En bref: la Loi 25 est en vigueur depuis 2023 et elle s’applique à ton site web, peu importe la taille de ton entreprise. Quatre éléments sont concernés : ta politique de confidentialité, le consentement aux cookies, tes formulaires de contact et la désignation d’un responsable à la protection des données. Une vraie conformité, c’est aussi un scan régulier des témoins actifs et un tableau de bord qui enregistre les consentements. Cet article t’explique chaque obligation et comment la corriger côté technique.
Loi 25 et ton site web : ce que tu dois avoir maintenant
La Loi 25 est pleinement en vigueur depuis septembre 2023. Pourtant, la majorité des sites web de PME québécoises ne respectent toujours pas ses exigences de base. Ce n’est pas une question de mauvaise volonté. C’est une question d’information. Voici exactement ce que la loi exige de ton site, et comment tu peux corriger la situation.
C’est quoi la Loi 25, et pourquoi ça te concerne
La Loi 25, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est entrée progressivement en vigueur entre 2022 et 2024. Elle encadre la façon dont les entreprises québécoises collectent, utilisent et conservent les renseignements personnels de leurs clients.
Beaucoup de dirigeants de PME pensent que c’est une loi pour les grandes corporations. Ce n’est pas le cas. Elle s’applique à toute entreprise qui traite des renseignements personnels dans le cadre de ses opérations au Québec, quelle que soit sa taille.
Si ton site a un formulaire de contact, un pixel publicitaire, Google Analytics ou une boutique en ligne, tu es concerné.
Les 6 obligations concrètes pour ton site web
1. Une politique de confidentialité conforme
Ton site doit afficher une politique de confidentialité qui explique clairement : quels renseignements tu collectes, pourquoi tu les collectes, combien de temps tu les conserves, et qui y a accès.
Une politique générique copiée sur un autre site ne suffit pas. La Commission d’accès à l’information (CAI) peut vérifier si ta politique correspond réellement à tes pratiques. Si ce n’est pas le cas, tu es exposé.
2. Le consentement aux témoins (cookies) non essentiels
C’est l’obligation que le plus grand nombre de sites ignorent.
Avant que les données d’un visiteur soient collectées par des outils comme Google Analytics 4, Meta Pixel ou Google Ads, tu dois obtenir son consentement explicite. « Explicite » veut dire qu’il doit poser une action volontaire pour accepter. Une bannière qui dit « En continuant à naviguer, vous acceptez » ne répond pas à ce critère.
3. Le scan régulier des témoins
Les cookies présents sur un site changent. Un nouveau pixel ajouté par une intégration, un outil tiers mis à jour, un script oublié : chaque ajout peut créer une nouvelle lacune. On effectue un scan régulier pour détecter les témoins actifs sur ton site et maintenir la configuration à jour. La conformité n’est pas un réglage unique.
4. Le tableau de bord des consentements
Chaque consentement donné par un visiteur est enregistré et horodaté dans un tableau de bord dédié. Tu peux démontrer, preuves à l’appui, que ton site respecte le choix de tes visiteurs. C’est ce qu’on te demande si un partenaire, un client ou un organisme de réglementation exige une preuve de conformité.
5. Un avis de collecte dans tes formulaires
Chaque formulaire qui collecte des renseignements personnels (nom, courriel, numéro de téléphone) doit inclure un avis qui explique à quelle fin ces données sont utilisées. La plupart des formulaires par défaut n’ont pas cet avis. Ça doit être corrigé.
6. Un responsable désigné à la protection des renseignements personnels
La loi exige que tu désignes officiellement une personne responsable de la protection des renseignements personnels (RPP) dans ton organisation. Pour une PME, c’est souvent le propriétaire lui-même.
Cette désignation doit être documentée. Les coordonnées du responsable doivent être accessibles sur ton site, habituellement dans la politique de confidentialité.
Le piège de Google Analytics (et des pixels publicitaires)
Tu as probablement GA4 sur ton site. Peut-être aussi un pixel Meta pour tes campagnes Facebook ou Instagram.
Ces outils collectent des données comportementales sur tes visiteurs et les transfèrent à des serveurs américains. La Loi 25 exige que tes visiteurs consentent à cette collecte avant qu’elle ait lieu, pas après.
En pratique : ton GA4 ne devrait pas se déclencher avant que le visiteur accepte les témoins analytiques. Si ce n’est pas configuré ainsi sur ton site aujourd’hui, tu collectes des données sans base légale.
C’est là que la grande majorité des sites WordPress de PME ont une lacune. Pas parce qu’ils ignorent la loi, mais parce que personne n’a configuré le consentement correctement.
Ce qui se passe si ton site n’est pas conforme
La CAI est l’organisme responsable de l’application de la loi. Elle peut mener des enquêtes, émettre des recommandations et imposer des sanctions administratives pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial dans les cas les plus graves.
Pour une PME, le risque immédiat n’est pas l’amende maximale. C’est plutôt l’impossibilité de démontrer ta conformité à un partenaire ou à un client qui te le demande, le risque réputationnel si un incident de confidentialité survient sans mécanismes en place, et la tendance croissante des donneurs d’ordres à exiger des garanties de conformité à leurs fournisseurs.
Note importante: cet article couvre les aspects techniques de la conformité sur ton site web. Pour t’assurer que l’ensemble de tes pratiques d’affaires respectent la loi dans ses dimensions légales, consulte un juriste spécialisé en droit de la vie privée. Code Source Marketing ne fournit pas de conseils juridiques.
Comment rendre ton site web conforme côté technique
La conformité technique d’un site WordPress, ça se règle. Voici ce que Code Source Marketing met en place pour les sites clients.
Bannière de consentement avec Axeptio
Axeptio est un outil de gestion du consentement (CMP) conçu pour WordPress. Il permet de présenter une bannière conforme, de catégoriser les témoins par type (essentiels, analytiques, marketing) et de bloquer les scripts non essentiels tant que le visiteur n’a pas consenti.
La configuration doit être faite correctement pour que GA4 et les pixels publicitaires soient réellement bloqués avant le consentement. Une bannière qui n’arrête pas les scripts, c’est une bannière décorative. Ça ne protège personne.
Mise à jour de la politique de confidentialité
On rédige ou révise une politique adaptée à tes pratiques réelles : formulaires utilisés, outils de suivi en place, durée de conservation des données.
Révision des formulaires
Ajout d’un avis de collecte clair sur chaque formulaire du site, en langage compréhensible pour tes clients.
Documentation du responsable RPP
Mise en place de l’information sur le responsable désigné dans ta politique de confidentialité et dans le pied de page si requis.
Ce n’est pas un chantier, c’est quelques heures bien faites
La conformité à la Loi 25 côté site web n’est pas un projet de refonte majeure. Pour la majorité des PME québécoises avec un site WordPress, c’est quelques heures de travail technique bien structuré.
Ce qui prend du temps, c’est de le faire dans les règles: configurer Axeptio pour qu’il bloque vraiment les bons scripts, maintenir le scan des témoins à jour, s’assurer que les consentements sont enregistrés et traçables, et rédiger une politique qui correspond à ta réalité.
Code Source Marketing accompagne les PME québécoises pour rendre leur site web conforme côté technique. Si tu veux qu’on évalue ton site, contacte-nous pour un audit rapide.
Questions fréquentes sur la Loi 25 et les sites web
Est-ce que la Loi 25 s’applique à ma petite entreprise?
Oui. La loi s’applique à toute entreprise qui exploite une activité au Québec et qui traite des renseignements personnels, quelle que soit sa taille. Avoir un formulaire de contact ou Google Analytics sur ton site suffit pour être concerné.
C’est quoi un consentement explicite aux cookies?
C’est le fait qu’un visiteur pose une action volontaire pour accepter les témoins non essentiels, comme cliquer sur un bouton « Accepter ». Une bannière qui suppose l’acceptation si le visiteur continue à naviguer ne répond pas à ce critère selon la Loi 25.
Quelle est la différence entre un cookie essentiel et non essentiel?
Un cookie essentiel est nécessaire au fonctionnement du site (connexion, panier d’achat, sécurité). Un cookie non essentiel sert à des fins analytiques ou publicitaires, comme Google Analytics 4 ou Meta Pixel. Seuls les cookies non essentiels nécessitent un consentement.
Qu’est-ce qu’Axeptio?
Axeptio est un outil de gestion du consentement compatible WordPress. Il affiche une bannière conforme, catégorise les cookies par type et bloque les scripts non essentiels tant que le visiteur n’a pas consenti. C’est l’outil que Code Source Marketing utilise pour la mise en conformité des sites clients.
Est-ce que Code Source Marketing peut s’occuper de tout ça pour moi?
On prend en charge la partie technique : installation et configuration d’Axeptio, mise à jour de ta politique de confidentialité, révision de tes formulaires et documentation du responsable RPP. Pour les aspects légaux de ta conformité globale, on recommande de consulter un juriste.
