Formation Site web · Module 3 · Guide pratique
Configurer chaque formulaire de façon conforme

Avis de collecte sur un formulaire — qu'exige la Loi 25?

Chaque formulaire de votre site est un point de collecte distinct. La Loi 25 exige que la personne soit informée au moment où elle entre des renseignements personnels — finalité, durée, droits, tiers, transferts hors Québec. Voici comment l'appliquer concrètement.

Faire auditer mon site web Planifier la formation pour mon équipe →

La majorité des formulaires de PME québécoises n'ont aucun avis de collecte adjacent. Le visiteur entre son nom, son courriel, son numéro de téléphone — souvent plus — sans savoir pourquoi, pour combien de temps, ni avec qui ces données seront partagées. L'article 8 de la Loi 25 exige cette information au moment de la collecte, et l'article 14 fixe huit critères de validité du consentement quand celui-ci est demandé. Ces obligations sont simples à appliquer — mais leur absence est constatable en quelques secondes.

Applicable à tout site web. Les exemples illustrent un site WordPress avec Contact Form 7 ou Gravity Forms, mais les principes s'appliquent à l'identique sur Wix Forms, Shopify Forms, Squarespace, Webflow ou un formulaire codé sur mesure. C'est l'affichage de l'avis qui compte, pas la technologie sous-jacente.

Définition

L'avis de collecte est le texte qui informe la personne, au moment où elle entre des renseignements personnels dans un formulaire, de ce que vous collectez, pourquoi, pour combien de temps, avec quels tiers et de ses droits. Il est exigé par l'article 8 de la Loi 25, indépendamment de la politique de confidentialité.

Le contenu d'un avis de collecte conforme

L'article 8 fixe les 4 mentions minimales, et le guide CAI ajoute les contextes dans lesquels d'autres mentions deviennent attendues :

  • Les fins de la collecte (« pour répondre à votre demande dans les 48 heures »)
  • Les moyens par lesquels les renseignements sont recueillis (formulaire, courriel auto)
  • Les droits d'accès et de rectification
  • Le droit de retrait du consentement
  • Si applicable : nom des tiers ou catégories de tiers à qui les renseignements seront communiqués
  • Si applicable : mention d'une communication possible à l'extérieur du Québec (ex. Calendly, Mailchimp, HubSpot)

Modèles courts pour les formulaires courants

Trois lignes suffisent dans la majorité des cas. Voici des modèles éprouvés :

Formulaire de contact

« Vos renseignements sont utilisés uniquement pour répondre à votre demande, conservés 12 mois, et ne sont pas partagés avec des tiers. Vous pouvez nous écrire à tout moment pour les consulter, les corriger ou demander leur suppression. »

Inscription à l'infolettre

« Votre courriel sert uniquement à recevoir notre infolettre mensuelle. Il est traité par Mailchimp (États-Unis). Vous pouvez vous désinscrire à tout moment via le lien en bas de chaque envoi. »

Prise de rendez-vous (Calendly)

« Vos renseignements sont utilisés pour planifier la rencontre. Ils sont traités par Calendly (États-Unis) et conservés 24 mois pour la gestion du suivi client. Vous pouvez nous demander leur suppression à tout moment. »

Ce que ça veut dire concrètement

Si vos formulaires sont sans avis :

  • La collecte se fait techniquement, mais sans la base d'information exigée par la loi.
  • Le consentement implicite tiré du remplissage du formulaire est juridiquement faible — manquer la spécificité ou la granularité du consentement le rend invalide.
  • Une plainte d'un visiteur sur l'usage de ses données vous met en position défensive : pas de trace que l'information a été donnée.

Ce que ça signifie concrètement pour un dirigeant

Si vos formulaires n'affichent pas d'avis :

  • L'organisation est techniquement en collecte non conforme à chaque soumission — sans le savoir.
  • Vous n'avez aucune trace pour démontrer que le visiteur savait ce qui se passait — la défense en cas de plainte devient très difficile.
  • Une mise en conformité tardive (après plainte) est plus coûteuse en temps et en réputation qu'un ajout de 3 lignes au moment du déploiement.

L'absence d'avis est invisible pour vous. Elle est immédiatement visible pour la CAI.

🎯 Diagnostic rapide : vos formulaires sont-ils conformes?

Trois questions, à vérifier sans aide technique :

  • Chaque formulaire de votre site affiche-t-il un avis de collecte visible avant ou sous le bouton « Envoyer »?
  • Si vos formulaires utilisent des cases à cocher, sont-elles décochées par défaut et présentées finalité par finalité?
  • L'utilisation de Calendly, Mailchimp ou tout outil hors Québec est-elle mentionnée dans l'avis?

Si un seul élément manque, le consentement obtenu via ce formulaire peut être considéré comme invalide selon les 8 critères de la CAI.

Dans la réalité des PME québécoises

📋 Pas d'avis du tout. Le formulaire de contact, l'infolettre, la prise de rendez-vous — aucune mention de finalité, durée, tiers ou droits. C'est la situation par défaut de la majorité des sites.

✅ Cases pré-cochées. « J'accepte de recevoir des communications marketing » coché par défaut, ou bouton « Accepter » visuellement plus visible que « Refuser ». La CAI considère ces patterns comme compromettant le caractère libre du consentement.

🔢 Trop de champs. Un formulaire de contact qui demande chiffre d'affaires, nombre d'employés, secteur d'activité, numéro d'entreprise — sans justification opérationnelle. Violation directe du principe de minimisation (article 5).

Cas réel simplifié

Une PME utilise un formulaire de demande de soumission qui collecte : nom, courriel, téléphone, entreprise, secteur, chiffre d'affaires, nombre d'employés, date prévue du projet, budget estimé.

Contexte :

  • Aucun avis de collecte sous le formulaire
  • Une case « J'accepte les conditions d'utilisation et la politique de confidentialité » est cochée par défaut
  • Les données sont envoyées dans HubSpot (États-Unis)

Résultat lors d'un audit B2B :

  • Le donneur d'ouvrage demande la justification de chaque champ — l'organisation ne peut pas la fournir pour 4 d'entre eux
  • L'absence d'avis et la case pré-cochée violent les critères « manifeste », « libre » et « distinct » du consentement
  • L'utilisation de HubSpot non mentionnée déclenche une demande complémentaire sur les transferts hors Québec
  • Le processus de signature est suspendu — l'organisation doit corriger avant que le contrat puisse avancer

Trois lignes manquantes ralentissent un contrat de plusieurs semaines.

Quatre croyances erronées sur les avis de collecte

  • « Notre politique de confidentialité couvre tout, pas besoin d'avis sur les formulaires. » Faux. La politique informe globalement; l'avis informe au moment précis de la collecte. La loi exige les deux.
  • « Le consentement est implicite quand quelqu'un remplit un formulaire. » Faux pour les finalités secondaires (marketing, transferts à des tiers, profilage). Le consentement implicite vaut seulement pour la finalité principale et nécessaire au service demandé.
  • « Une case "J'accepte les conditions" suffit. » Faux. La CAI exige que le consentement soit distinct des conditions d'utilisation et présenté séparément. Une case fourre-tout invalide le consentement.
  • « Si on demande peu de champs, l'avis n'est pas nécessaire. » Faux. Même un seul champ (un courriel) déclenche les obligations de l'article 8. Le seuil est la collecte, pas le volume.

Un formulaire sans avis est une collecte sans information — donc une collecte invalide.

Formulaire défaillant / Formulaire conforme

✗ Formulaire défaillant

  • Aucun avis de collecte adjacent
  • Cases pré-cochées par défaut
  • Champs non nécessaires (CA, nb employés)
  • Bouton « Accepter » mis en valeur
  • Outils tiers non mentionnés

✓ Formulaire conforme

  • Avis 3-4 lignes sous les champs
  • Cases décochées, finalité par finalité
  • Champs minimums (justifiés)
  • Boutons « Accepter / Refuser » équivalents
  • Tiers nommés (Mailchimp, Calendly, etc.)

Ce que la Loi 25 implique concrètement

  • Article 8 — informer la personne au moment de la collecte (4 mentions minimales + tiers + hors Québec).
  • Article 14 — quand un consentement est demandé : il doit être manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire et distinct (les 8 critères CAI).
  • Article 5 — minimisation : chaque champ doit être nécessaire à la finalité affichée.
  • Article 4.1 — pour les mineurs de moins de 14 ans, le consentement parental est requis.

Pourquoi c'est critique

  • C'est ce qu'un visiteur informé regarde. Les attentes du public augmentent — un site sans avis paraît négligent.
  • C'est ce qu'un partenaire B2B vérifie. Les processus d'évaluation des fournisseurs incluent maintenant l'audit des points de collecte.
  • C'est ce qu'une enquête CAI examine en premier. Le formulaire est concret, vérifiable, traçable.

Concrètement pour une PME

Sans avis de collecte sur les formulaires :

  • Chaque soumission constitue une collecte non conforme — multipliée par le volume de soumissions annuelles
  • Les processus B2B se ralentissent quand un partenaire demande la documentation
  • Une plainte sur l'usage des données devient indéfendable sans trace de l'information donnée

Le coût vient de l'absence de 3 lignes — pas de la complexité du sujet.

En résumé

Définition : l'avis de collecte est un texte court (3-4 lignes) qui informe la personne au moment où elle remplit un formulaire — finalité, durée, tiers, droits.

Trois faits clés :

  • Article 8 — l'information doit être donnée au moment de la collecte, pas seulement dans la politique
  • Article 14 — 8 critères de validité du consentement (CAI 2023-1) : manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire, distinct
  • Article 5 — minimisation : chaque champ justifié par la finalité

👉 Action : ajouter un avis court sous chaque formulaire et retirer les champs non justifiés.

Le cadre juridique du consentement est traité dans la Formation Gouvernance PRP, module Politique de confidentialité. Ce module-ci se concentre sur l'application web — où afficher l'avis, comment formuler les modèles courts, comment vérifier la minimisation champ par champ.

Pour aller plus loin

Articles précis 8, 14, 4.1, les 8 critères CAI détaillés, exemples 2-a et 2-b, sanctions?

Voir les exigences légales →

Test rapide — vos formulaires sont-ils conformes?

Trois questions pour évaluer votre situation.

Si non à une seule, vos formulaires recueillent probablement des renseignements sans la base légale requise.

Faire auditer mon site web →

Maîtriser la conformité Loi 25 de votre site

La Formation Site web et Loi 25 couvre les sept obligations applicables à votre site — cartographie des collectes, politique de confidentialité, formulaires, outils tiers, cookies, données sensibles publiées, droits des visiteurs.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web