auditloi25.ca
Conformité Loi 25

Amendes Loi 25 : ce que risque votre PME si votre site n'est pas conforme

La Loi 25 est en vigueur. La CAI surveille. Et contrairement à ce que beaucoup pensent, les petites organisations ne sont pas à l'abri.

4 min de lecture

« On n'a pas encore été contacté — donc on est correct ? »

C'est le raisonnement de la grande majorité des PME et OBNL québécois. Et c'est compréhensible — quand rien ne se passe, on suppose qu'on est dans les règles.

Mais voici comment ça peut basculer : un client visite votre site, remarque que des cookies se déclenchent avant même qu'il ait cliqué sur quoi que ce soit. Il ne dit rien sur le moment. Puis, quelques semaines plus tard, il dépose une plainte auprès de la CAI.

La CAI ouvre un dossier. Ce n'est pas une amende automatique — mais c'est une enquête. Ça demande du temps, de l'énergie, des explications à fournir. Et si les pratiques ne sont pas corrigées, les sanctions deviennent possibles.

Ne pas avoir été contacté, c'est de la chance — pas de la conformité.

Les deux types de sanctions prévues par la loi

Sanctions administratives

10 M$

ou 2 % du chiffre d'affaires mondial

  • · Décidées directement par la CAI
  • · Applicables même sans intention malveillante
  • · La CAI peut ordonner de corriger les pratiques

Sanctions pénales

25 M$

ou 4 % du chiffre d'affaires mondial

  • · Réservées aux infractions graves ou répétées
  • · Les montants les plus élevés de la loi
  • · Source : Loi 25, art. 90 et 92
À retenir : Ces montants sont les maximums légaux. Les sanctions pour les PME sont proportionnelles à la situation — mais elles existent, et une plainte suffit à ouvrir un dossier.

Qu'est-ce qui peut déclencher une enquête de la CAI ?

  1. 1

    Une plainte d'un client ou visiteur

    Le déclencheur le plus fréquent. Un visiteur insatisfait peut déposer une plainte directement sur le site de la CAI en quelques minutes.

  2. 2

    Un incident de confidentialité non signalé

    Si votre organisation subit une fuite de données et ne le signale pas à la CAI (obligation légale), c'est une infraction en soi — distincte de l'incident original.

  3. 3

    Une enquête proactive de la CAI

    La CAI peut auditer un secteur ou type d'organisations de sa propre initiative, sans qu'une plainte soit nécessaire.

  4. 4

    Un signalement externe

    Un partenaire, concurrent ou journaliste peut attirer l'attention de la CAI sur des pratiques problématiques.

Ce que la CAI regarde en premier sur votre site

La bannière de cookies

Peut-on refuser aussi facilement qu'accepter ? Les cookies se déclenchent-ils avant le consentement ?

Les formulaires

Expliquez-vous pourquoi vous collectez nom, courriel, téléphone ? Comment ces données sont-elles utilisées ?

La politique de confidentialité

Existe-t-elle ? Est-elle à jour, rédigée en français, accessible depuis toutes les pages ?

Les outils tiers actifs

Google Analytics, pixels, outils d'infolettre — sont-ils déclarés et consentis avant de se déclencher ?

La bonne nouvelle

La plupart des non-conformités sur les sites de PME et OBNL sont corrigeables rapidement — souvent sans refaire le site au complet.

La CAI ne cherche pas à punir les organisations de bonne foi. Une organisation qui prend des mesures concrètes est dans une position bien meilleure qu'une qui ignore le problème.

Le premier pas n'a pas à être parfait. Il doit être réel.

Vous ne savez pas où vous en êtes avec la Loi 25 ?

Notre pré-audit gratuit analyse votre site et vous indique clairement les zones à risque — sans jargon, sans engagement.

Obtenir mon pré‑audit gratuit

Retour sous 48 h · Sans engagement · Aucune carte requise

Retour à l'accueilChecklist Loi 25 pour votre site →