Cookies et consentement en 2026 : ce que dit vraiment la Loi 25

Les cookies, au cœur de la conformité Loi 25

Depuis septembre 2023, les exigences de la Loi 25 en matière de témoins de connexion (cookies) sont pleinement en vigueur. La Commission d'accès à l'information (CAI) a publié des lignes directrices claires sur ce que doit faire votre bannière — et ce qu'elle ne peut pas faire.

Cookies essentiels vs cookies non essentiels : la distinction fondamentale

La Loi 25 distingue deux grandes catégories de cookies :

• Cookies essentiels : nécessaires au fonctionnement technique du site (session de connexion, panier d'achat, préférences de langue). Ces cookies ne nécessitent pas de consentement préalable.
• Cookies non essentiels : analytics (Google Analytics, Plausible en mode cookied), publicité (Meta Pixel, Google Ads), vidéos intégrées (YouTube), chat (Intercom, Tidio). Ces cookies nécessitent un consentement explicite avant d'être déposés.

L'erreur la plus fréquente : charger tous les scripts dès l'ouverture du site, puis afficher la bannière en « décoration ». Si vos cookies non essentiels se déclenchent avant le choix de l'utilisateur, vous n'êtes pas conforme.

Ce que doit faire votre bannière de consentement

La CAI est explicite sur les exigences d'une bannière valide :

• Un bouton « Refuser » aussi visible et accessible que le bouton « Accepter »
• Les cookies non essentiels sont bloqués jusqu'au consentement
• La bannière est rédigée en français, dans un langage clair et compréhensible
• Un lien vers votre politique de confidentialité est accessible depuis la bannière
• L'utilisateur peut modifier ses préférences à tout moment (lien dans le pied de page ou dans la politique)

Que faire si votre site n'a pas de bannière ?

Si votre site n'affiche aucune bannière de cookies et qu'il utilise des outils tiers (Google Analytics, pixels sociaux, outils de formulaire, etc.), vous êtes en situation de non-conformité. Voici les étapes prioritaires :

1. Inventoriez tous les outils tiers utilisés sur votre site
2. Installez une solution de gestion du consentement (CookieYes, Axeptio, Usercentrics) et configurez-la correctement
3. Vérifiez que les scripts non essentiels sont bien bloqués avant consentement
4. Mettez votre politique de confidentialité à jour pour y inclure la liste des cookies utilisés

Les 5 erreurs courantes en 2026

1. Bannière sans bouton de refus : un seul bouton « OK » ou « Compris » ne constitue pas un consentement valide.
2. Scripts qui se chargent avant le choix : le consentement doit précéder le dépôt des cookies, pas l'inverse.
3. Bannière en anglais seulement : la Loi 25 s'applique au Québec — votre bannière doit être en français.
4. Lien vers une politique absente ou périmée : la bannière renvoie vers une page vide ou un document rédigé avant 2022.
5. Pas de moyen de changer d'avis : si l'utilisateur a refusé ou accepté, il doit pouvoir modifier ses préférences ultérieurement.

Conclusion

La conformité en matière de cookies n'est pas une question technique réservée aux développeurs. C'est une obligation légale concrète qui s'évalue directement sur votre site. Si vous n'êtes pas certain que votre bannière répond aux exigences de la CAI, un regard externe peut faire toute la différence.