La Loi 25 : ce que votre site web doit vraiment avoir
La Loi 25 est une loi québécoise qui encadre la protection des renseignements personnels. Concrètement, si vous avez un site web qui collecte des renseignements personnels (même si c’est seulement leur courriel via un formulaire de contact), vous êtes concerné.
On trouve aujourd’hui une multitude d’articles, de guides et de vidéos qui expliquent la Loi 25 et la façon dont les entreprises doivent collecter, utiliser et protéger les renseignements personnels. La plupart de ces contenus expliquent la loi dans son ensemble, avec beaucoup de détails parfois assez complexes. Mais quand on est entrepreneur ou propriétaire d’un site web, on ne veut pas nécessairement fouiller pour comprendre.
On veut seulement savoir : Concrètement, qu’est-ce que mon site doit avoir pour être conforme?
C’est exactement l’objectif de cet article. Plutôt que de décortiquer toute la loi, on va aller droit au but : les éléments essentiels à mettre en place.
Les 5 éléments essentiels pour un site conforme à la Loi 25
1. Une bannière de consentement aux cookies
Si votre site utilise des cookies (Google Analytics, pixels publicitaires, outils marketing, etc.), vous devez informer les visiteurs et obtenir leur consentement avant d’activer les cookies non essentiels. Concrètement, cela se fait avec une bannière de gestion des cookies qui apparaît lors de la première visite et permet à l’utilisateur d’accepter, refuser ou gérer ses préférences.
Important : la bannière doit bloquer les cookies non essentiels tant que l’utilisateur n’a pas donné son consentement.
2. Une politique de confidentialité claire
Votre site doit inclure une politique de confidentialité accessible, généralement dans le pied de page.
Cette page doit expliquer :
quelles données vous collectez (nom, courriel, adresse IP, etc.)
pourquoi vous les collectez
quels outils ou services peuvent y avoir accès (ex. Google Analytics, plateforme d’infolettre, etc.)
comment les utilisateurs peuvent demander l’accès, la correction ou la suppression de leurs données
Important : une politique de confidentialité doit refléter la réalité de votre site web. Copier une politique trouvée ailleurs et l’ajouter sur votre site ne suffit pas. Elle doit mentionner les outils et services que vous utilisez réellement pour être valide.
3. Des formulaires avec consentement explicite
Chaque formulaire sur votre site doit expliquer pourquoi vous collectez l’information demandée.
Par exemple, si quelqu’un remplit un formulaire de contact pour poser une question sur vos services, cela ne signifie pas qu’il accepte automatiquement de recevoir vos communications marketing. Si la personne ne s’inscrit pas explicitement à votre infolettre, vous ne pouvez pas l’ajouter à votre liste ni lui envoyer des courriels promotionnels.
Beaucoup d’entrepreneurs disent : « Oui, mais tout le monde le fait. » Mais… le fait que ce soit courant ne veut pas dire que c’est conforme. Si vous souhaitez permettre l’inscription à une infolettre via un formulaire, vous devez ajouter une case de consentement explicite (non précochée) indiquant que la personne accepte de recevoir vos communications.
4. Un responsable des renseignements personnels identifié
La Loi 25 exige que chaque organisation désigne une personne responsable de la protection des renseignements personnels. Dans les petites entreprises ou chez les travailleurs autonomes, il s’agit généralement du propriétaire de l’entreprise. Son titre et une façon de le contacter doivent être mentionnés publiquement, généralement dans la politique de confidentialité du site web.
5. Un site sécurisé
La loi exige aussi que les organisations prennent des mesures raisonnables pour protéger les données qu’elles détiennent.
Votre site et ses extensions doivent être mis à jour régulièrement : sur des plateformes comme WordPress, cela signifie mettre à jour le site, les thèmes et les extensions afin de corriger les failles de sécurité. Sur des plateformes comme Squarespace ou Shopify, ces mises à jour sont généralement gérées automatiquement par la plateforme.
Votre site doit être sécurisé / un certificat SSL actif (HTTPS) : cela signifie que les informations envoyées sur votre site sont chiffrées et protégées lors de leur transmission.
Les accès administrateurs doivent utiliser des mots de passe solides : des mots de passe trop simples rendent votre site beaucoup plus vulnérable aux tentatives de piratage.
L’accès au panneau d’administration doit être limité aux bonnes personnes : seules les personnes qui en ont réellement besoin devraient avoir un accès administrateur à votre site (ex. développeur, gestionnaire du site, secrétaire responsable de traiter les formulaires de contact). Lorsque des tiers peuvent avoir accès aux données collectées via votre site, cela devrait également être mentionné dans votre politique de confidentialité.
Votre site est-il conforme à la Loi 25 ?
Beaucoup de propriétaires de sites pensent que la Loi 25 ne les concerne pas vraiment parce que leur site est petit, qu’ils n’ont pas de formulaire de contact ou parce que « personne ne regarde ça de toute façon ».
En pratique, c’est souvent là que se trouvent les zones de non-conformité : une bannière de cookies absente, une politique copiée d’un autre site, ou des outils qui collectent des données sans que ce soit clairement indiqué.
Si vous avez un doute, je peux jeter un coup d’œil à votre site et vous dire simplement ce qui est à ajuster pour respecter la Loi 25.
Vous pouvez réserver une courte consultation et on fait le tour ensemble.
Note : Cet article est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour une analyse spécifique à votre situation, consultez un conseiller juridique.
