Loi 25 et votre site web : le guide de conformité 2026

YJ

Yousif Jabak

Fondateur, Web Nordique

30 juin 2026
8 min de lecture

Si votre site web a un formulaire de contact, une infolettre ou un outil d'analyse comme Google Analytics, la Loi 25 s'applique à vous. Elle encadre la façon dont les entreprises québécoises recueillent et protègent les renseignements personnels, et elle vise toutes les entreprises, peu importe leur taille. Elle est pleinement en vigueur depuis le 22 septembre 2024.

Le texte de loi est long. Ce guide va droit au but : voici, en langage clair, ce que votre site web doit avoir pour être conforme, et comment éviter les amendes.

Ce que la Loi 25 change pour votre site web

La Loi 25 (anciennement le projet de loi 64) modernise les règles de protection des renseignements personnels au Québec. Elle s'est déployée en trois étapes, de 2022 à 2024. Les obligations qui touchent directement votre site web, le consentement, les témoins et la confidentialité par défaut, sont en vigueur depuis le 22 septembre 2023.

Le point important pour un propriétaire d'entreprise : il n'y a pas de seuil. Une clinique, un entrepreneur en construction, un restaurant avec une page de réservation, un cabinet de services professionnels, tous sont concernés dès qu'ils recueillent un renseignement personnel. Et un renseignement personnel, c'est large : un nom, un courriel, un numéro de téléphone, une adresse IP. Si un visiteur peut vous laisser ses coordonnées ou être suivi par un outil de mesure, votre site est visé.

La liste de conformité de votre site

Voici ce qu'un site conforme doit avoir. La plupart de ces éléments se règlent une fois et demandent ensuite peu d'entretien.

  • Une politique de confidentialité en termes clairs. Elle explique quels renseignements vous recueillez, pourquoi, combien de temps vous les conservez et avec qui vous les partagez. En français et sans jargon juridique. Une personne ordinaire doit la comprendre.
  • Le titre et les coordonnées de votre RPRP, affichés sur le site. Le responsable de la protection des renseignements personnels est, par défaut, la personne qui dirige l'entreprise. Son titre et un moyen de le joindre doivent être publics, le plus souvent dans la politique de confidentialité.
  • Le consentement sur vos formulaires, avec la raison. Chaque formulaire qui recueille des renseignements indique pourquoi vous les demandez. Le consentement doit être clair et donné pour une fin précise. Une case d'infolettre déjà cochée d'avance n'est pas un consentement valide.
  • La confidentialité par défaut. Depuis septembre 2023, vos outils doivent offrir le niveau de protection le plus élevé sans que l'utilisateur ait à changer un réglage. Concrètement, rien qui suit ou profile le visiteur ne s'active avant son accord.
  • Un moyen de demander l'accès, la correction ou le retrait du consentement. Une personne peut demander à voir les renseignements que vous détenez sur elle, les faire corriger ou retirer son consentement. Votre site doit offrir un point de contact clair pour ces demandes.

Les témoins (cookies) : la partie que tout le monde rate

C'est ici que la plupart des sites québécois accrochent. Tous les témoins ne se valent pas, et la règle dépend de leur rôle.

Type de témoinExemplesConsentement requis?
EssentielSession, panier, langue, sécuritéNon
Non essentielAnalytique, publicité, réseaux sociaux, reciblageOui, avant le dépôt

Un témoin essentiel fait fonctionner le site : il garde votre session ouverte, retient votre panier, mémorise votre langue. Aucun consentement n'est requis. Un témoin non essentiel mesure, cible ou profile : Google Analytics, un pixel Meta, un bouton de partage qui suit l'utilisateur. Celui-là exige un consentement explicite avant de se charger. Le déposer dès l'arrivée sur la page, puis demander la permission après, n'est pas conforme.

Les règles d'une bannière valide, selon la CAI

Une bannière conforme respecte cinq choses. Le bouton « Refuser » est aussi visible et accessible que « Accepter ». Les témoins non essentiels ne se chargent pas tant que la personne n'a pas consenti. La bannière est disponible en français et rédigée en langage clair. Un lien vers votre politique de confidentialité part de la bannière. Et la personne peut changer son choix à tout moment.

Les amendes et pourquoi la conformité est devenue la base

Soyons honnêtes sur les chiffres. La Loi 25 prévoit deux types de sanctions. Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les sanctions pénales, pour les cas les plus graves, peuvent grimper à 25 millions ou 4 %, selon le montant le plus élevé. Ce sont des plafonds, pensés pour les manquements sérieux, pas l'amende qui attend une PME pour une bannière mal configurée.

Le vrai enjeu est ailleurs. La conformité de base est devenue un standard que vos clients et vos partenaires tiennent pour acquis. Un site sans politique claire ni consentement envoie un signal de négligence, dans un contexte où les clients s'attendent à ce que leurs données soient protégées. La mise en conformité coûte peu. L'absence de conformité, elle, se remarque.

Par où commencer (et combien ça coûte)

La démarche tient en trois temps. D'abord, faites le tour de votre site : quels formulaires recueillent des renseignements, quels outils déposent des témoins, et si votre politique de confidentialité est à jour. Ensuite, ajoutez ce qui manque : la politique, le RPRP affiché, et une bannière de témoins si vous chargez des outils non essentiels. Enfin, vérifiez que la bannière bloque réellement ces outils tant que le visiteur n'a pas consenti.

Type de siteCoût indicatifCe que ça couvre
Site vitrine, peu de témoinsMoins de 500 $Politique, RPRP affiché, bannière simple (faisable soi-même)
Site avec formulaires et analytique500 $ à 1 500 $Bannière qui bloque les témoins non essentiels, consentements revus
E-commerce, beaucoup de données1 500 $ et plusGestion des consentements, registre, parfois un outil dédié

Prix indicatifs, 2026.

Un site vitrine simple se met souvent à jour en quelques heures. Un site e-commerce ou rempli de formulaires demande plus de soin, surtout pour gérer les consentements proprement. Et non, vous n'avez pas toujours besoin d'un outil payant de gestion des témoins : pour un petit site avec peu de traceurs, une bannière bien configurée suffit.

Si vous voulez savoir où en est votre site avant de bouger, notre diagnostic numérique passe en revue la conformité de base en même temps que le reste. Et si vous partez de zéro, notre guide sur combien coûte un site web au Québec situe ces frais dans le budget global d'un projet.

La conformité de loin et de près

La Loi 25 fait peur de loin et se règle vite de près. Pour la majorité des sites québécois, la conformité tient en quatre gestes : une politique claire, un RPRP affiché, du consentement honnête sur les formulaires, et une bannière de témoins qui respecte le choix du visiteur. Aucun de ces gestes n'est compliqué pris isolément.

Si vous n'êtes pas certain de l'état de votre site, commencez par le vérifier. Pour un cas particulier ou une situation délicate, la Commission d'accès à l'information du Québec (CAI) reste la référence officielle. Ce guide vous donne le point de départ, pas un avis juridique.

L'objectif n'est pas de faire peur. C'est d'avoir un site plus propre, plus clair et plus fiable pour les gens qui vous écrivent. Les 7 signes qu'un site web vous fait perdre des clients recoupent d'ailleurs souvent les mêmes négligences techniques qu'un manque de conformité. Régler l'un aide l'autre.

Prêt à démarrer votre projet?

Obtenez une soumission gratuite et détaillée en moins de 60 secondes. Aucun engagement requis.

Soumission gratuite en 60 secondes ↗

Questions fréquentes

01Est-ce que la Loi 25 s'applique à mon petit site web?

Oui. La Loi 25 s'applique à toute entreprise québécoise qui recueille des renseignements personnels, peu importe sa taille. Un site avec un simple formulaire de contact, une infolettre ou un outil d'analyse comme Google Analytics est concerné. Il n'y a pas de seuil de chiffre d'affaires ni de nombre d'employés en dessous duquel vous êtes exempté. Source : Commission d'accès à l'information du Québec (CAI).

02Ai-je besoin d'une bannière de témoins (cookies)?

Seulement si votre site dépose des témoins non essentiels, comme Google Analytics, des pixels publicitaires ou des boutons de réseaux sociaux. Les témoins strictement nécessaires au fonctionnement du site (session, panier, langue) ne demandent pas de consentement. Dès qu'un témoin sert à mesurer, à cibler ou à profiler, il faut un consentement explicite avant qu'il se charge, donc une bannière conforme.

03C'est quoi un responsable de la protection des renseignements personnels (RPRP)?

C'est la personne responsable de la protection des renseignements personnels dans votre entreprise. Par défaut, c'est la personne qui a la plus haute autorité, souvent le propriétaire ou le dirigeant. Vous pouvez déléguer ce rôle par écrit. La Loi 25 exige que son titre et ses coordonnées soient publiés, par exemple dans votre politique de confidentialité.

04Quelles sont les amendes en cas de non-conformité?

La Loi 25 prévoit deux types de sanctions. Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les sanctions pénales, pour les cas les plus graves, peuvent atteindre 25 millions ou 4 %, selon le montant le plus élevé. Ces plafonds visent les infractions sérieuses, pas l'amende type d'une PME. L'objectif n'est pas de faire peur. La conformité de base est devenue un standard simple à atteindre. Pour un cas précis, référez-vous à la CAI.

05Combien coûte la mise en conformité d'un site web?

Pour un site vitrine simple, c'est souvent une mise à jour de quelques heures : ajouter une politique de confidentialité, publier le RPRP et, au besoin, une bannière de témoins de base. Comptez souvent moins de 500 $, et une bonne partie est faisable soi-même. Un site e-commerce ou riche en formulaires demande plus de travail, surtout pour la gestion des consentements. Un petit site n'a pas toujours besoin d'un outil payant de gestion des témoins.