La bonne nouvelle : les démarches ne sont pas aussi complexes qu’elles en ont l’air. La moins bonne : les amendes pour non-conformité peuvent être très élevées. Voici ce que vous devez savoir et ce que vous devez faire. Voici ce que l’équipe Nivii recommande de savoir et de faire.
Ce que vous allez apprendre dans cet article
Ce que la Loi 25 exige concrètement pour votre site web
Les éléments les plus souvent manquants chez les PME québécoises
Les étapes pour vous mettre en conformité rapidement
Qu’est-ce que la Loi 25 exactement.
La Loi 25 est la loi québécoise modernisant des dispositions législatives en matière de protection des renseignements personnels. Elle s’applique à toute entreprise qui collecte des renseignements personnels sur des résidents du Québec
Sur internet, presque tous les sites collectent ce type d’information : formulaires de contact, adresses courriel, cookies de suivi, données de navigation. Vous êtes donc concerné, quelle que soit la taille de votre entreprise.
Les amendes prévues peuvent atteindre jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial pour les cas les plus graves. Pour les PME, les sanctions sont proportionnelles, mais les enquêtes de la Commission d’accès à l’information sont réelles et en augmentation.
Ce que votre site web doit avoir
Une politique de confidentialité à jour. Elle doit expliquer clairement quels renseignements vous collectez, pourquoi, combien de temps vous les conservez, et comment les utilisateurs peuvent exercer leurs droits. Si votre politique date d’avant 2022 ou n’a jamais été rédigée sérieusement, elle doit être refaite.
Un avis sur les témoins (cookies). Si votre site utilise des cookies, notamment via Google Analytics, Meta Pixel ou des outils publicitaires, vous devez informer les visiteurs et obtenir leur consentement avant de les activer. Une bannière de consentement qui s’affiche à la première visite est obligatoire pour les sites concernés.
Un responsable de la protection des renseignements personnels identifié. La Loi 25 exige que chaque entreprise désigne une personne responsable et l’identifie publiquement sur son site. Pour une PME, c’est souvent le dirigeant lui-même.
Un protocole en cas d’incident de confidentialité. Si votre site est piraté ou si des données sont divulguées, vous avez l’obligation de le signaler à la Commission d’accès à l’information et d’aviser les personnes concernées. Avoir un protocole en place avant que ça arrive est une exigence légale.
Les erreurs les plus fréquentes chez les PME
La première erreur : une politique de confidentialité générique copiée sur internet qui ne correspond pas à ce que votre site fait réellement. Si votre politique dit que vous ne collectez pas d’adresses courriel alors que vous avez un formulaire de contact, c’est une non-conformité.
La deuxième : l’absence de bannière de consentement pour les cookies malgré l’utilisation de Google Analytics ou de pixels publicitaires. Ces outils collectent des données sur le comportement des visiteurs, et leur activation sans consentement est problématique.
La troisième : aucun responsable identifié sur le site. C’est une obligation simple à respecter, souvent oubliée.
Chez Nivii, notre équipe de conception web intègre les exigences de la Loi 25 dans tous les nouveaux sites que nous développons pour nos clients de Laval et de la Rive-Nord.
Par où commencer concrètement
Faites d’abord l’inventaire de ce que votre site collecte : formulaires, cookies, outils d’analyse, publicité. Vérifiez ensuite si votre politique de confidentialité couvre ces éléments de façon exacte.
Configurez une bannière de consentement pour les cookies. Des outils comme Cookiebot ou CookieYes permettent de le faire sans développement complexe.
Désignez formellement un responsable de la protection des renseignements personnels et indiquez son nom ou son titre sur votre site.
Pour aller plus loin, surtout si votre site collecte des données sensibles, un accompagnement juridique ou numérique peut vous aider à atteindre une conformité complète.
À retenir
- La Loi 25 s’applique à toute entreprise québécoise qui collecte des renseignements personnels en ligne, peu importe sa taille.
- Votre politique de confidentialité doit refléter exactement ce que votre site fait réellement avec les données.
- Une bannière de consentement pour les cookies est obligatoire si vous utilisez des outils de suivi ou de publicité.
- Vous devez désigner un responsable de la protection des renseignements personnels et l’identifier sur votre site.
- Un protocole en cas d’incident de confidentialité est une obligation légale.
Votre site est-il conforme à la Loi 25 ?
Notre équipe de Laval peut vérifier votre site et identifier les ajustements nécessaires pour vous mettre en conformité, sans jargon juridique.
