Conformité (Loi 25)
Site web conforme à la Loi 25 : ce qu'il faut vraiment mettre en place (checklist 2026)
Pour qu'un site web soit conforme à la Loi 25 au Québec, il doit réunir quatre éléments : une **bannière de consentement aux cookies** (consentement libre, éclairé et actif *avant* le dépôt de témoins non essentiels), une **politique de confidentialité** claire et accessible, la **désignation d'un responsable de la protection des renseignements personnels** rendue publique, et des **paramètres réglés au plus haut niveau de confidentialité par défaut**. Toutes les dispositions de la Loi 25 sont en vigueur depuis septembre 2024 — la conformité n'est plus optionnelle.
Mis à jour le 1 juillet 2026
La Loi 25 (anciennement projet de loi 64) s'applique à toute entreprise québécoise qui recueille des renseignements personnels, peu importe sa taille. Un simple formulaire de contact, une infolettre, un pixel publicitaire ou un CRM suffisent à vous assujettir. Voici la checklist concrète pour votre site.
1. La bannière de consentement aux cookies (article 8)
C'est l'obligation la plus visible. Depuis septembre 2023, tout site accessible au Québec doit obtenir un consentement manifeste, libre et éclairé avant de déposer des témoins (cookies) non essentiels — analytics, publicité, réseaux sociaux, remarketing.
En pratique, cela veut dire :
- Aucun cookie non essentiel ne se dépose avant le clic. Une bannière purement décorative qui charge Google Analytics ou le pixel Meta au chargement de la page n'est pas conforme.
- Le refus doit être aussi facile que l'acceptation. Pas de bouton « Accepter » bien visible et de « Refuser » caché dans trois sous-menus.
- Le consentement doit être granulaire : l'internaute distingue les catégories (nécessaires, statistiques, marketing).
- Le consentement est documenté et l'internaute peut le retirer aussi simplement qu'il l'a donné.
Les cookies strictement nécessaires au fonctionnement du site (panier, session, sécurité) n'exigent pas de consentement préalable, mais doivent tout de même être décrits dans votre politique.
2. La politique de confidentialité
Dès que vous recueillez des renseignements par un moyen technologique, vous devez publier une politique de confidentialité rédigée en termes clairs et simples. Elle doit expliquer :
- Quelles données sont collectées et pourquoi (finalités précises);
- Comment elles sont protégées et combien de temps elles sont conservées;
- Si des données sont communiquées hors Québec;
- Comment exercer ses droits : accès, rectification, retrait du consentement, et le nouveau droit à la désindexation (droit à l'oubli).
La politique doit être facilement accessible — typiquement un lien permanent au pied de page.
3. Le responsable de la protection des renseignements personnels (RPRP)
Chaque entreprise doit désigner une personne responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité (souvent le président ou la PDG), mais la fonction peut être déléguée par écrit. Point clé pour votre site : le titre et les coordonnées de cette personne doivent être rendus publics, idéalement dans la politique de confidentialité.
4. Confidentialité par défaut et évaluations (EFVP)
Deux obligations plus techniques, souvent oubliées :
- Confidentialité par défaut : les paramètres d'un produit ou service technologique offert au public doivent, sans intervention de la personne, assurer le plus haut niveau de confidentialité. Concrètement, pas de cases précochées, pas de partage activé par défaut.
- Évaluation des facteurs relatifs à la vie privée (EFVP) : une évaluation est requise pour tout projet d'acquisition, de développement ou de refonte d'un système d'information touchant des renseignements personnels, et avant toute communication de données hors Québec. C'est le moment d'y penser : au moment de refaire votre site, pas trois ans plus tard.
Combien ça coûte de se conformer ?
Le coût dépend surtout de ce que vous manipulez comme données. Repères de marché québécois 2026 :
- Audit de conformité + politique de confidentialité de base : environ 100 $ à 750 $ (fourchette indicative — à confirmer selon le projet).
- Implémentation d'une plateforme de gestion du consentement (CMP) sur mesure, avec catégorisation des cookies : souvent 500 $ à 2 500 $ en frais de mise en place, plus parfois un abonnement mensuel (fourchette indicative — à confirmer selon le projet).
- Accompagnement complet (EFVP, registre, procédures internes, formation) pour une PME avec des données sensibles : 3 000 $ à 10 000 $ et plus (fourchette indicative — à confirmer selon le projet).
À mettre en perspective avec les sanctions : les sanctions administratives de la Commission d'accès à l'information (CAI) peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, et les sanctions pénales jusqu'à 25 M$ ou 4 % — le montant le plus élevé s'appliquant. En 2026, la CAI a renforcé ses ressources d'inspection et les premières sanctions commencent à tomber.
Checklist express
- Bannière de consentement qui bloque les cookies non essentiels avant le clic
- Bouton « Refuser » aussi accessible que « Accepter »
- Politique de confidentialité claire, avec finalités et durées de conservation
- Coordonnées du responsable de la protection publiées
- Confidentialité maximale par défaut (aucune case précochée)
- EFVP réalisée avant toute refonte ou transfert de données hors Québec
- Procédure de réponse en cas d'incident de confidentialité
On rend votre site conforme
Chez Bollé Communications, on intègre la conformité Loi 25 directement dans nos projets de conception web : bannière de consentement fonctionnelle, blocage réel des cookies non essentiels, politique de confidentialité adaptée à vos pratiques et paramètres réglés par défaut. Vous voulez savoir où votre site se situe ? Parlons-en — et consultez notre propre politique de confidentialité pour voir à quoi ressemble un exemple conforme.
Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Pour une évaluation formelle de votre conformité, consultez un professionnel du droit.
Questions fréquentes
Ma petite entreprise est-elle vraiment visée par la Loi 25 ?
Oui. La Loi 25 s'applique à toute entreprise qui recueille des renseignements personnels, sans seuil de taille. Un formulaire de contact ou une infolettre suffit.
Google Analytics est-il permis sous la Loi 25 ?
Oui, mais seulement **après** un consentement valide. Le script ne doit pas se charger tant que l'internaute n'a pas accepté les cookies statistiques.
Un modèle de politique de confidentialité trouvé en ligne est-il suffisant ?
C'est un point de départ, mais il doit refléter vos **vraies** pratiques (données réellement collectées, outils utilisés, transferts hors Québec). Une politique générique qui ne correspond pas à la réalité ne vous protège pas.
Qui peut être le responsable de la protection des renseignements ?
Par défaut, la personne ayant la plus haute autorité dans l'entreprise. Elle peut déléguer la fonction par écrit, mais le titre et les coordonnées doivent rester publics.
Que risque-t-on concrètement en cas de non-conformité ?
Des sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires) ou pénales (jusqu'à 25 M$ ou 4 %), en plus du risque réputationnel. Les dirigeants peuvent être visés personnellement au pénal.