Loi 25 au Québec : ce que votre site web doit absolument avoir
La Loi 25 s'applique à toute entreprise québécoise qui collecte des renseignements personnels — incluant via un site web. Voici ce qui est obligatoire et ce qui ne l'est pas.
La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée pleinement en vigueur en septembre 2024. Elle s'applique à toute entreprise privée au Québec qui collecte, utilise ou communique des renseignements personnels. Si votre site a un formulaire de contact, un outil de soumission, ou Google Analytics, vous êtes concerné.
Ce guide couvre les obligations spécifiques aux sites web — pas la conformité globale de votre entreprise.
Disclaimer
Cet article est un guide pratique basé sur notre expérience à monter des sites conformes pour des PME québécoises. Pour des cas complexes (e-commerce avec profilage, données sensibles, transferts hors-Québec), consultez un avocat spécialisé en droit du numérique.
Les amendes sont réelles
La Commission d'accès à l'information (CAI) peut imposer des amendes administratives jusqu'à 10 millions $ ou 2 % du chiffre d'affaires mondial. Pour les pénalités pénales : jusqu'à 25 millions $ ou 4 % du CA. En pratique pour une PME, les amendes observées depuis 2024 se situent entre 5 000 $ et 50 000 $ selon la gravité — encore largement suffisant pour faire mal.
Le checklist obligatoire pour votre site web
1. Politique de confidentialité accessible et claire
Doit être :
- Accessible depuis chaque page du site (lien dans le pied de page)
- Rédigée en termes simples (pas du jargon juridique opaque)
- Disponible en français (et dans d'autres langues si vous opérez en plusieurs langues)
- À jour avec date de dernière modification visible
Elle doit identifier qui est responsable, quels renseignements sont collectés, pourquoi, combien de temps ils sont conservés, et à qui ils peuvent être communiqués.
2. Identification du responsable des renseignements personnels
Vous devez nommer un responsable de la protection des renseignements personnels et publier son nom et ses coordonnées (typiquement : nom, courriel, téléphone) sur le site. Par défaut, c'est la personne qui exerce la plus haute autorité dans l'entreprise — souvent le propriétaire pour une PME.
3. Consentement explicite pour la collecte non-essentielle
Distinction critique : la collecte nécessaire au service (ex : nom et courriel dans un formulaire de contact pour vous répondre) n'exige pas un consentement explicite séparé — l'utilisateur consent en soumettant. En revanche, la collecte non-essentielle (analytics, pixels publicitaires, remarketing) exige un consentement explicite, préalable, libre et éclairé.
Concrètement, cela signifie : bandeau de consentement aux témoins (cookies) avant de charger Google Analytics, Facebook Pixel, ou tout outil de suivi.
4. Mécanisme pour exercer les droits
Les utilisateurs ont le droit de :
- Accéder à leurs renseignements
- Faire rectifier des renseignements inexacts
- Retirer leur consentement
- Demander la suppression
- Demander la portabilité (depuis septembre 2024)
Votre site doit offrir un moyen simple d'exercer ces droits — typiquement un formulaire ou une adresse courriel dédiée. Vous avez 30 jours pour répondre.
5. Évaluation des facteurs relatifs à la vie privée (EFVP)
Obligatoire pour tout nouveau projet qui implique des renseignements personnels — incluant la refonte d'un site web qui ajoute de la collecte. C'est un document interne, pas affiché sur le site, mais vous devez pouvoir le produire si la CAI le demande.
6. Notification de violation
Si un incident expose des renseignements personnels (piratage, fuite, courriel envoyé au mauvais destinataire avec des données sensibles), vous devez aviser la CAI et les personnes concernées sans délai si le risque de préjudice est sérieux. Préparez un processus à l'avance — pas le moment d'improviser.
Les pièges les plus fréquents qu'on voit chez les PME
- Google Analytics chargé avant le consentement. 80 % des sites de PME québécois qu'on audite ont ce problème.
- Politique de confidentialité copiée d'un modèle américain. Souvent en anglais seulement, avec des références à des lois US qui ne s'appliquent pas ici.
- Formulaire de contact qui demande des renseignements non nécessaires (date de naissance, adresse complète) pour répondre à une simple question.
- Hébergement aux États-Unis sans information à ce sujet. Pas illégal, mais la Loi 25 exige que vous informiez l'utilisateur quand des renseignements sont transférés hors-Québec.
- Pas de mécanisme de retrait du consentement. Avoir un opt-in sans opt-out équivalent est une non-conformité.
Combien ça coûte de se mettre en conformité ?
Pour un site vitrine de PME typique :
- Rédaction d'une politique de confidentialité adaptée : 200 $ – 800 $
- Bandeau de consentement aux témoins conforme : 0 $ – 400 $ (selon l'outil utilisé)
- Page « Vos droits » avec formulaire d'exercice : 150 $ – 400 $
- Audit de conformité par un avocat : 800 $ – 3 000 $ (recommandé si vous traitez des données sensibles)
Chez ClairWeb, on inclut la conformité de base dans tous nos forfaits — politique de confidentialité personnalisée, bandeau cookies, mécanisme de droits, hébergement au Canada. C'est non-négociable pour un site lancé au Québec en 2026.
Pour aller plus loin
Le site officiel de la CAI publie des guides à jour, dont un Guide d'accompagnement pour les entreprises qui détaille les obligations par taille d'organisation.
Prêt à passer à l'action ?
Obtenez un devis pour un site clair, efficace et livré en 3 semaines.