Obligations Loi 25 en 2026 au Québec : ce qui est en vigueur et ce qui reste à surveiller

Trois ans après le début de son entrée en vigueur progressive, la Loi 25 est désormais entièrement applicable au Québec. En 2026, toutes les obligations sont actives et la Commission d'accès à l'information (CAI) a durci son approche d'inspection. Ce guide fait le point sur ce qui est actuellement exigible et ce que les organisations qui n'ont pas encore agi doivent savoir.

Si vous voulez d'abord évaluer l'état de votre site, un pré-audit gratuit vous donne un portrait immédiat de vos zones à risque.

Les trois phases : toutes actives en 2026

Phase 1 — Depuis septembre 2022

• Désignation d'un responsable de la protection des renseignements personnels et publication de son nom ou titre sur votre site.
• Politique de gouvernance des renseignements personnels au sein de votre organisation.
• Obligation de signaler tout incident de confidentialité à la CAI.
• Évaluation des facteurs relatifs à la vie privée (EFVP) pour tout nouveau projet à risque élevé.

Phase 2 — Depuis septembre 2023

• Consentement explicite requis avant tout dépôt de cookie non essentiel.
• Bannière de consentement conforme obligatoire.
• Droit à la portabilité des données.
• Encadrement des contrats avec les sous-traitants qui accèdent à vos données.

Phase 3 — Depuis septembre 2024

• Droit à la désindexation : retrait des informations personnelles des moteurs de recherche dans certaines conditions.
• Encadrement des décisions automatisées basées uniquement sur des données personnelles.

Ce que la CAI surveille en priorité en 2026

Cookies non essentiels chargés avant le consentement

C'est la violation la plus fréquemment documentée et la plus facile à détecter. Si Google Analytics ou Meta Pixel se déclenchent au chargement de la page avant que la bannière ne soit traitée, l'organisation est en violation directe de l'article 8 de la Loi 25.

Politiques de confidentialité incomplètes

Une politique qui ne mentionne pas les outils tiers utilisés ou qui ne couvre pas les huit éléments obligatoires selon la CAI est insuffisante. L'absence de politique est encore plus exposée.

Responsable non désigné ou non publié

Obligation depuis septembre 2022, c'est l'une des lacunes les plus répandues. La CAI peut simplement visiter votre site et constater l'absence de cette information en quelques secondes.

Formulaires sans mention de finalité

Chaque formulaire doit expliquer pourquoi les données sont collectées. L'absence de cette mention est systématiquement relevée lors des inspections.

Nouvelles clarifications de la CAI (2025-2026)

• Cookies de session : nécessaires au fonctionnement technique = pas de consentement requis. Cookies d'A/B testing et de personnalisation à finalité analytique = consentement requis.
• Formulaires de don : le consentement aux communications marketing ne peut pas être implicite dans un acte de don. Case séparée, non pré-cochée, librement révocable.
• Services américains (Google Workspace, HubSpot, Salesforce) : constitue un transfert de données hors Québec à documenter dans votre politique et à encadrer par un contrat de sous-traitance conforme.

Comment vérifier votre conformité en 2026

Si votre dernière revue de conformité date de 2023 ou avant, les nouvelles lignes directrices de la CAI peuvent avoir créé de nouvelles lacunes. Un pré-audit gratuit sur auditloi25.ca analyse votre site en quelques minutes. Pour une vérification complète incluant tous les outils tiers et les contrats de sous-traitance, notre audit complet vous livre un rapport et un plan d'action sous 48 heures.