Bannière cookies Loi 25 : ce que la CAI exige exactement

Ce que la Loi 25 exige pour les cookies (L.Q. 2021, c. 25)

Depuis septembre 2023, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) impose un cadre strict pour l'utilisation des témoins de connexion (cookies) sur tout site web québécois. L'article 8 de la Loi 25 est clair : le consentement doit être libre, éclairé, donné à des fins spécifiques, et manifeste avant la collecte de renseignements personnels — y compris via les cookies non essentiels.

En pratique, cela signifie qu'aucun cookie d'analyse, de publicité ou de réseaux sociaux ne peut être déposé sur l'appareil d'un visiteur avant qu'il ait explicitement consenti. Ce principe s'applique que vous soyez une PME de 3 employés ou une entreprise de 500 personnes.

La Commission d'accès à l'information (CAI), l'organisme chargé de surveiller l'application de la Loi 25, a publié des lignes directrices précises sur ce que doit comporter une bannière de consentement valide. Votre bannière actuelle — si vous en avez une — est-elle vraiment conforme ?

Les 6 critères d'une bannière conforme selon la CAI

La CAI a établi six exigences fondamentales pour qu'une bannière de cookies soit considérée comme conforme à la Loi 25 :

1. Un bouton « Refuser » aussi visible que le bouton « Accepter » : les deux options doivent avoir le même poids visuel. Un bouton vert « Accepter » en évidence et un lien gris discret « Refuser » ne constitue pas un choix équitable.
2. Le blocage préalable des cookies non essentiels : les scripts d'analyse (Google Analytics, etc.), les pixels publicitaires (Meta Pixel, Google Ads) et les outils de réseaux sociaux doivent être complètement bloqués jusqu'à ce que l'utilisateur ait fait son choix.
3. Une bannière en français : la Loi 25 s'applique au Québec. Votre bannière doit être rédigée en français, dans un langage clair et accessible à un non-spécialiste.
4. Un lien vers votre politique de confidentialité : la bannière doit permettre à l'utilisateur de consulter votre politique complète avant de donner son consentement.
5. La possibilité de modifier ses préférences : l'utilisateur doit pouvoir revenir sur son choix à tout moment — via un lien dans le pied de page ou dans la politique de confidentialité.
6. Une granularité du consentement : idéalement, l'utilisateur doit pouvoir accepter certaines catégories de cookies (ex. : analytics) et en refuser d'autres (ex. : publicité), plutôt qu'un choix tout-ou-rien.

Les erreurs fréquentes sur les sites québécois

Après l'analyse de centaines de sites web québécois, voici les cinq erreurs les plus récurrentes :

• Bannière sans bouton de refus : le cas le plus fréquent. Un seul bouton « J'accepte » ou « OK, compris » ne constitue pas un consentement valide selon l'article 8 de la L.Q. 2021, c. 25. Le refus doit être aussi facile que l'acceptation.
• Cookies qui se chargent avant le consentement : la bannière s'affiche, mais les scripts sont déjà actifs en arrière-plan. C'est l'erreur technique la plus grave — et la plus facile à détecter lors d'une inspection CAI.
• Bannière en anglais ou dans un français approximatif : les gabarits de plateformes comme WordPress ou Shopify sont souvent configurés en anglais par défaut. La personnalisation est obligatoire.
• Lien vers une politique de confidentialité absente ou périmée : la bannière renvoie vers une page vide, une erreur 404, ou un document rédigé avant 2022 — donc non conforme à la Loi 25.
• Absence de mécanisme de révocation : une fois le choix fait, l'utilisateur n'a aucun moyen de modifier ses préférences. L'absence de ce mécanisme est un manquement explicite aux exigences de la CAI.

Comment corriger votre bannière en 4 étapes

Si votre bannière présente l'une ou plusieurs de ces lacunes, voici les étapes à suivre pour vous mettre en conformité :

1. Inventoriez tous vos cookies et scripts tiers. Utilisez les outils de développement de votre navigateur (onglet « Application » dans Chrome) ou un outil comme Cookie Scanner pour lister tous les cookies déposés sur votre site, essentiels et non essentiels.
2. Choisissez une solution de gestion du consentement (CMP) fiable. Des outils comme CookieYes, Axeptio ou Usercentrics permettent de mettre en place une bannière conforme sans développement sur mesure. Configurez-les en français, avec les deux boutons visibles et le blocage préalable activé.
3. Mettez à jour votre politique de confidentialité. Ajoutez-y une section dédiée aux cookies, listant les outils utilisés par catégorie et expliquant comment l'utilisateur peut gérer ses préférences. Rendez-la accessible depuis la bannière et le pied de page.
4. Ajoutez un lien « Gérer mes préférences » dans votre pied de page. Ce lien doit permettre à tout visiteur de modifier ou révoquer son consentement à tout moment, même après avoir fermé la bannière initiale.

Une fois ces étapes complétées, effectuez un test complet : videz votre cache, visitez votre site en mode navigation privée et vérifiez que aucun cookie non essentiel n'est déposé avant votre choix. Consultez aussi votre site sur mobile — les bannières mal adaptées aux écrans de téléphone sont une source fréquente de non-conformité.

Si vous avez un doute sur la conformité de votre site après ces vérifications, un regard externe spécialisé peut vous éviter des mois d'incertitude — et les conséquences d'une plainte à la CAI. Notre audit de conformité couvre la bannière, la politique, les formulaires et les outils tiers, et vous livre un rapport complet sous 48 heures.