Les 10 erreurs Loi 25 les plus fréquentes sur les sites web québécois
Ces erreurs reviennent systématiquement lors des audits de sites web de PME, OBNL et organismes québécois. Elles sont concrètes, identifiables et — pour la plupart — corrigeables sans refonte complète.
8 min de lecture
- 01critique
Une bannière de cookies sans bouton « Refuser »
Cas observé
Site vitrine d'un cabinet de services professionnels. La bannière affiche un bouton vert « Accepter » et un lien gris discret « Paramètres ». Les cookies analytics partent dès le chargement de la page, avant tout clic.
La CAI exige que refuser les cookies non essentiels soit aussi simple qu'accepter. Un bouton visible, au même niveau que « Accepter », est obligatoire. Conditionner le départ des cookies à un choix explicite est la base de la conformité.
Art. 8 — Collecte de renseignements personnels par témoin de connexion
- 02critique
Des cookies tiers qui se déclenchent avant le consentement
Cas observé
Site d'un organisme communautaire avec Google Analytics et un pixel Meta. En inspectant le réseau au chargement, on voit les requêtes partir vers google-analytics.com et connect.facebook.net avant que le visiteur ait touché à la bannière.
Le consentement doit précéder le dépôt des cookies, pas l'inverse. Ce problème est fréquent avec les thèmes WordPress qui chargent les scripts dans le header, indépendamment du CMP installé.
Art. 8 — Collecte de renseignements personnels par témoin de connexion
- 03critique
Aucune mention dans les formulaires de contact
Cas observé
Formulaire de demande de soumission sur le site d'une PME de services. Champs : Nom, Courriel, Téléphone, Message. Bouton : « Envoyer ». Aucune indication sur ce qu'il advient des données, qui les traite, ou comment les supprimer.
Toute collecte de renseignements personnels doit être accompagnée d'une mention claire : finalité de la collecte, droit de retrait, identité du responsable. Un lien vers la politique de confidentialité ne suffit pas — la mention doit être visible dans le formulaire.
Art. 12 — Collecte auprès de la personne concernée
- 04majeure
Une politique de confidentialité introuvable ou générique
Cas observé
Site d'une association culturelle. La politique de confidentialité existe — elle est liée dans le footer, en police 10px, entre « Plan du site » et « Accessibilité ». Son contenu date de 2019 et mentionne encore « RGPD » comme seul cadre de référence.
La politique doit être accessible depuis toutes les pages, facile à trouver, et refléter les pratiques réelles du site. Une politique copiée-collée ou générée automatiquement sans adaptation crée une exposition : si vos pratiques ne correspondent pas au texte, c'est pire qu'une absence.
Art. 63 — Politique de confidentialité
- 05majeure
Aucun responsable de la protection des renseignements identifié
Cas observé
Cabinet comptable de 12 personnes. Aucun nom, aucune fonction, aucune adresse de contact liée à la protection des données sur le site. La page « À propos » liste les associés — mais sans mention du RPRP.
Toute organisation doit désigner un responsable de la protection des renseignements personnels (RPRP) et publier ses coordonnées — ou a minima un moyen de le joindre. Cette obligation est souvent ignorée par les PME qui n'ont pas de juriste interne.
Art. 3.1 — Responsable de la protection des renseignements personnels
- 06majeure
Un formulaire d'infolettre sans case de consentement distincte
Cas observé
Site d'une fondation. Le formulaire d'inscription à l'infolettre capture le prénom et le courriel. Le bouton dit « S'inscrire ». Nulle part il n'est mentionné que l'inscription implique de recevoir des communications marketing.
L'infolettre constitue une finalité distincte de la relation principale avec l'organisation. Le consentement doit être explicite, spécifique à cette finalité, et séparé de tout autre formulaire ou action.
Art. 12 et 14 — Collecte et finalité du traitement
- 07majeure
Des transferts hors Québec non déclarés
Cas observé
Site d'une clinique santé utilisant un CRM américain pour gérer les rendez-vous. Les données des patients — nom, courriel, motif de consultation — transitent vers des serveurs aux États-Unis. Rien dans la politique de confidentialité ne le mentionne.
Tout transfert de renseignements personnels hors du Québec vers un pays n'offrant pas un niveau de protection équivalent doit être déclaré et, dans certains cas, encadré par une évaluation des facteurs relatifs à la vie privée (ÉFVP). La transparence envers les personnes concernées est obligatoire.
Art. 17 — Communication de renseignements à l'extérieur du Québec
- 08modérée
Un formulaire de don sans information sur la conservation des données
Cas observé
OBNL avec formulaire de don en ligne. Les donateurs saisissent leur nom, adresse et numéro de carte. Aucune mention de la durée de conservation, ni de comment supprimer leurs données après la transaction.
La durée de conservation et les droits de la personne (accès, correction, suppression) doivent être indiqués. Pour les données financières, c'est d'autant plus sensible que la relation dure dans le temps — les donateurs reviennent d'une année à l'autre.
Art. 12 et 28 — Droits d'accès et de rectification
- 09modérée
Une bannière en anglais seulement sur un site francophone
Cas observé
Site vitrine d'un restaurateur montréalais. Le CMP installé par l'agence affiche par défaut : « We use cookies to improve your experience. Accept / Decline. » Le reste du site est entièrement en français.
La Loi 25 s'inscrit dans un contexte québécois francophone. Les informations sur la collecte de données doivent être comprises par la personne — ce qui implique la langue dans laquelle elle navigue. Une bannière anglophone sur un site francophone n'est pas un détail.
Art. 8 — Clarté de l'information fournie au moment de la collecte
- 10modérée
Aucun mécanisme pour exercer ses droits
Cas observé
Site d'un organisme para-public. La politique de confidentialité existe et mentionne les droits des personnes (accès, correction, suppression). Mais il n'y a aucun formulaire, aucune adresse, aucun moyen pratique d'exercer ces droits — juste une déclaration d'intention.
Mentionner les droits sans fournir un moyen concret de les exercer revient à ne pas les respecter. Une adresse courriel dédiée, un formulaire, ou a minima une instruction claire suffisent — mais ils doivent exister.
Art. 27 à 30 — Droits d'accès, de rectification et de retrait
Ce que ça veut dire pour votre site
La plupart des sites audités présentent entre 3 et 6 de ces erreurs simultanément. Ce n'est pas un jugement — c'est le résultat d'un cadre légal qui a évolué rapidement, sans que les obligations soient communiquées clairement aux organisations de taille moyenne.
- Les erreurs critiques (#1, #2, #3) sont celles que la CAI vérifie en premier — et celles qui exposent le plus directement.
- Les erreurs majeures (#4 à #7) fragilisent votre crédibilité et compliquent votre défense en cas de plainte.
- Les erreurs modérées (#8 à #10) sont souvent ignorées car elles semblent secondaires — mais elles s'accumulent.
Combien de ces erreurs sont sur votre site ?
Le pré-audit détecte ces problèmes automatiquement
En 2 minutes, vous nous donnez l'URL de votre site. En moins d'une minute, vous savez quelles zones sont à risque — avec les corrections prioritaires. Gratuit, sans engagement.
Le pré-audit est basé sur les mêmes critères que ceux présentés dans cet article — issus des lignes directrices de la CAI et des cas observés lors d'audits terrain.
Vérifier mon site gratuitementSans engagement · Aucune carte requise · Résultats instantanés
Vous êtes un OBNL ?
Certaines de ces erreurs ont des formes spécifiques pour les organismes à but non lucratif — dons, bénévoles, membres, infolettres.
Cet article est fourni à titre informatif. Il ne constitue pas un avis juridique.