Aller au contenu principal
Kenogami
English
Retour au blog

Loi 25 : votre politique de confidentialité est-elle réellement conforme?

François Lane
7 min de lecture
conformitéLoi 25confidentialitévie privée

Votre cabinet traite des déclarations de revenus, des contrats, des dossiers médicaux, des testaments. Vos clients vous confient leurs informations les plus sensibles parce qu'ils ont confiance en votre rigueur professionnelle.

Mais votre site web, lui, projette-t-il cette même rigueur?

Depuis septembre 2023, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose des obligations concrètes à toute entreprise qui recueille des renseignements personnels au Québec. Ça inclut votre site web -- et son formulaire de contact, ses témoins (cookies), et sa politique de confidentialité.

La bonne nouvelle : se conformer n'est pas si compliqué. Voici ce que vous devez savoir.

Ce que la Loi 25 exige concrètement

La loi ne demande pas de transformer votre site en forteresse juridique. Elle demande de la transparence et du sérieux. Quatre éléments sont obligatoires.

1. Une politique de confidentialité publiée sur votre site

Pas une page cachée dans un pied de page que personne ne lit. Une politique claire, rédigée en langage simple, qui explique ce que vous faites avec les données de vos visiteurs.

2. Un responsable de la protection des renseignements personnels

Quelqu'un dans votre firme doit être désigné comme responsable. Par défaut, c'est le dirigeant de l'entreprise. Son nom et ses coordonnées doivent être publiés sur votre site.

3. Un mécanisme de consentement pour les témoins (cookies)

Si votre site utilise Google Analytics, des pixels de suivi, ou tout autre script tiers, vous devez obtenir le consentement explicite du visiteur avant d'activer ces technologies. Une simple bannière qui dit « nous utilisons des cookies » ne suffit pas.

4. Un plan de gestion des incidents de confidentialité

En cas de fuite ou d'accès non autorisé à des renseignements personnels, vous devez avoir un processus en place pour aviser la Commission d'accès à l'information du Québec (CAI) et les personnes concernées.

Ce que votre politique de confidentialité doit contenir

Une politique de confidentialité conforme à la Loi 25 n'est pas un texte juridique générique copié d'un générateur en ligne. Elle doit être spécifique à votre firme et répondre à ces questions :

  • Quels renseignements recueillez-vous? Nom, courriel, téléphone via votre formulaire de contact? Données de navigation via des témoins?
  • Pourquoi les recueillez-vous? Pour répondre à une demande? Pour du marketing? Pour améliorer votre site?
  • Comment sont-ils conservés? Dans quelle base de données? Chez quel hébergeur?
  • Qui y a accès? Seulement vous? Un sous-traitant? Un fournisseur américain?
  • Combien de temps les gardez-vous? Indéfiniment n'est pas une réponse acceptable.
  • Comment une personne peut-elle demander la suppression de ses données? Vous devez fournir un moyen clair de le faire.
  • Qui est le responsable de la protection des renseignements personnels? Nom et coordonnées.

Si votre politique ne répond pas clairement à chacune de ces questions, elle n'est probablement pas conforme.

Le consentement aux témoins : ce que la plupart des sites font mal

Le Québec est la seule juridiction en Amérique du Nord qui exige un consentement explicite de type opt-in pour les technologies de suivi -- une approche similaire au RGPD européen, mais distincte de la loi fédérale canadienne (PIPEDA) qui fonctionne plutôt par opt-out.

Concrètement, ça veut dire :

  • Les témoins de suivi doivent être désactivés par défaut. Google Analytics ne devrait pas se charger avant que le visiteur ait cliqué « Accepter ».
  • Le bouton « Refuser » doit être aussi visible que le bouton « Accepter ». Pas de dark patterns où le refus est caché derrière un lien discret.
  • Le visiteur doit pouvoir changer son choix à tout moment. Pas seulement lors de sa première visite.
  • Chaque type de témoin doit être expliqué clairement. Son rôle, sa durée de vie, le tiers qui le dépose.

Si votre site charge Google Analytics dès l'ouverture de la page sans demander la permission, vous n'êtes pas conforme.

Les erreurs les plus courantes

En auditant des sites de firmes professionnelles au Québec, on voit les mêmes problèmes revenir constamment :

Pas de politique de confidentialité du tout. C'est plus fréquent qu'on le pense. Le site a été fait il y a quelques années, personne n'y a pensé, et personne ne l'a ajoutée depuis.

Une politique générique copiée d'un modèle. Le texte mentionne des services que vous n'offrez pas, ou omet de mentionner les outils que vous utilisez réellement (Google Analytics, Mailchimp, votre CRM).

Pas de responsable nommé. La loi exige que le nom et les coordonnées du responsable soient publiés. « Contactez-nous » avec un formulaire générique ne suffit pas.

Aucune politique de conservation des données. Vous recueillez des courriels via votre formulaire de contact, mais pendant combien de temps les gardez-vous? Si vous n'avez pas de réponse, vous avez un problème.

Un bandeau de cookies cosmétique. Une bannière qui dit « Ce site utilise des cookies. OK » sans option de refuser, sans détails sur les témoins utilisés, sans possibilité de modifier son choix -- c'est insuffisant.

Aucun plan d'incident. Personne ne pense aux fuites de données jusqu'à ce qu'elles arrivent. La Loi 25 exige un processus documenté.

Pourquoi les firmes professionnelles devraient être exemplaires

Les CPA, avocats, ingénieurs et notaires sont soumis à des codes de déontologie stricts en matière de confidentialité des dossiers clients. Un cabinet qui gère des déclarations fiscales ou des dossiers juridiques ne devrait pas avoir un site web qui collecte des données personnelles sans politique claire.

C'est une question de cohérence. Vos clients s'attendent à ce que vous traitiez leurs informations avec soin. Votre site web devrait projeter ce même professionnalisme.

Et sur le plan légal, les amendes ne sont pas symboliques. La CAI peut imposer des sanctions administratives allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les amendes pénales peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial. En cas de récidive, les montants doublent.

Par où commencer

La conformité à la Loi 25 n'est pas un projet titanesque. Pour la plupart des firmes professionnelles, il s'agit de :

  1. Rédiger une politique de confidentialité spécifique à votre firme, en langage clair, qui couvre tous les points mentionnés plus haut.
  2. Installer un mécanisme de consentement conforme pour les témoins, avec opt-in par défaut.
  3. Nommer et publier le responsable de la protection des renseignements personnels.
  4. Documenter un plan d'incident simple : qui fait quoi si une fuite survient.
  5. Vérifier vos formulaires : chaque formulaire qui recueille des données personnelles doit indiquer clairement ce que vous faites avec ces données.

Chez Kenogami, notre bilan de santé gratuit inclut une vérification de la conformité Loi 25 de votre site web. On identifie ce qui manque, ce qui est insuffisant, et on vous donne un portrait clair de votre situation.

Demander mon bilan gratuit

Articles connexes

conformitéLoi 96français

Loi 96 et votre site web : ce que les firmes professionnelles doivent savoir

La plupart des firmes professionnelles au Québec croient que leur site web est conforme à la Loi 96. La plupart ont tort.

par François Lane
2026-02-226 min de lecture