Audit Loi 25 : combien ça coûte et ce que ça inclut vraiment (2026)
La mise en conformité à la Loi 25 a un coût — mais il varie considérablement selon l'option choisie. Entre le scanner gratuit qui prend 30 secondes et l'accompagnement juridique complet à plusieurs milliers de dollars, il existe des options intermédiaires adaptées aux PME québécoises.
6 min de lecture
Pourquoi faire un audit de conformité Loi 25 ?
La Loi 25 est entrée en vigueur par phases : les premières obligations (politique de confidentialité, incidents de sécurité) depuis septembre 2022, les suivantes (consentement aux cookies, droits des personnes) depuis septembre 2023.
La Commission d'accès à l'information (CAI) dispose depuis 2023 de pouvoirs d'enquête renforcés et peut imposer des sanctions administratives pécuniaires pouvant atteindre 25 000 000 $ ou 4 % du chiffre d'affaires mondial (art. 90 Loi 25).
Un audit vous permet de savoir exactement où vous en êtes avant qu'un contrôle ou une plainte ne vous mette en défaut.
Ce qu'un audit Loi 25 doit obligatoirement couvrir
Analyse des cookies et traceurs actifs
Identification de tous les cookies déposés sur votre site (session, analytics, publicitaires), vérification que leur dépôt est conditionnel à un consentement explicite, et que la bannière respecte les exigences de la CAI (refus aussi facile que l'acceptation).
Vérification des formulaires de collecte
Chaque formulaire (contact, inscription, prise de rendez-vous, paiement) doit être analysé : quelles données sont collectées, dans quel but déclaré, avec quel mécanisme de consentement.
Évaluation de la politique de confidentialité
Présence, accessibilité et conformité du texte : les 7 éléments obligatoires sont-ils présents ? La politique est-elle à jour ? Le RPRP est-il identifié ?
Registre des activités de traitement
La Loi 25 exige la tenue d'un registre interne documentant chaque activité de traitement de données. L'audit doit vérifier son existence ou vous aider à le constituer.
Transferts hors Québec
Identification des outils tiers qui transfèrent des données (Google, Meta, Mailchimp, Stripe, etc.) et vérification que les mesures contractuelles appropriées sont en place.
Les options disponibles et leur coût réel
Option 1 — Scanner automatisé gratuit
0 $Des outils comme celui proposé sur auditloi25.ca analysent votre site en quelques secondes et détectent les non-conformités les plus visibles : cookies sans consentement, politique absente ou inaccessible, RPRP non identifié.
Ce que ça couvre
Détection de surface — idéal pour un premier diagnostic avant de décider d'aller plus loin.
Ce que ça ne couvre pas
Analyse des formulaires, registre de traitement, conformité du texte de politique, EFVP, conseils de correction.
Pour qui : toute organisation qui veut savoir où elle en est avant de décider d'aller plus loin.
Option 2 — Audit professionnel spécialisé
99 $ CADUn audit réalisé par un spécialiste en conformité numérique couvre les 5 dimensions ci-dessus et vous remet un rapport avec un plan d'action priorisé.
- Rapport de conformité complet de votre site
- Plan d'action priorisé (critique / important / recommandé)
- Modèle de politique de confidentialité adapté à votre secteur
- Bannière de consentement conforme prête à implémenter
- Livraison sous 48h ouvrables
Pour qui : PME, professionnels de santé, e-commerçants, tout site qui collecte des données de résidents québécois.
Option 3 — Accompagnement cabinet juridique
3 000 $ à 15 000 $+Les grands cabinets juridiques spécialisés en protection des données offrent un accompagnement complet : audit, rédaction de tous les documents juridiques, formation des équipes, mise en place du programme de gouvernance, suivi continu.
Ce que ça couvre
Tout, y compris les aspects les plus complexes : transferts internationaux, données sensibles, contrats fournisseurs.
Pour qui
Grandes entreprises, organisations traitant des données sensibles à grande échelle, organisations déjà sous enquête de la CAI.
Comment choisir ?
| Votre situation | Option recommandée |
|---|---|
| Je ne sais pas où j'en suis | Scanner gratuit d'abord |
| PME, site avec formulaires, budget limité | Audit 99 $ CAD |
| Clinique de santé, données patients | Audit 99 $ CAD minimum |
| E-commerce avec données de paiement | Audit 99 $ CAD + conseils EFVP |
| +50 employés, données sensibles à grande échelle | Cabinet juridique |
FAQ — Audit Loi 25
Est-ce que la Loi 25 s'applique à mon entreprise ?
Oui, si vous collectez des renseignements personnels sur des résidents du Québec via votre site web, application, ou tout autre moyen — quelle que soit la taille de votre organisation.
Qu'est-ce que la CAI peut vérifier sur mon site ?
La CAI peut contrôler la présence et la conformité de votre politique de confidentialité, votre gestion des cookies, vos formulaires de collecte, l'identification de votre RPRP, et votre registre de traitement.
Que se passe-t-il si je ne fais rien ?
Risque de mise en demeure, d'enquête, et de sanctions administratives pécuniaires. Les sanctions peuvent aller de l'avertissement formel aux amendes maximales prévues à l'art. 90.
Combien de temps dure l'audit professionnel ?
Notre rapport est livré sous 48h ouvrables après réception de votre commande.
Commencer par le scanner gratuit
30 secondes pour savoir si votre site présente des risques. Si des problèmes sont détectés, vous pouvez commander le rapport complet directement depuis la page de résultats.
Scanner mon site gratuitementRésultats instantanés · Sans engagement · Aucune carte requise
Vous voulez un audit complet de votre site ?
Rapport PDF, score de risque par zone, plan d'action, modèle de politique — 99 $ CAD. Livré sous 48h.