Inspection de la CAI : comment préparer votre site web

La CAI peut inspecter votre site sans préavis

La Commission d'accès à l'information du Québec (CAI) dispose de pouvoirs d'inspection et d'enquête élargis depuis l'entrée en vigueur de la Loi 25. Elle peut ouvrir un dossier à la suite d'une plainte d'un visiteur ou de sa propre initiative, sans avoir à vous en aviser à l'avance. Pour votre site web, cela signifie que tout ce qui est visible publiquement peut être analysé et documenté par la CAI à tout moment.

Comment fonctionne une inspection CAI ?

Une inspection débute généralement par l'une de ces deux voies :

• Plainte d'un tiers : un visiteur, un client ou même un concurrent peut déposer une plainte auprès de la CAI via son site web. La plainte décrit les pratiques problématiques observées sur votre site.
• Enquête proactive : la CAI peut décider d'auditer un secteur ou un type d'organisations spécifique — par exemple, les cabinets professionnels, les OBNL ou les municipalités.

Une fois le dossier ouvert, la CAI communique avec votre organisation pour obtenir des explications et des correctifs. Si les pratiques ne sont pas corrigées dans les délais impartis, des sanctions administratives peuvent être imposées.

Ce que la CAI regarde en premier sur votre site

L'expérience montre que les inspecteurs de la CAI analysent en priorité :

• La bannière de cookies : est-elle présente ? Offre-t-elle un vrai bouton de refus ? Les cookies non essentiels se chargent-ils avant le consentement ?
• La politique de confidentialité : existe-t-elle ? Est-elle accessible depuis toutes les pages ? Est-elle rédigée en français et conforme aux exigences de la Loi 25 ?
• Les formulaires : expliquent-ils pourquoi les données sont collectées ? Y a-t-il des cases pré-cochées pour l'infolettre ?
• Les outils tiers : Google Analytics, pixels de réseaux sociaux, outils de chat — sont-ils déclarés dans votre politique et bloqués avant consentement ?

Les éléments à avoir en place avant une inspection

Pour être dans une position défendable face à une inspection de la CAI, votre site doit avoir :

1. Une bannière de consentement aux cookies fonctionnelle, en français, avec bouton de refus visible
2. Une politique de confidentialité à jour, accessible depuis toutes les pages (lien dans le pied de page)
3. Des formulaires avec mentions d'information claires sur l'usage des données
4. L'identité du responsable de la protection des renseignements personnels publiée sur le site
5. Un registre interne des incidents de confidentialité (même vide — la tenue du registre est obligatoire)

Délai de mise en conformité

Si la CAI vous contacte suite à une plainte, elle fixe généralement un délai pour corriger les pratiques identifiées — souvent entre 30 et 90 jours selon la nature des manquements. La bonne foi et les actions correctives concrètes sont des facteurs atténuants. En revanche, l'inaction ou les réponses vagues peuvent mener à une escalade du dossier.

La meilleure stratégie reste de ne pas attendre une plainte. Un audit préventif de votre site vous permet d'identifier les zones à risque avant qu'elles deviennent un problème.