Ressource Loi 25 pour sites web

Checklist Loi 25 pour votre site web (PME, OBNL, municipal)

Cette checklist vous aide à vérifier si votre site web respecte les exigences principales de la Loi 25 au Québec : gestion des cookies, formulaires, infolettre, transparence et droits des personnes. Elle ne remplace pas un avis juridique, mais vous donne une base concrète pour prioriser vos actions.

1. Cookies et témoins de connexion

La Loi 25 exige un consentement clair avant la collecte de renseignements personnels, y compris par l'entremise de cookies non essentiels (statistiques, marketing, traçage). Votre site doit être transparent sur les outils utilisés et permettre un choix réel (accepter / refuser).

  • Une bannière de consentement aux cookies est présente sur votre site, en français, avec un lien vers une politique de cookies / vie privée à jour.
  • Les cookies non essentiels (analyse, marketing, pixels, etc.) ne se déclenchent pas avant le consentement explicite de l'utilisateur.
  • La bannière offre un bouton « Accepter » et un bouton « Refuser » visibles de manière équivalente, sans pousser artificiellement à l'acceptation.
  • L'utilisateur peut modifier son choix (consentement) à tout moment depuis le site (lien en bas de page ou dans la politique de confidentialité).
  • Vous connaissez la liste des outils de traçage utilisés (Google Analytics, Meta Pixel, outils de chat, vidéos intégrées, etc.) et leur catégorie.

2. Formulaires, infolettre et collecte de renseignements

La Loi 25 encadre la collecte de renseignements personnels via les formulaires en ligne, les infolettres, les dons et les inscriptions. Chaque formulaire doit expliquer clairement ce qui est collecté, pourquoi et pendant combien de temps.

  • Vos formulaires (contact, soumission, inscription, dons, recrutement, etc.) affichent des mentions claires sur l'usage des renseignements transmis.
  • Les champs demandés sont proportionnels à l'objectif (vous ne demandez pas plus d'information que nécessaire pour rendre le service).
  • Les cases liées à l'infolettre ou aux communications marketing ne sont pas précochées, et le texte précise à quoi la personne consent.
  • Vous avez un mécanisme simple pour que la personne se désabonne ou retire son consentement (lien de désabonnement, courriel dédié, etc.).
  • Vous savez où les données des formulaires sont stockées (courriel, CRM, plateforme de dons, tableur, etc.) et qui y a accès.

3. Politiques, avis de confidentialité et transparence

La Loi 25 insiste sur la transparence envers les personnes dont vous traitez les renseignements personnels. Votre site web est souvent la première porte d'entrée pour communiquer ces informations.

  • Votre site présente une politique de confidentialité / vie privée à jour, accessible en tout temps (lien en bas de page).
  • La politique explique clairement les catégories de renseignements collectés, les finalités, la base légale (le cas échéant) et la durée de conservation.
  • Vous indiquez les principaux fournisseurs et partenaires qui reçoivent des renseignements via votre site (hébergement, outils de marketing, paiement, etc.).
  • La politique explique comment une personne peut exercer ses droits (accès, rectification, retrait du consentement, plainte).
  • Le responsable de la protection des renseignements personnels (ou la personne responsable) est identifié, avec un moyen de le joindre.

4. Droits des personnes et demandes d'accès

Au-delà de la bannière de cookies, la Loi 25 renforce les droits des personnes concernées (accès, rectification, retrait du consentement, portabilité dans certains cas, etc.). Votre site doit faciliter ces démarches.

  • Vos mentions sur le site expliquent comment une personne peut demander l'accès à ses renseignements ou demander leur rectification.
  • Vous avez un processus interne pour traiter ces demandes dans des délais raisonnables (ex. suivi des demandes par courriel, gabarits de réponses).
  • Vous savez où sont stockés les renseignements collectés via le site, ce qui facilite la recherche en cas de demande d'accès.
  • Vous avez réfléchi à la façon de documenter les demandes et les réponses, en cas de vérification par la Commission d'accès à l'information.

5. Sécurité, accès interne et fournisseurs

Un site web conforme à la Loi 25 ne se limite pas à la bannière de cookies. La sécurité de base, la gestion des accès et le choix des fournisseurs jouent un rôle important dans la protection des renseignements personnels.

  • L'accès au tableau de bord de votre site (CMS, hébergeur, outils tiers) est limité aux personnes qui en ont réellement besoin.
  • Les comptes ont des mots de passe robustes et, idéalement, l'authentification à deux facteurs est activée.
  • Vous avez fait un minimum de ménage dans les anciens comptes utilisateurs, accès d'agences ou fournisseurs qui ne collaborent plus avec vous.
  • Vous avez une vision d'ensemble des outils qui reçoivent des données de votre site (hébergement, formulaires, paiement, emailing, CRM, analytics).
  • Vous êtes en mesure d'expliquer, en langage simple, comment ces outils contribuent à votre mission sans multiplier les risques inutiles.

Et si votre checklist révèle des zones floues ?

Si cette checklist met en lumière des zones d'incertitude sur vos cookies, formulaires ou contenus, vous n'êtes pas seul. Beaucoup de PME, d'OBNL et de petites organisations au Québec se trouvent dans la même situation face à la Loi 25.

Un pré-audit ciblé de votre site web permet de transformer ce flou en plan d'action concret : cartographie des outils utilisés, identification des risques les plus visibles et liste de correctifs priorisés, adaptée à vos ressources.

Demander un pré-audit gratuit de mon site