Google Analytics et Meta Pixel : sont-ils conformes à la Loi 25 ?

Le problème que personne ne veut voir

Google Analytics est installé sur des millions de sites web dans le monde. Meta Pixel alimente les campagnes publicitaires de centaines de milliers d'entreprises. Ces deux outils sont devenus des réflexes pour les propriétaires de sites et les agences web — et c'est exactement là que réside le problème.

En Québec, depuis septembre 2023, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) exige un consentement explicite et préalable avant tout dépôt de cookie non essentiel. Or, Google Analytics et Meta Pixel sont des cookies non essentiels : ils ne servent pas au fonctionnement de votre site, ils servent à vous donner de l'information sur vos visiteurs ou à cibler des publicités.

Résultat : si votre site charge ces scripts avant que l'utilisateur ait accepté les cookies, vous êtes en violation directe de la Loi 25 — même si vous avez une bannière de cookies. Une bannière qui se déclenche après le chargement des scripts ne protège rien.

Ce que font concrètement ces outils avec vos données

Google Analytics 4 (GA4)

GA4 collecte l'adresse IP, les événements de navigation, les appareils utilisés, la localisation approximative et les interactions sur votre site. Ces données sont transférées vers les serveurs de Google, situés aux États-Unis. La CAI considère ce transfert à l'étranger comme soumis aux obligations de la Loi 25 en matière d'évaluation des risques.

Meta Pixel

Le Pixel de Meta (anciennement Facebook) va plus loin : il collecte des données comportementales qui peuvent être croisées avec les profils Facebook et Instagram de vos visiteurs, même s'ils ne sont pas connectés au moment de leur visite. Il capture également les événements de conversion (achats, formulaires remplis) et les données de remarketing. Du point de vue de la Loi 25, le Pixel est l'outil le plus à risque des deux.

Pourquoi « avoir une bannière de cookies » ne suffit pas

La CAI est claire dans ses lignes directrices : le consentement doit être libre, éclairé, donné pour des fins spécifiques et préalable au dépôt des cookies. Les erreurs les plus fréquentes observées sur les sites québécois :

• Les scripts GA4 ou Meta Pixel sont injectés via le code source HTML ou un gestionnaire de balises (GTM) sans condition de consentement.
• La bannière s'affiche, mais les cookies se déclenchent déjà lors du chargement de la page.
• Le bouton « Refuser » est moins visible ou moins accessible que le bouton « Accepter ».
• L'utilisateur ne peut pas retirer son consentement aussi facilement qu'il l'a donné.

Comment configurer correctement GA4 et Meta Pixel

Solution 1 — Utiliser Google Consent Mode v2

Google a développé le Consent Mode v2 précisément pour répondre aux réglementations comme la Loi 25. En activant ce mode, GA4 adapte son comportement selon le choix de l'utilisateur : si l'utilisateur refuse, GA4 utilise des données modélisées et anonymisées plutôt que des données individuelles. Pour implémenter cela correctement, vous devez :

1. Utiliser une plateforme de gestion du consentement (CMP) certifiée — Cookiebot, Axeptio, Orejime (open source) ou Consentmanager.
2. Intégrer la CMP avec Google Tag Manager.
3. Configurer le mode de consentement dans GTM avant tout autre tag.
4. Tester avec Google Tag Assistant pour valider que les cookies ne se déclenchent pas avant le consentement.

Solution 2 — Configurer Meta Pixel avec consentement conditionnel

Dans GTM, créez un déclencheur de type « Consentement accordé » qui n'active le tag Meta Pixel que si l'utilisateur a accepté les cookies marketing. Sans cette configuration, le Pixel se déclenche à chaque chargement de page — consentement ou pas.

Tableau comparatif : outils analytics selon la conformité Loi 25

Outil	Consentement requis	Transfert hors Québec	Conformité native	Alternative recommandée
Google Analytics 4	Oui	Oui (États-Unis)	Non — nécessite CMP + Consent Mode v2	Plausible Analytics
Meta Pixel	Oui	Oui (États-Unis)	Non — nécessite déclenchement conditionnel	API Conversions côté serveur
Google Tag Manager	Selon les tags	Oui	Possible avec configuration avancée	—
Plausible Analytics	Non (sans cookie)	Non (serveurs EU)	Oui — sans cookie, sans données personnelles	—
Matomo (auto-hébergé)	Non (sans cookie)	Non (vos serveurs)	Oui — en mode anonymisé	—

Les alternatives sans consentement requis

Plausible Analytics est une solution d'analyse web européenne qui ne dépose aucun cookie et ne collecte aucune donnée personnelle identifiable. Elle est entièrement conforme à la Loi 25 sans bannière de cookies. Pour les PME qui veulent des métriques de base (visites, sources de trafic, pages populaires), c'est la solution la plus simple.

Matomo (anciennement Piwik) est une alternative open source qui peut être auto-hébergée sur vos propres serveurs. En mode anonymisé, elle ne nécessite pas de consentement. Elle offre des fonctionnalités plus poussées que Plausible, mais demande plus de configuration.

Que risquez-vous concrètement ?

La CAI effectue des inspections de sites web et peut être saisie par plainte d'un visiteur ou d'un concurrent. En cas de manquement avéré, les amendes administratives prévues par la Loi 25 peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les violations les plus graves. Pour les situations moins sévères, les pénalités s'élèvent à 10 millions ou 2 % du CA. Au-delà de l'amende, c'est la réputation de votre entreprise qui est exposée.