Drave Démarrer
Guide

Loi 25 et votre site web
ce qu'une entreprise québécoise doit savoir

La Loi 25 encadre la façon dont votre entreprise recueille et protège les renseignements personnels de vos clients. Voici ce qu'elle change concrètement pour votre site, expliqué sans jargon.

L'essentiel

Pour être en règle avec la Loi 25, un site web d'entreprise québécoise doit réunir au minimum quatre éléments : une politique de confidentialité claire et publiée, le nom et les coordonnées d'un responsable de la protection des renseignements personnels, un mécanisme de consentement pour les témoins (cookies) non essentiels qui se refuse aussi facilement qu'il s'accepte, et une formulaire qui demande un consentement avant de recueillir des données. Toutes les dispositions sont en vigueur depuis les échéances de septembre 2022, 2023 et 2024 : ce n'est plus une échéance à venir, c'est le minimum attendu aujourd'hui.

01

Ce que la Loi 25
encadre vraiment

La Loi 25 (officiellement la loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'applique à pratiquement toutes les entreprises du Québec, peu importe leur taille. Si votre site recueille un nom, un courriel, un numéro de téléphone ou même une adresse IP par l'entremise d'un outil de suivi, vous traitez des renseignements personnels et la loi vous concerne.

Elle est entrée en vigueur par étapes : une première vague d'obligations le 22 septembre 2022, la majorité des dispositions le 22 septembre 2023, puis le droit à la portabilité des données le 22 septembre 2024. Ces échéances sont passées. Une entreprise qui n'a encore rien fait n'est pas en avance sur un délai : elle est déjà en retard.

La loi prévoit des sanctions sérieuses, jusqu'à des amendes administratives importantes pour les manquements graves. L'objectif n'est pas de vous faire peur, mais de situer l'enjeu : la conformité d'un site n'est pas un détail cosmétique, c'est une obligation de fond.

02

Les quatre obligations
qui touchent votre site

  • Une politique de confidentialité rédigée en termes simples et clairs, publiée sur le site et facile à trouver. Elle explique quels renseignements vous recueillez, pourquoi, qui y a accès et comment exercer ses droits.
  • Le nom et les coordonnées du responsable de la protection des renseignements personnels, accessibles sur le site, pour que toute personne puisse formuler une demande d'accès ou de correction.
  • Un mécanisme de consentement aux témoins (cookies) : les témoins non essentiels doivent être désactivés par défaut, et il doit être aussi facile de refuser que d'accepter.
  • Le consentement avant la collecte : un formulaire de contact ou une infolettre doit obtenir un consentement explicite, distinct et compréhensible avant de récolter des données.

Concrètement, la plupart des exigences se ramènent à quelques éléments visibles et vérifiables sur votre site. Un site bien conçu les intègre dès le départ plutôt que de les ajouter à la dernière minute. C'est exactement la logique d'un site fait sur mesure, où la conformité fait partie de la structure plutôt que d'un plugin ajouté après coup.

Voici les quatre points à couvrir en priorité :

03

Le responsable et la
politique de confidentialité

Par défaut, la Loi 25 confie le rôle de responsable de la protection des renseignements personnels à la personne ayant la plus haute autorité dans l'entreprise, souvent le propriétaire ou le dirigeant. Ce rôle peut être délégué par écrit à quelqu'un d'autre, à l'interne comme à l'externe, mais il doit exister et être nommé. Sur le site, cela se traduit par une ligne toute simple : un nom (ou un titre) et un moyen de le joindre.

La politique de confidentialité, elle, n'est pas un copier-coller générique. Elle doit refléter ce que votre entreprise fait réellement avec les données : les outils d'analyse que vous utilisez, l'infolettre, le formulaire de contact, les éventuels sous-traitants. Un modèle trouvé en ligne est un point de départ, jamais un point d'arrivée, parce qu'une politique qui décrit des pratiques que vous n'avez pas vaut autant qu'une absence de politique.

La loi exige aussi de tenir un registre des incidents de confidentialité et, en cas d'incident présentant un risque de préjudice sérieux, d'aviser sans délai la Commission d'accès à l'information ainsi que les personnes touchées. Ce volet relève surtout de vos procédures internes, mais votre site est le canal par lequel les gens vous joindront : il doit donc indiquer clairement à qui s'adresser.

04

Témoins, suivi
et hébergement des données

La gestion des témoins est l'endroit où beaucoup de sites pèchent. La loi distingue les témoins essentiels, nécessaires au fonctionnement technique du site (et qui ne requièrent pas de consentement préalable), des témoins non essentiels servant au profilage, à l'identification ou à la localisation, qui doivent être désactivés par défaut tant que la personne n'a pas dit oui. Une bannière qui dépose des cookies de suivi avant que vous cliquiez quoi que ce soit n'est pas conforme.

Le suivi marketing mérite la même attention. Les outils d'analyse, les pixels publicitaires et les scripts de remarketing collectent des renseignements : ils ne devraient se charger qu'après consentement. C'est un point à coordonner avec vos campagnes, qu'on aborde du côté publicité et acquisition pour que mesure et conformité avancent ensemble plutôt que de se contredire.

Quant à l'hébergement, la Loi 25 n'interdit pas d'héberger des données à l'extérieur du Québec, mais elle exige une évaluation des facteurs relatifs à la vie privée avant de confier des renseignements à un tiers ou de les transférer hors de la province. En clair : savoir où vivent vos données, qui y a accès et sous quel cadre. Un hébergement maîtrisé et documenté simplifie énormément cette démonstration.

05

Comment un site conforme
se construit dès le départ

La conformité coûte beaucoup moins cher quand elle est pensée dès la conception plutôt que rajoutée en catastrophe. Un site bâti sur mesure permet de contrôler exactement quels scripts se chargent et à quel moment, de placer le consentement avant le suivi, et de garder une trace claire des outils en place. C'est plus difficile à garantir sur une pile encombrée d'extensions tierces dont on ne maîtrise pas le comportement.

Chez Drave, les sites sont développés en React et Vite, hébergés sur une infrastructure edge, sans CMS ni plugins à empiler. Le code source vous est remis à la livraison, ce qui veut dire que vous savez ce que votre site fait et que vous n'êtes pas prisonnier d'un fournisseur pour le moindre ajustement. Cette transparence n'est pas un argument de vente : c'est ce qui rend une démonstration de conformité possible.

À titre de repère, un site vitrine de cinq à sept pages avec SEO local démarre généralement entre 4 000 $ et 7 000 $, le périmètre dictant le prix, avec des plans payables en mensualités pour les PME. La conformité Loi 25 de base fait partie de cette construction, pas d'un supplément. Pour en discuter sans engagement, un premier appel de cadrage suffit, et notre approche de travail est volontairement limitée à une douzaine de clients à la fois.

Questionsfréquentes

Q · 01

La Loi 25 s'applique-t-elle à une petite entreprise ou seulement aux grandes organisations ?

Elle s'applique à pratiquement toutes les entreprises qui exercent au Québec, sans seuil de taille. Une PME, un travailleur autonome ou un commerce de quartier qui recueille des courriels ou des coordonnées par son site est concerné au même titre qu'une grande organisation. Les moyens demandés sont proportionnels, mais les obligations de base, comme la politique de confidentialité et le responsable nommé, existent pour tout le monde.

+
Q · 02

Quelles sont les échéances de la Loi 25 et sont-elles encore à venir ?

Non, elles sont passées. Les obligations sont entrées en vigueur en trois temps : le 22 septembre 2022, le 22 septembre 2023 (la majorité des dispositions) et le 22 septembre 2024 (le droit à la portabilité des données). En 2026, l'ensemble de la loi est en vigueur, donc une mise en conformité aujourd'hui est un rattrapage, pas une avance sur un délai.

+
Q · 03

Une simple bannière de cookies suffit-elle à être conforme ?

Pas si elle dépose des témoins de suivi avant le consentement. La loi demande que les témoins non essentiels soient désactivés par défaut et qu'il soit aussi facile de refuser que d'accepter. Une bannière purement décorative qui charge déjà vos outils d'analyse ne règle rien : c'est le comportement réel du site, pas l'apparence du bandeau, qui compte.

+
Q · 04

Ai-je le droit d'héberger les données de mon site hors du Québec ?

La loi ne l'interdit pas, mais elle exige une évaluation des facteurs relatifs à la vie privée avant de transférer des renseignements personnels hors de la province ou de les confier à un tiers. L'essentiel est de savoir où vivent les données, qui y accède et sous quel cadre, et de pouvoir le documenter.

+
Q · 05

Qui doit être le responsable de la protection des renseignements personnels ?

Par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise, souvent le propriétaire. Ce rôle peut être délégué par écrit à une autre personne, à l'interne ou à l'externe. L'important est qu'un responsable existe et que son nom (ou son titre) et ses coordonnées soient publiés sur votre site.

+
Q · 06

Refaire mon site est-il nécessaire pour me conformer ?

Pas toujours. Si votre site est récent et bien construit, on peut souvent ajuster la politique, le consentement et la gestion des témoins sans tout recommencer. Si le site repose sur une pile encombrée d'extensions difficiles à maîtriser, une refonte peut s'avérer plus simple et plus durable. Le bon point de départ est un diagnostic honnête de l'existant.

+
Discuter de votre projet
Démarrer un projet