auditloi25.ca
Pour les agences web et marketing

Loi 25 et agences web : vous êtes exposés deux fois

En tant qu'agence, la Loi 25 vous touche à deux niveaux : votre propre site, et les sites que vous gérez pour vos clients. Si un site que vous avez livré n'est pas conforme, la responsabilité peut remonter jusqu'à vous.

5 min de lecture

« On a livré le site, maintenant c'est leur problème. »

Une agence de Montréal livre un site WordPress pour une PME québécoise. Google Analytics installé, pixel Meta en place, formulaire de contact connecté à un CRM. Le client est content.

Six mois plus tard, un visiteur se plaint à la Commission d'accès à l'information : aucune bannière de cookies, données transmises à des serveurs américains sans mention, aucune politique de confidentialité. L'agence est mentionnée comme le prestataire technique. Le contrat ne précisait pas qui était responsable de la conformité.

Si votre contrat ne spécifie pas que le client prend en charge la conformité Loi 25 après livraison, vous restez exposé en tant que sous-traitant.

Ce que la Loi 25 implique pour une agence web

Une agence qui a accès aux données personnelles des clients de son client (via un CRM, Google Analytics, un formulaire) est considérée comme un « sous-traitant » au sens de la Loi 25.

Le sous-traitant doit respecter des exigences de confidentialité équivalentes à celles du responsable principal — et le contrat doit le prévoir explicitement.

Installer un pixel Meta ou Google Analytics sans bannière de consentement sur le site d'un client, c'est une non-conformité — même si c'est « standard dans le milieu ».

Votre propre site (formulaire de demande de devis, newsletter, contact) est aussi concerné. Les données de vos prospects ont les mêmes droits que celles de n'importe quel consommateur québécois.

Les 4 situations à risque dans une agence web

Pixels et outils de tracking sur les sites clients

Vous installez Google Analytics, Meta Pixel, Hotjar ou d'autres outils sur les sites de vos clients. Ces outils collectent des données personnelles sur les visiteurs. Sans bannière de consentement conforme, chaque visite est une collecte non autorisée — et vous en êtes l'installateur.

À vérifier : avez-vous mis en place une bannière de cookies conforme sur chaque site client que vous gérez ?

Accès aux données clients via CRM ou rapports

Votre agence a souvent accès à HubSpot, Mailchimp, ou d'autres outils qui contiennent des listes de contacts appartenant à vos clients. Cet accès vous place automatiquement dans la chaîne de traitement des données. Vos contrats le prévoient-ils ?

À vérifier : vos contrats définissent-ils clairement vos obligations en tant que sous-traitant de données ?

Formulaires de contact et demandes de devis sur votre propre site

Votre formulaire de contact collecte le nom, le courriel, parfois l'entreprise et le téléphone de vos prospects. Ces données sont-elles stockées dans un CRM sécurisé ? Pendant combien de temps ? Vos prospects savent-ils comment demander leur suppression ?

À vérifier : votre politique de confidentialité couvre-t-elle les données collectées via votre formulaire de contact ?

Envois d'emails et campagnes pour vos clients

Quand vous gérez des campagnes d'emailing pour vos clients, vous traitez leurs listes de contacts. Ces listes ont-elles été constituées avec un consentement explicite ? Les destinataires peuvent-ils se désabonner facilement ? La conformité de la liste n'est pas uniquement la responsabilité de votre client.

À vérifier : les listes d'emailing de vos clients ont-elles été collectées avec un consentement conforme à la Loi 25 ?

Ce que votre agence doit vérifier en priorité

Vos contrats clients définissent qui est responsable de la conformité Loi 25 après livraison

Tous les sites que vous gérez ont une bannière de cookies permettant de refuser en un clic

Votre propre site a une politique de confidentialité à jour couvrant les formulaires de contact

Vous avez un accord de traitement des données avec chaque outil tiers que vous utilisez (CRM, analytics, emailing)

Les listes d'emailing de vos clients ont été constituées avec un consentement explicite et documenté

Vos employés qui accèdent aux données clients sont sensibilisés aux obligations de la Loi 25

Pour aller plus loin : Checklist Loi 25 complète pour votre site

Audit pour votre agence — et pour les sites de vos clients

auditloi25.ca permet d'analyser n'importe quel site québécois — le vôtre ou celui d'un client — en quelques secondes. Idéal pour intégrer un pré-audit systématique dans votre processus de livraison.

Plusieurs agences utilisent notre rapport comme point de départ pour proposer un service de mise en conformité à leurs clients existants. C'est aussi une façon de se différencier à la signature d'un nouveau contrat.

Votre agence gère des données pour ses clients. Vérifiez que vous êtes couverts.

Pré-audit gratuit · Rapport instantané · Aucun engagement, aucune carte requise

Obtenir mon pré‑audit gratuit
Voir l'offre d'audit Loi 25 pour agences →
Retour à l'accueilChecklist Loi 25 pour votre site →
Obtenir mon pré-audit gratuit →