Altitude NumériqueDiscuter de mon projet
Loi 25

Loi 25 et ton site web : guide complet pour PME québécoises

Tout ce qu'une PME québécoise doit savoir sur la Loi 25 et son site web : bannière de consentement, politique de confidentialité, gestion des témoins et conformité concrète.

Par Jean-Philippe · ·10 min de lecture

Si tu diriges une PME au Québec, tu as sûrement entendu parler de la Loi 25 sans trop savoir ce qu'elle change pour toi concrètement. Beaucoup de propriétaires d'entreprise pensent que c'est un dossier réservé aux grandes organisations ou aux banques. C'est faux. Dès que ton site web recueille la moindre information sur tes visiteurs, ce qui est presque toujours le cas, tu es concerné.

La bonne nouvelle, c'est que se mettre en conformité n'a rien d'insurmontable. Une fois que tu comprends ce que la loi demande vraiment, les gestes à poser sont clairs et concrets. Cet article t'explique tout ça en langage simple, sans jargon juridique.

Petite note importante avant de commencer : ce texte est informatif et vise à vulgariser tes obligations. Il ne constitue pas un avis juridique. Pour une situation particulière ou un doute sérieux, consulte un professionnel du droit.

C'est quoi la Loi 25, en clair

La Loi 25, officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est la réforme québécoise qui encadre la façon dont les entreprises recueillent, utilisent et protègent les données de leurs clients. Elle est entrée en vigueur par étapes entre 2022 et 2024 et elle s'inspire de réglementations comme le RGPD européen.

L'idée de fond est simple : tes clients ont le droit de savoir quelles informations tu collectes sur eux, pourquoi tu le fais et ce que tu en fais. Ils ont aussi le droit de dire non, de consulter leurs données et de demander qu'elles soient corrigées ou supprimées.

Un renseignement personnel, c'est toute information qui permet d'identifier une personne directement ou indirectement. Un nom, un courriel, un numéro de téléphone, une adresse IP, un comportement de navigation suivi par un témoin : tout ça compte. Autrement dit, beaucoup plus que ce qu'on imagine au départ.

À qui la Loi 25 s'applique

C'est ici que bien des entrepreneurs se trompent. La Loi 25 ne vise pas que les grandes entreprises. Elle s'applique à toute entreprise qui exerce des activités au Québec et qui recueille des renseignements personnels, peu importe son chiffre d'affaires ou son nombre d'employés.

Une clinique de trois personnes, un entrepreneur en construction, un restaurant, un cabinet comptable : tous sont concernés dès qu'ils collectent des données. Et un site web est l'un des principaux endroits où cette collecte se produit, souvent sans même que le propriétaire s'en rende compte.

Voici quelques exemples de collecte qui déclenchent tes obligations :

  • Un formulaire de contact qui demande un nom et un courriel.
  • Une infolettre à laquelle les visiteurs peuvent s'abonner.
  • Un outil d'analyse comme Google Analytics qui suit le comportement des visiteurs.
  • Un pixel de suivi publicitaire, par exemple celui de Facebook ou de Google Ads.
  • Un formulaire de prise de rendez-vous ou de soumission.

Si ton site fait au moins une de ces choses, ce qui est le cas de la plupart des sites, la Loi 25 s'applique à toi.

Ce que ton site DOIT avoir

Passons au concret. Voici les éléments qu'un site conforme à la Loi 25 doit comporter. Ce n'est pas une liste de souhaits, c'est la base.

Une bannière de consentement pour les témoins

Quand un visiteur arrive sur ton site, tu ne peux pas activer les témoins non essentiels sans son accord. Il te faut une bannière qui explique clairement quels témoins tu utilises et qui laisse la personne accepter ou refuser. Le consentement doit être libre et éclairé, ce qui veut dire qu'un refus doit être aussi facile qu'une acceptation. Une bannière qui ne propose qu'un gros bouton « Accepter » sans option de refus n'est pas conforme.

Une politique de confidentialité claire

Ton site doit publier une politique de confidentialité accessible et compréhensible. Elle explique quels renseignements tu collectes, dans quel but, avec qui tu les partages, combien de temps tu les conserves et comment une personne peut exercer ses droits. Oublie le copier-coller d'un modèle générique qui ne correspond pas à ta réalité. La politique doit refléter ce que ton site fait vraiment.

Une gestion stricte des témoins

Il ne suffit pas d'afficher une bannière. Les témoins non essentiels doivent réellement rester inactifs tant que le visiteur n'a pas accepté. C'est un point technique souvent négligé : la bannière dit une chose, mais le code en fait une autre. On y revient plus bas, car c'est l'un des pièges les plus fréquents.

Des formulaires minimaux

La loi repose sur un principe de minimisation : tu ne dois collecter que les renseignements nécessaires à ce que tu offres. Si un simple formulaire de contact demande la date de naissance, l'adresse complète et le revenu annuel du visiteur, il y a un problème. Demande le strict minimum. Moins tu collectes, moins tu as à protéger et plus tes visiteurs te font confiance.

Le chargement de Google Analytics seulement après consentement

Google Analytics et les autres outils de suivi déposent des témoins et collectent des données de navigation. Ils ne doivent donc se charger qu'une fois que le visiteur a donné son consentement. Concrètement, ton site ne lance le script d'analyse que lorsque la personne clique sur « Accepter » dans la bannière. C'est une exigence technique précise qui distingue un site réellement conforme d'un site qui affiche seulement une jolie bannière décorative.

Une personne responsable

La Loi 25 exige que chaque entreprise désigne une personne responsable de la protection des renseignements personnels. Ses coordonnées doivent être publiées, généralement dans la politique de confidentialité, pour qu'un client puisse la joindre s'il a une question ou une demande. Par défaut, ce rôle revient à la personne qui dirige l'entreprise, mais il peut être confié à quelqu'un d'autre par écrit.

Tu préfères que ce soit géré correctement du premier coup ? La conformité Loi 25 est incluse par défaut dans tous les sites qu'on bâtit, sans supplément.

Les pièges fréquents

Dans la pratique, on voit toujours revenir les mêmes erreurs. En voici deux qui touchent presque tous les sites non conformes.

L'analytics qui se charge avant le consentement

C'est de loin l'erreur la plus répandue. Une entreprise installe une belle bannière de consentement, se sent en règle, mais Google Analytics ou le pixel Facebook se charge dès l'ouverture de la page, avant même que le visiteur ait cliqué quoi que ce soit. Résultat : le consentement demandé par la bannière est une illusion, car la collecte a déjà eu lieu. Une bannière qui ne contrôle pas réellement le chargement des scripts ne sert à rien sur le plan légal.

Les formulaires trop gourmands

L'autre piège classique, c'est le formulaire qui demande beaucoup plus que nécessaire. On veut bien connaître son prospect, alors on multiplie les champs. Mais chaque renseignement collecté sans raison valable t'expose. Si tu n'as pas besoin de l'adresse postale pour répondre à une demande de soumission par courriel, ne la demande pas. Garde tes formulaires courts et justifiés. En bonus, des formulaires plus courts convertissent souvent mieux.

Le lien entre consentement et confiance

On présente souvent la Loi 25 comme une contrainte. C'est dommage, parce que c'est aussi une occasion. Un visiteur qui voit que tu expliques clairement ce que tu fais de ses données et qui peut refuser le suivi sans bataille est un visiteur qui te perçoit comme sérieux et honnête.

La confiance est le carburant de toute conversion en ligne. Avant de remplir un formulaire ou de prendre rendez-vous, une personne doit se sentir en sécurité. Une approche transparente de la confidentialité envoie exactement le bon signal. Loin de te nuire, une bonne gestion de la vie privée renforce ta crédibilité et peut même t'aider à convertir davantage.

Comment te mettre en conformité concrètement

Tu te demandes par où commencer ? Voici une marche à suivre claire que tu peux appliquer à ton rythme.

  1. Fais l'inventaire de ce que tu collectes. Liste tous les points de collecte de ton site : formulaires, infolettre, outils d'analyse, pixels publicitaires. Note quels renseignements chacun recueille et où ils aboutissent.
  2. Coupe le superflu. Pour chaque champ et chaque outil, demande-toi s'il est vraiment nécessaire. Supprime ce qui ne sert pas. C'est le geste le plus rapide et le plus payant.
  3. Installe une vraie bannière de consentement. Choisis une solution qui bloque réellement les témoins non essentiels tant que le visiteur n'a pas accepté et qui offre un refus aussi simple que l'acceptation.
  4. Conditionne tes scripts de suivi au consentement. Assure-toi que Google Analytics et tout pixel publicitaire ne se chargent qu'après l'accord du visiteur. C'est l'étape technique la plus importante.
  5. Rédige ou révise ta politique de confidentialité. Elle doit décrire ta réalité, pas un modèle générique. Inclus les coordonnées de la personne responsable.
  6. Désigne la personne responsable. Mets son nom et ses coordonnées par écrit et publie-les.
  7. Garde une trace. Documente tes décisions et tes consentements. En cas de question ou de plainte, tu seras prêt.

Cette démarche n'a rien de magique, mais elle demande de la rigueur technique, surtout pour le chargement conditionnel des scripts. C'est précisément ce qu'on couvre dans notre service de conformité Loi 25, inclus par défaut dans tous les sites qu'on bâtit. Tu n'as pas à devenir un expert de la loi pour être en règle.

En résumé

La Loi 25 touche ta PME dès que ton site recueille des renseignements personnels, ce qui est presque toujours le cas. Les pièces maîtresses sont une bannière de consentement qui bloque vraiment les témoins, une politique de confidentialité honnête, des formulaires minimaux, des outils de suivi qui ne se chargent qu'après accord et une personne responsable bien identifiée. Le plus gros piège reste l'analytics qui s'active avant le consentement, alors porte-y une attention particulière.

Au-delà de l'obligation légale, la conformité est un signal de confiance qui sert ton entreprise. Si tu veux y voir clair ou faire vérifier ton site, discutons de ton projet. La première discussion ne coûte rien et ne t'engage à rien. On démêle ça ensemble et on s'assure que ton site travaille pour toi, en toute légalité.

Questions fréquentes

Est-ce que la Loi 25 s'applique à ma petite entreprise ?

Oui. La Loi 25 vise toute entreprise qui exerce des activités au Québec et qui recueille des renseignements personnels, peu importe sa taille. Si ton site a un simple formulaire de contact ou un outil d'analyse comme Google Analytics, tu collectes des renseignements et tu as des obligations.

Ai-je vraiment besoin d'une bannière de consentement pour les témoins ?

Dès que ton site dépose des témoins qui ne sont pas strictement nécessaires à son fonctionnement, comme ceux d'analyse ou de publicité, tu dois obtenir le consentement libre et éclairé du visiteur avant de les activer. Une bannière conforme qui bloque ces témoins tant que la personne n'a pas accepté est la façon habituelle de gérer ça.

Que risque mon entreprise si je ne suis pas conforme ?

La Loi 25 prévoit des sanctions administratives et pénales qui peuvent atteindre des montants très élevés pour les entreprises. Au-delà du risque financier, une fuite ou une plainte peut faire mal à ta réputation. La conformité protège ton entreprise et rassure tes clients.

Dois-je nommer une personne responsable de la protection des renseignements ?

Oui. La loi exige que chaque entreprise désigne une personne responsable de la protection des renseignements personnels. Par défaut, c'est la personne qui a la plus haute autorité dans l'entreprise, mais le rôle peut être délégué par écrit. Ses coordonnées doivent être publiées, souvent dans la politique de confidentialité.

Mon ancien site n'était pas conforme. Par où je commence ?

Commence par un inventaire : quels renseignements tu collectes, par quels outils et où ils sont stockés. Ajoute ensuite une politique de confidentialité claire, une bannière de consentement qui bloque les témoins non essentiels et réduis tes formulaires au minimum. Si ça te semble lourd, on peut s'en occuper pour toi.

À lire ensuite

Articles reliés

Combien coûte vraiment un site web pour PME au Québec en 2026

Les vrais chiffres, sans détour.

Lire l'article

SEO local au Québec : guide complet pour PME en 2026

La méthode complète pour ranker localement.

Lire l'article

Pourquoi ton site web ne génère pas de leads

Les raisons fréquentes et comment les corriger.

Lire l'article

Discutons de ton projet

Une première discussion, sans engagement et sans jargon. On regarde où tu en es et ce qui ferait vraiment avancer ta PME.

Discuter de mon projet Voir les tarifs
Discuter de mon projet