auditloi25.caVoir l'offre
Secteur municipal

Loi 25 et organisations municipales au Québec : vos obligations en 2026

Villes, MRC, régies intermunicipales et organismes publics locaux : vos sites web et plateformes numériques doivent respecter des obligations strictes en matière de protection des renseignements personnels de vos citoyens. La CAI surveille activement le secteur public.

Les organismes publics sont tenus à un standard de transparence plus élevé que le secteur privé. Un manquement d'une ville ou d'une MRC peut rapidement faire l'objet d'une couverture médiatique locale et d'interpellations au conseil municipal.

Vos obligations spécifiques en tant qu'organisme municipal

Bannière de consentement sur le site web municipal

Google Analytics, YouTube intégré, cartes Google Maps : chaque outil tiers doit être bloqué jusqu'au consentement explicite. Bouton « Refuser » obligatoire. Bannière en français conforme à la CAI.

Risque Élevé

Politique de confidentialité adaptée au secteur public

Doit couvrir les formulaires citoyens (demandes de permis, inscriptions aux loisirs, plaintes), les transferts vers des prestataires TI municipaux, et mentionner les droits d'accès et de rectification prévus par la Loi sur l'accès.

Risque Élevé

Formulaires citoyens et consentement

Formulaires de demande de service, inscriptions aux activités récréatives, consultations publiques en ligne : chaque formulaire doit indiquer la finalité de la collecte et la base légale. Le consentement marketing doit être explicite et séparé.

Risque Élevé

Responsable désigné et registre des incidents

Un responsable de la protection des renseignements personnels doit être désigné et son titre publié sur le site. Un registre des incidents de confidentialité doit être maintenu et les incidents significatifs signalés à la CAI.

Risque Moyen

Risques et pénalités pour les organismes municipaux

Les organismes publics locaux relèvent de la Loi sur l'accès, supervisée par la CAI. Les sanctions peuvent inclure des ordonnances de conformité, des astreintes et — dans les cas graves — des recommandations publiques qui alimentent le débat citoyen et médiatique.

Au-delà des sanctions formelles, une plainte citoyenne déposée à la CAI déclenche une enquête qui peut durer plusieurs mois et mobilise des ressources administratives significatives — DG, équipe TI, conseillers juridiques. Le coût indirect dépasse largement le coût d'une mise en conformité préventive.

Note spécifique au secteur public :Les citoyens ont un droit d'accès renforcé à leurs données personnelles détenues par un organisme public. Toute demande doit recevoir une réponse dans les 20 jours. L'absence de processus documenté est en soi un risque de non-conformité.

Vérifiez la conformité de votre site municipal

Pré-audit gratuit — bannière de cookies, formulaires citoyens, politique de confidentialité. Résultat instantané, sans engagement.

Obtenir mon pré-audit gratuit

Rapport instantané · Sans engagement · Aucune carte requise

Ce qu'inclut l'audit complet pour un organisme municipal

  • Audit des outils tiers actifs sur le site (Google Analytics, YouTube, cartes intégrées)
  • Analyse des formulaires citoyens et des mécanismes de consentement
  • Vérification de la politique de confidentialité selon les exigences de la CAI pour le secteur public
  • Revue du processus de traitement des demandes d'accès aux renseignements personnels
  • Rapport PDF transmissible au DG, au responsable TI ou à l'agence web mandatée
  • Séance de restitution à distance pour l'équipe responsable
Voir le détail de l'offre d'audit →

Questions fréquentes — Secteur municipal et protection des données

Les organisations municipales sont-elles soumises à la Loi 25 ou à la Loi sur l'accès ?

Les organismes municipaux (villes, MRC, régies intermunicipales) sont soumis à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l'accès), administrée par la CAI. Leurs sites web et plateformes numériques doivent respecter des obligations similaires à la Loi 25 en matière de consentement aux cookies et de transparence — notamment depuis les modifications apportées en 2022-2023.

Un site web municipal doit-il avoir une bannière de consentement aux cookies ?

Oui. Dès qu'un site web municipal intègre des outils d'analyse (Google Analytics, Matomo) ou des plateformes tierces (YouTube, Eventbrite, Facebook), il doit obtenir le consentement préalable des visiteurs. L'obligation s'applique même aux organismes publics locaux dont les citoyens s'attendent à un haut niveau de transparence.

Quelles sont les conséquences d'une non-conformité pour un organisme municipal ?

La CAI peut émettre des recommandations formelles, des mises en demeure, et dans les cas graves, des sanctions administratives pécuniaires. Au-delà des sanctions, l'impact réputationnel pour un élu ou une administration est significatif : les citoyens et médias locaux scrutent de près la gestion des données publiques. Une mise en demeure publique peut générer des articles de presse et des questions au conseil municipal.

Aller plus loin

Bannière de cookies conforme à la Loi 25 : guide complet Désigner un responsable de la protection des renseignements personnels Checklist Loi 25 pour votre site web Pénalités Loi 25 : montants, risques et sanctions possibles

Cet article est fourni à titre informatif. Il ne constitue pas un avis juridique.

Obtenir mon pré-audit gratuit →