de loi 64) a transformé le paysage de la protection des renseignements personnels au Québec. Depuis son entrée en vigueur progressive entre 2022 et 2024, toutes les entreprises qui collectent des données personnelles via leur site web doivent se conformer à des exigences strictes en matière de consentement.

Si vous vous demandez comment créer un formulaire de consentement conforme à la Loi 25, quelle bannière de cookies implémenter ou comment rédiger votre politique de confidentialité, ce guide vous accompagne étape par étape. Nous vous fournissons des modèles concrets, des exemples par type de site et les outils pour simplifier votre mise en conformité.

Qu'est-ce que la Loi 25 et pourquoi vous concerne-t-elle ?

La Loi 25 modernise la protection des renseignements personnels au Québec. Elle s'applique à toute entreprise qui collecte, utilise ou communique des renseignements personnels de citoyens québécois, qu'elle soit basée au Québec ou ailleurs.

En pratique, si votre site web utilise un formulaire de contact, un formulaire d'inscription à l'infolettre, des cookies de suivi (Google Analytics, Facebook Pixel), un système de e-commerce ou tout autre mécanisme qui recueille des données personnelles, vous êtes concerné.

Les principales obligations incluent :

  • Consentement éclairé : obtenir le consentement clair et explicite des utilisateurs avant de collecter leurs données personnelles.
  • Politique de confidentialité : publier une politique détaillée décrivant quelles données sont collectées, pourquoi, comment elles sont utilisées et avec qui elles sont partagées.
  • Responsable de la protection des renseignements personnels : désigner une personne chargée de la conformité au sein de votre organisation.
  • Droit de retrait : permettre aux utilisateurs de retirer leur consentement facilement et à tout moment.
  • Notification en cas d'incident : signaler toute atteinte aux renseignements personnels à la Commission d'accès à l'information du Québec (CAI).
  • Évaluation des facteurs relatifs à la vie privée (EFVP) : réaliser une EFVP pour tout projet impliquant des renseignements personnels.

Pour un guide complet sur toutes les obligations de la Loi 25 pour les sites web, consultez notre article dédié sur la Loi 25 et votre site web.

Consentement implicite vs explicite : quelle différence ?

La Loi 25 distingue deux types de consentement, et il est crucial de comprendre quand utiliser chacun.

Consentement implicite

Le consentement implicite s'applique lorsque la collecte de données est nécessaire à la prestation d'un service que l'utilisateur a explicitement demandé. Par exemple :

  • Un formulaire de contact qui collecte le nom et le courriel pour répondre à une demande.
  • Un formulaire de commande qui collecte l'adresse de livraison pour expédier un produit.
  • Les cookies strictement nécessaires au fonctionnement du site (panier d'achat, session de connexion).

Dans ces cas, le consentement est considéré comme implicite par l'action même de remplir le formulaire ou d'utiliser le service. Cependant, vous devez tout de même informer l'utilisateur de la collecte via votre politique de confidentialité.

Consentement explicite

Le consentement explicite est requis pour toute collecte de données qui dépasse ce qui est strictement nécessaire. Il doit être libre, éclairé, spécifique et donné par un acte positif clair. Par exemple :

  • Inscription à une infolettre marketing.
  • Cookies de suivi et d'analyse (Google Analytics, Facebook Pixel, Hotjar).
  • Cookies publicitaires et de remarketing.
  • Partage de données avec des partenaires tiers.
  • Collecte de données sensibles (données de santé, opinions politiques, etc.).

Important : le consentement explicite ne peut pas être présumé. Les cases pré-cochées, le défilement de page ou la simple poursuite de la navigation ne constituent pas un consentement valide selon la Loi 25.

La bannière de cookies : votre premier point de conformité

La bannière de cookies (ou bandeau de consentement) est l'élément le plus visible de votre conformité à la Loi 25. Elle doit apparaître dès la première visite et permettre à l'utilisateur de faire un choix éclairé.

Éléments obligatoires d'une bannière conforme

  • Information claire : expliquer en langage simple quels types de cookies sont utilisés et pourquoi.
  • Options de choix : proposer au minimum « Accepter tout », « Refuser tout » et « Personnaliser » (gérer les préférences par catégorie).
  • Catégorisation des cookies : distinguer les cookies nécessaires (toujours actifs) des cookies d'analyse, de marketing et de fonctionnalités.
  • Lien vers la politique de confidentialité : permettre à l'utilisateur d'accéder facilement aux détails complets.
  • Pas de dark patterns : le bouton « Refuser » doit être aussi visible et accessible que le bouton « Accepter ». Pas de couleurs trompeuses ni de textes manipulateurs.

Modèle de texte pour votre bannière

Voici un modèle de texte que vous pouvez adapter pour votre bannière de cookies :

« Nous utilisons des cookies pour améliorer votre expérience sur notre site, analyser le trafic et personnaliser le contenu. Les cookies nécessaires sont essentiels au fonctionnement du site. Vous pouvez accepter ou refuser les cookies optionnels (analyse, marketing) à tout moment. Consultez notre politique de confidentialité pour en savoir plus. »

Modèle de formulaire de consentement par type de site

Le formulaire de consentement doit être adapté au contexte de votre site web. Voici des exemples concrets pour les situations les plus courantes.

Site e-commerce

Pour une boutique en ligne, le consentement doit couvrir plusieurs aspects :

  • Formulaire de commande : consentement implicite pour les données de transaction (nom, adresse, paiement). Ajoutez une mention : « En passant cette commande, vous acceptez que nous collections vos renseignements personnels aux fins de traitement et de livraison de votre commande, conformément à notre politique de confidentialité. »
  • Création de compte : consentement explicite pour le stockage des données au-delà de la transaction. Case à cocher : « J'accepte la création d'un compte pour faciliter mes futures commandes. Je comprends que je peux demander la suppression de mon compte à tout moment. »
  • Infolettre promotionnelle : consentement explicite séparé. Case à cocher non pré-cochée : « J'accepte de recevoir des offres promotionnelles et des nouvelles par courriel. Je peux me désinscrire à tout moment. »

Site avec formulaire de contact

Pour un simple formulaire de contact, ajoutez sous le bouton d'envoi :

« En soumettant ce formulaire, vous consentez à ce que [Nom de l'entreprise] collecte et utilise les renseignements fournis dans le seul but de répondre à votre demande. Vos données ne seront pas partagées avec des tiers. Consultez notre politique de confidentialité pour connaître vos droits. »

Site avec inscription à l'infolettre

L'inscription à une infolettre nécessite un consentement explicite distinct :

  • Case à cocher non pré-cochée obligatoire.
  • Texte clair : « J'accepte de recevoir l'infolettre de [Nom de l'entreprise]. Mon adresse courriel sera utilisée uniquement à cette fin. Je peux me désabonner à tout moment en cliquant sur le lien de désabonnement dans chaque courriel. »
  • Lien vers la politique de confidentialité.
  • Confirmation par double opt-in recommandée (courriel de confirmation).

Site avec prise de rendez-vous en ligne

Pour les professionnels de la santé, les salons de beauté, les consultants et autres services avec prise de rendez-vous :

« En réservant ce rendez-vous, vous consentez à ce que [Nom de l'entreprise] collecte et conserve vos coordonnées et les informations relatives à votre rendez-vous. Ces données seront utilisées pour gérer votre rendez-vous, vous envoyer des rappels et assurer le suivi de votre dossier. Consultez notre politique de confidentialité. »

Rédiger votre politique de confidentialité

La politique de confidentialité est le document central de votre conformité. Elle doit être facilement accessible depuis toutes les pages de votre site (généralement dans le pied de page) et contenir les éléments suivants :

  • Identité du responsable : nom de l'entreprise, coordonnées et nom du responsable de la protection des renseignements personnels.
  • Types de données collectées : liste exhaustive des renseignements personnels que vous collectez (nom, courriel, adresse IP, données de navigation, etc.).
  • Finalités de la collecte : pourquoi vous collectez chaque type de données (traitement de commandes, communication marketing, analyse du trafic, etc.).
  • Base légale du traitement : consentement, exécution d'un contrat ou intérêt légitime.
  • Destinataires des données : avec qui les données sont partagées (sous-traitants, partenaires, fournisseurs de services tiers).
  • Durée de conservation : combien de temps vous conservez les données.
  • Droits des utilisateurs : droit d'accès, de rectification, de suppression, de retrait du consentement et de portabilité.
  • Transferts hors Québec : si les données sont transférées à l'extérieur du Québec (par exemple, vers des serveurs américains), cela doit être mentionné avec les mesures de protection en place.
  • Processus de plainte : comment l'utilisateur peut porter plainte auprès de la CAI.

Outils pour simplifier votre conformité

Plusieurs outils peuvent vous aider à implémenter rapidement une solution de consentement conforme à la Loi 25 sur votre site web.

CookieYes

CookieYes est l'un des outils les plus populaires pour gérer le consentement aux cookies. Il offre une bannière personnalisable, une catégorisation automatique des cookies, un registre des consentements et une compatibilité avec la Loi 25 et le RGPD. Le plan gratuit convient aux petits sites, tandis que les plans payants (à partir de 10 $/mois) offrent des fonctionnalités avancées.

Complianz

Complianz est un plugin WordPress complet qui gère à la fois la bannière de cookies et la génération de la politique de confidentialité. Il scanne automatiquement les cookies de votre site, génère une documentation conforme et offre des mises à jour régulières pour suivre l'évolution de la législation. Le plugin premium coûte environ 45 $ par année et par site.

Autres solutions

  • Didomi : solution entreprise avec gestion avancée des préférences de consentement. Idéal pour les grandes organisations.
  • OneTrust : plateforme complète de gouvernance des données, adaptée aux entreprises de taille moyenne à grande.
  • Axeptio : solution française avec une interface utilisateur particulièrement soignée et une approche « privacy by design ».
  • Google Consent Mode v2 : permet d'ajuster le comportement de Google Analytics et Google Ads en fonction du consentement de l'utilisateur.

Sanctions en cas de non-conformité

Les entreprises qui ne respectent pas la Loi 25 s'exposent à des sanctions sévères :

  • Sanctions administratives : la Commission d'accès à l'information du Québec peut imposer des pénalités allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
  • Sanctions pénales : des amendes de 15 000 $ à 25 millions de dollars pour les infractions les plus graves.
  • Droit privé d'action : les individus lésés peuvent poursuivre l'entreprise en dommages et intérêts, avec un minimum de 1 000 $ en dommages punitifs.
  • Atteinte à la réputation : au-delà des amendes, une violation de données ou une non-conformité publique peut causer des dommages considérables à votre image de marque.

Ne prenez pas de risques inutiles. La mise en conformité est un investissement modeste comparé aux sanctions potentielles et aux dommages réputationnels.

Erreurs courantes à éviter

Voici les erreurs les plus fréquentes que nous observons chez les entreprises québécoises :

  • Cases pré-cochées : les cases de consentement pour l'infolettre ou les cookies optionnels ne doivent JAMAIS être pré-cochées.
  • Mur de cookies (cookie wall) : bloquer l'accès au site si l'utilisateur refuse les cookies non essentiels est interdit.
  • Consentement groupé : demander un seul consentement pour plusieurs finalités (marketing + analyse + partage tiers) n'est pas conforme. Chaque finalité doit avoir son propre consentement.
  • Absence de mécanisme de retrait : l'utilisateur doit pouvoir retirer son consentement aussi facilement qu'il l'a donné.
  • Politique de confidentialité générique : copier-coller une politique trouvée en ligne sans l'adapter à votre réalité n'est pas suffisant et peut vous exposer.
  • Ignorer les cookies tiers : même si vous n'avez pas directement installé de cookies, les scripts tiers (YouTube, Google Maps, réseaux sociaux) en déposent. Vous êtes responsable de tous les cookies sur votre site.

Conclusion : passez à l'action maintenant

La conformité à la Loi 25 n'est pas optionnelle — c'est une obligation légale qui protège à la fois vos clients et votre entreprise. La mise en place d'un formulaire de consentement adéquat, d'une bannière de cookies conforme et d'une politique de confidentialité complète est un investissement modeste qui vous protège de sanctions potentiellement dévastatrices.

N'attendez pas qu'un client dépose une plainte ou que la CAI frappe à votre porte. Agissez maintenant pour mettre votre site web en conformité.

Chez H1Site, nous accompagnons les entreprises québécoises dans leur mise en conformité à la Loi 25. De l'audit de votre site actuel à l'implémentation complète des mécanismes de consentement, notre équipe s'assure que votre site web respecte toutes les exigences légales. Contactez-nous pour une évaluation gratuite de votre conformité.

H1

H1Site

Agence Web Vaudreuil

Retour au blogue

Besoin d'aide avec la conformité Loi 25 ?

Notre équipe vous accompagne dans la mise en conformité de votre site web avec la Loi 25. Bannière de cookies, formulaires de consentement et politique de confidentialité — on s'occupe de tout.

Demander un devis gratuit