Quels renseignements personnels mon site web collecte-t-il selon la Loi 25?

La majorité des sites web collectent plus de renseignements personnels que leur propriétaire ne le pense : champs de formulaire de contact, abonnements à l'infolettre, cookies analytiques, pixels publicitaires, scripts de clavardage, formulaires de prise de rendez-vous, journaux de connexion. Chaque point de collecte doit être inventorié et figurer dans le registre des activités de traitement.

Google Analytics, Mailchimp et Calendly sont-ils permis sous la Loi 25?

Oui — la Loi 25 n'interdit pas l'utilisation d'outils dont les serveurs sont hors Québec. Elle exige cependant : une évaluation des facteurs relatifs à la vie privée (EFVP) avant le déploiement, une entente de protection des données (DPA) avec le fournisseur, la mention explicite de chaque outil dans la politique de confidentialité, et un consentement préalable du visiteur si l'outil dépose des cookies non essentiels.

Une bannière de cookies est-elle obligatoire au Québec sous la Loi 25?

Une bannière de consentement aux cookies est requise dès qu'un site dépose des cookies non strictement nécessaires (analytiques, publicitaires, de personnalisation). Le visiteur doit pouvoir refuser aussi facilement qu'accepter, et les scripts non essentiels ne doivent se charger qu'après un accord explicite. Les cookies strictement nécessaires (panier, session, langue) ne nécessitent pas de consentement.

Comment afficher les coordonnées du RPRP et les droits des visiteurs sur un site web?

La Loi 25 exige que les coordonnées du Responsable de la protection des renseignements personnels (RPRP) soient publiées de façon accessible — généralement dans la politique de confidentialité avec une adresse courriel dédiée (ex. rprp@organisation.com). La politique doit aussi expliquer comment exercer les droits d'accès, de rectification, de portabilité, de retrait du consentement et de destruction. L'organisation doit pouvoir répondre dans les 30 jours suivant la réception d'une demande.

Formation Site web et Loi 25 au Québec — Conformité PRP pour PME

Votre site web tiendrait-il un audit de visibilité publique?

Trois questions pour évaluer rapidement votre situation.

Votre politique de confidentialité nomme-t-elle explicitement chaque outil tiers utilisé sur votre site (Google Analytics, Mailchimp, plugins, etc.) avec leur localisation?

Vos scripts d'analyse et de suivi (Google Analytics, Meta Pixel, etc.) attendent-ils vraiment un consentement explicite avant de se charger?

Si un visiteur exerce son droit d'accès ou de destruction, sauriez-vous où sont ses données et y répondre dans les 30 jours requis?

Si vous avez répondu non à une ou plusieurs questions, l'audit de visibilité publique identifie précisément les lacunes à corriger sur votre site.

Faire auditer mon site web →

La réalité publique pour une PME québécoise

Aujourd'hui, la majorité des sites web de PME au Québec :

publient une politique de confidentialité copiée ou générée automatiquement, qui ne reflète pas leurs vraies pratiques ;
chargent Google Analytics ou Meta Pixel avant tout consentement du visiteur ;
n'affichent aucun avis de collecte sur leurs formulaires de contact, devis ou infolettre.

Ces lacunes sont visibles publiquement. La Commission d'accès à l'information peut les constater sans plainte préalable — il suffit d'une visite sur votre site.

La suite logique de la Formation Gouvernance PRP

La Formation Gouvernance PRP vous apprend à construire votre conformité interne : RPRP, politiques, registres, conservation, sous-traitants, EFVP. Cette formation Site web vous apprend à rendre cette gouvernance visible et opérante sur votre site — la face publique de votre conformité.

Chaque module renvoie au module Gouvernance correspondant pour les fondations juridiques, puis ajoute la couche site web : où placer les avis, comment configurer la bannière, quels outils déclarer, quelles informations ne pas exposer. L'objectif : un site qui résiste à un audit de visibilité publique — et qui démontre votre maturité PRP au premier regard.

Guide complet — Les 7 modules pratiques

Chaque module renvoie vers un guide pratique (comment faire) et une page sur les exigences légales applicables. Les liens vers la Formation Gouvernance PRP renvoient au module interne de référence.

Quels renseignements personnels votre site web collecte-t-il vraiment?

Ce que vous apprenez : cartographier tous les points de collecte d'un site web (formulaires, cookies, pixels, plugins, hébergeur, journaux), structurer cet inventaire dans le registre des activités de traitement, identifier les flux invisibles.

Avant de corriger quoi que ce soit, il faut savoir ce que votre site fait réellement. La majorité des dirigeants sous-estiment de loin ce que leur site collecte : un formulaire (WordPress, Wix, Shopify ou autre), un outil d'infolettre, Google Analytics et un script de clavardage suffisent à créer quatre flux distincts de renseignements personnels.

Ce module fait le pont avec le module Registres obligatoires de la Formation Gouvernance PRP : la cartographie du site devient une section dédiée du registre des activités de traitement, avec une granularité technique adaptée au web.

Guide — Cartographier les points de collecte → Exigences légales →

Que doit contenir une politique de confidentialité de site web conforme à la Loi 25?

Ce que vous apprenez : structurer la version publique de votre politique de confidentialité pour le web, lister chaque outil tiers nommément, afficher la date de mise à jour, rendre la page indexable et lisible, lier à toutes les mentions du site.

La politique de confidentialité interne (rédigée pendant la Formation Gouvernance PRP) doit devenir une page web publique structurée, lisible et complète. Une politique copiée ou générée automatiquement n'est pas conforme — elle doit nommer vos outils, refléter vos vraies finalités, et être à jour.

Ce module prolonge le module Politique de confidentialité de la Formation Gouvernance PRP. Vous apprenez à transformer la politique interne en page web, avec la structure, le ton et les liens attendus par les visiteurs comme par la CAI.

Guide — Publier la politique → Exigences légales →

Avis de collecte sur un formulaire — quelles sont les obligations Loi 25?

Ce que vous apprenez : rédiger un avis de collecte court mais conforme, où le placer dans chaque formulaire (contact, devis, infolettre, prise de rendez-vous), appliquer le principe de minimisation, choisir entre case à cocher et consentement implicite.

Chaque formulaire de votre site est un point de collecte distinct, et chaque point de collecte déclenche l'obligation d'un avis de collecte. La loi exige que la finalité, la base légale, la durée et les droits soient communiqués au moment où le visiteur entre des renseignements personnels.

Ce module s'appuie sur le cadre du module Politique de confidentialité de la Formation Gouvernance PRP, et l'opérationnalise pour le web : modèles d'avis de 2-3 lignes pour chaque type de formulaire, exemples WordPress, principe de minimisation appliqué champ par champ.

Guide — Configurer les formulaires → Exigences légales →

Google Analytics, Mailchimp, Calendly — peut-on les utiliser sous la Loi 25?

Ce que vous apprenez : identifier vos outils tiers (souvent plus nombreux qu'on pense), comprendre le concept de transfert hors Québec, réaliser une EFVP web simplifiée avant déploiement, savoir quelles clauses exiger d'un fournisseur SaaS, choisir un hébergeur en connaissance de cause.

La majorité des sites de PME — qu'ils soient sur WordPress, Wix, Shopify, Squarespace, Webflow ou un site custom — utilisent une dizaine d'outils tiers : hébergeur, formulaire, infolettre, analytics, prise de rendez-vous, clavardage, CRM. Chacun reçoit ou envoie des renseignements personnels — souvent à l'extérieur du Québec. La Loi 25 exige une évaluation préalable et une mention dans la politique pour chacun.

Ce module prolonge le module Sous-traitants et DPA et le module EFVP de la Formation Gouvernance PRP. Il les opérationnalise sur les outils web typiques : grille d'évaluation par outil, clauses minimales à exiger, format d'EFVP allégée pour un déploiement web.

Guide — Évaluer les outils tiers → Exigences légales →

Bannière de cookies au Québec — qu'exige la Loi 25?

Ce que vous apprenez : distinguer cookies nécessaires et cookies non essentiels, configurer un mécanisme de consentement préalable au chargement des scripts de suivi, choisir une plateforme de gestion du consentement (CMP), tester que la bannière fait vraiment ce qu'elle annonce.

Une bannière qui apparaît à l'écran mais laisse les scripts s'exécuter immédiatement n'est pas conforme. La Loi 25 exige que les outils de suivi non essentiels (Google Analytics, Meta Pixel, Hotjar, scripts publicitaires) attendent un consentement explicite avant de se charger — et qu'un refus soit aussi simple à donner qu'un accord.

Aucun module Gouvernance ne couvre ce sujet : c'est un module 100 % site web. Il vous donne le vocabulaire, les paramètres techniques attendus, et les pièges fréquents (bannière esthétique sans effet réel, dark patterns qui rendent le refus difficile, scripts qui se chargent malgré tout).

Guide — Configurer la bannière → Exigences légales →

⚠️ Le seul module qui couvre ce risque dans tout le site

Quelles informations ne devrais-je pas afficher publiquement sur mon site?

Ce que vous apprenez : identifier les fuites involontaires de renseignements personnels dans le contenu publié — photos identifiantes sans consentement, listings d'employés détaillés, documents PDF indexables, métadonnées EXIF, archives blogue oubliées, zones « clients » mal protégées.

C'est le module qui fait perdre des dirigeants : leur conformité documentaire est correcte, mais le site lui-même expose publiquement des renseignements personnels qu'il ne devrait pas exposer. Une photo d'équipe avec noms complets et titres, un PDF de procès-verbal indexé par Google, un trombinoscope avec courriels personnels — autant de constats fréquents en audit de visibilité publique.

Aucun module Gouvernance ne couvre ce risque : la gouvernance interne ne sait pas ce qu'on a involontairement publié. C'est un module 100 % site web, qui s'attaque à ce que vous voyez sans le voir.

Guide — Détecter les fuites publiques → Exigences légales →

Comment afficher le RPRP, les droits des visiteurs et les durées de conservation?

Ce que vous apprenez : publier les coordonnées du Responsable de la protection des renseignements personnels de façon accessible, créer une section « Vos droits » lisible, mettre en place un formulaire de demande d'accès, afficher les durées de conservation par catégorie.

Un visiteur doit pouvoir trouver en quelques clics : qui est votre RPRP, comment le contacter, comment exercer ses droits, combien de temps vous conservez ses données. Si l'un de ces éléments est absent ou caché, votre conformité publique est incomplète — et c'est l'un des points les plus regardés en audit.

Ce module prolonge le module RPRP et le module Conservation de la Formation Gouvernance PRP. Si vous n'avez pas de ressource interne disponible pour assumer le rôle de RPRP, le mandat RPRP externe offre une alternative structurée et publiquement publiable.

Guide — Afficher RPRP et droits → Exigences légales → Mandat RPRP externe — service →

Sur la majorité des sites web de PME québécoises…

⚠️

La politique de confidentialité ne nomme aucun outil tiers — alors que le site en utilise une dizaine en arrière-plan.

⚠️

Aucun avis de collecte n'accompagne les formulaires — les visiteurs entrent leurs informations sans savoir ce qu'on en fera.

⚠️

Des photos d'équipe avec noms et fonctions, des PDF indexables et des coordonnées personnelles exposent des renseignements personnels que personne n'a consciemment décidé de publier.

Résultat : un site qui paraît correct mais qui ne tient pas un audit de visibilité publique — et qui fragilise la crédibilité de toute votre démarche PRP.

Avant / Après la formation

La transformation que vous vivez en rendant votre site conforme.

❌ Avant

Politique générique recopiée d'un autre site
Outils tiers non déclarés ni évalués
Bannière cookies décorative, sans effet réel
Formulaires sans avis de collecte
Données personnelles exposées sans s'en rendre compte

✅ Après

Politique adaptée, datée, à jour, lisible
Outils tiers évalués et nommés publiquement
Bannière fonctionnelle qui bloque les scripts non consentis
Avis de collecte courts et présents sur chaque formulaire
Site nettoyé de ses fuites publiques involontaires

Cette formation est pour vous si…

Quatre indicateurs d'adéquation.

Vous êtes dirigeant, responsable marketing, RPRP ou webmestre d'une PME québécoise.
Vous avez déjà entamé votre conformité interne (politiques, registres, RPRP désigné) — ou vous suivez la Formation Gouvernance PRP en parallèle.
Votre site web fonctionne, mais vous savez qu'il n'a jamais été ajusté pour la Loi 25 — la politique date, les outils tiers s'accumulent, la bannière n'a jamais été testée.
Vous voulez rendre votre site défendable en cas d'audit de visibilité publique — sans passer par une refonte coûteuse.

La formation en pratique

Format

Vidéoconférence

Durée

1 heure

Public cible

Dirigeants, responsables marketing, RPRP, webmestres

Niveau

Intermédiaire — prérequis recommandé : Gouvernance PRP

Tarif

250 $ + taxes

Pour une équipe de 8 personnes : moins de 32 $ par personne

Mettre en contexte

Une formation complète sur votre site web 250 $

Une plainte CAI suivant un constat de visibilité publique évitable

Une refonte de site sans comprendre les exigences coûteuse

Une heure de formation peut éviter des semaines de correction réactive.

Ce que votre site reflète après cette formation :

Une cartographie complète des points de collecte du site
Une politique de confidentialité publique adaptée et datée
Des avis de collecte conformes sur chaque formulaire
Une liste d'outils tiers évaluée et nommée publiquement
Une bannière de cookies fonctionnelle et défendable
Un site nettoyé de ses fuites publiques involontaires
Un RPRP, des droits et des durées affichés clairement

Planifier la formation pour mon équipe →

Pourquoi rendre votre site conforme maintenant

🔍

Votre site est public. La Commission d'accès à l'information peut constater des non-conformités sans plainte préalable — une simple visite suffit pour identifier des lacunes visibles depuis la page d'accueil.

🤝

Vos partenaires regardent. Donneurs d'ouvrage et clients d'affaires consultent la politique de confidentialité de leurs fournisseurs avant de signer. Une page générique ou absente envoie un mauvais signal.

⚖️

Les décisions sont publiques. La CAI publie ses décisions et les organisations nommées sont identifiables. Des PME y figurent pour des lacunes simples sur leur site web.

🔧

Les corrections sont souvent simples. Comprendre les exigences avant de faire intervenir un développeur évite de payer pour des changements inutiles — ou de rater des corrections essentielles.

Pourquoi cette formation est différente

Approche juridique traditionnelle

Énonce les obligations sans les traduire au site
Reste générique — ne tient pas compte de votre stack
Recommande un avocat pour chaque question
Liée à un audit ou un contrat plus large

Cette formation

Pas-à-pas concret pour chaque élément du site
Adaptée à tout site PME (WordPress, Wix, Squarespace, Shopify, Webflow ou custom)
Vous rend autonome ou capable de briefer votre webmestre
Format unifié — un parcours complet, sans à-coups

L'objectif est de rendre votre site défendable — pas de vous rendre dépendant d'un consultant pour chaque modification.

Pourquoi ajuster coûte moins que refondre

Le coût n'est pas dans la formation — il est dans son absence.

Comprendre avant de toucher au site évite des coûts de développement inutiles — une heure de formation oriente toutes les corrections qui suivent.
Ajuster ciblé revient moins cher qu'une refonte d'urgence — l'ajustement par étapes s'intègre dans les opérations normales.
Un site défendable réduit les négociations B2B difficiles — les donneurs d'ouvrage qui regardent votre politique trouvent ce qu'ils cherchent.

Le coût n'est pas la formation — c'est l'absence de conformité publique qui se paie en plaintes, en pertes commerciales et en refontes coûteuses.

Prêt à rendre votre site défendable?

Un échange de 20 minutes suffit pour définir les modules pertinents pour votre site et planifier les sessions. Formation offerte en vidéoconférence, adaptée à votre stack et vos outils actuels.

Faire auditer mon site web Planifier la formation pour mon équipe

Pas de RPRP désigné dans votre organisation?
Découvrir le mandat RPRP externe →

Kaven Chamberland — Consultant en protection des renseignements personnels, Loi 25 Québec

En résumé — Site web et Loi 25

Tout site qui collecte des renseignements personnels est concerné par la Loi 25
La politique de confidentialité doit nommer chaque outil tiers utilisé
Les scripts de suivi doivent attendre un consentement explicite avant de se charger
Les coordonnées du RPRP, les droits et les durées doivent être affichés clairement

Formation Site web Loi 25 — réponse rapide

Modules : 7 modules pratiques
Durée : 1 heure
Public : Dirigeants, marketing, RPRP, webmestres
Prérequis : Gouvernance PRP recommandé
Format : Vidéoconférence
Tarif : 250 $ + taxes
Responsable : Kaven Chamberland, consultant Loi 25 Québec

Autres formations disponibles

Chaque formation couvre un aspect distinct de la conformité Loi 25.

Initiation PRP aux employés

Les sept concepts fondamentaux de la Loi 25 expliqués aux équipes — reconnaître un RP, comprendre les principes, savoir réagir.

Gouvernance PRP pour l'organisation

RPRP, politique de confidentialité, registres, conservation, sous-traitants et EFVP — la base interne dont dépend votre conformité de site.

Numérique de base et protection des données

Inventaire des outils, gestion des accès, cybersécurité de base, IA responsable et évaluation des sous-traitants numériques.

Introduction aux principes ISO 27001

SMSI, relation avec la Loi 25, domaines de contrôle clés et chemin réaliste vers la certification pour une PME québécoise.

Formation Site web et Loi 25 au Québec —rendre votre site conforme étape par étape