Formation Site web · Module 1 · Guide pratique
Cartographier les points de collecte avant de corriger quoi que ce soit

Quels renseignements personnels votre site web collecte-t-il vraiment?

Avant de rédiger une politique, configurer une bannière ou évaluer un outil tiers, il faut savoir ce que votre site fait réellement. Un site web de PME typique collecte des renseignements personnels à dix endroits — souvent sans que personne dans l'organisation ne le sache.

Faire auditer mon site web Planifier la formation pour mon équipe →

La majorité des dirigeants pensent que leur site web collecte deux ou trois choses : les données du formulaire de contact, peut-être l'adresse courriel d'inscription à l'infolettre. En réalité, un site web moderne — peu importe la plateforme utilisée — collecte des renseignements personnels à dix endroits différents, et chaque point de collecte déclenche des obligations légales sous la Loi 25. Sans cartographie, vous ne pouvez ni rédiger une politique de confidentialité conforme, ni évaluer vos outils tiers, ni répondre à une demande d'accès.

Applicable à tout site web. Les exemples qui suivent illustrent un site WordPress, qui équipe la majorité des PME québécoises. Les principes s'appliquent à l'identique sur Wix, Squarespace, Shopify, Webflow ou un site sur mesure — seuls les noms des outils et des fonctionnalités changent. La Loi 25 ne distingue pas par technologie.

Définition

La cartographie des points de collecte est l'inventaire complet et structuré de tous les endroits, sur un site web, où des renseignements personnels sont recueillis, créés ou inférés. Elle est la condition préalable à toute démarche de conformité — vous ne pouvez protéger que ce que vous avez identifié.

Les dix points de collecte typiques d'un site web de PME

Sur un site web de PME typique, voici où des renseignements personnels sont recueillis ou créés à votre insu ou non :

  • Formulaires explicites — contact, devis, demande de soumission, inscription infolettre, création de compte
  • Téléversements — CV, photos, documents joints à un formulaire
  • Réservation en ligne — Calendly, plugin de prise de rendez-vous
  • Clavardage en direct — Tidio, Crisp, Intercom, widget Messenger
  • Commentaires — sous un article de blogue (nom + courriel + IP enregistrée)
  • Outils analytiques — Google Analytics, Matomo, Hotjar (comportement de navigation)
  • Pixels publicitaires — Meta Pixel, LinkedIn Insight Tag, TikTok Pixel
  • Boutons de partage social — qui chargent des scripts tiers et tracent l'utilisateur
  • Champs cachés — paramètres UTM, referer, IP source enregistrés silencieusement
  • Hébergeur — journaux d'accès qui contiennent IP, navigateur, pages consultées

Ce que ça veut dire concrètement

Si vous ne cartographiez pas vos points de collecte :

  • Votre politique de confidentialité ne peut pas être complète — vous ne pouvez pas nommer ce que vous n'avez pas identifié.
  • Vous ne pouvez pas évaluer vos outils tiers, parce que vous ne savez pas lesquels sont actifs.
  • Une demande d'accès devient un casse-tête : vous ne savez pas où chercher les données d'un visiteur.

Ce que ça signifie concrètement pour un dirigeant

Si votre site collecte sans inventaire :

  • Vous êtes responsable de ce que vous ignorez — la loi ne distingue pas entre négligence et oubli.
  • Vos employés ne peuvent pas appliquer une politique fondée sur une cartographie inexistante.
  • En cas de plainte, vous ne pouvez pas démontrer votre diligence — l'absence d'inventaire est elle-même un constat.

L'ignorance ne protège pas du fait de la collecte. Elle aggrave la situation.

🎯 Diagnostic rapide : connaissez-vous votre site?

Trois questions, sans recourir à votre webmestre :

  • Pouvez-vous lister les outils tiers actifs sur votre site sans regarder le code?
  • Savez-vous combien de formulaires sont en ligne (incluant ceux des pages anciennes ou oubliées)?
  • Pouvez-vous nommer chaque cookie déposé à la première visite?

Si un seul élément manque, votre cartographie est incomplète — peu importe la qualité de votre politique de confidentialité.

Dans la réalité des PME québécoises

📋 Le webmestre a installé. Un développeur a configuré le site il y a 3 ans avec les outils standards de l'époque — Google Analytics, un plugin de formulaire, Mailchimp. Personne n'a documenté la liste depuis.

🧩 Les plugins se sont accumulés. Chaque mise à jour a ajouté une fonctionnalité : un widget de réservation, un chatbot, un pixel pour une campagne ponctuelle qui n'a jamais été retiré.

🔍 Personne n'a fait l'inventaire. La direction pense que c'est « technique », le webmestre pense que c'est « administratif ». Le résultat : aucune cartographie, et donc aucune base solide pour appliquer la Loi 25.

Cas réel simplifié

Une PME de services professionnels reçoit une demande d'accès d'un ancien client : « Quelles informations détenez-vous sur moi? »

Contexte :

  • Le client a rempli un formulaire de contact en 2023
  • Il s'est inscrit à l'infolettre
  • Il a clavardé avec un employé via le widget Tidio
  • Il a téléchargé un guide PDF (formulaire de capture)

Résultat sans cartographie :

  • L'organisation cherche dans les courriels, oublie le widget de chat archivé chez Tidio
  • Elle dépasse le délai de 30 jours
  • Le client dépose une plainte à la CAI — l'enquête révèle l'absence d'inventaire

Sans cartographie, chaque demande d'accès devient une fouille — et chaque fouille est une preuve d'absence de structure.

Quatre croyances erronées sur la cartographie

  • « Notre webmestre sait ce qu'il y a sur le site. » Faux. Le webmestre connaît la dernière version qu'il a touchée — pas l'historique cumulé. Et il n'a pas la responsabilité PRP.
  • « On a installé Google Analytics, c'est tout. » Faux. Google Tag Manager, scripts intégrés à des plugins, embeds YouTube, boutons de partage — chaque élément peut amener son propre flux de données.
  • « Les cookies, c'est juste pour la bannière, pas pour la cartographie. » Faux. Chaque cookie représente un point de collecte distinct. Une bannière qui ne reflète pas la cartographie est une bannière qui ment.
  • « Une fois fait, c'est fait pour toujours. » Faux. Chaque mise à jour de plugin, chaque nouvel outil, chaque campagne marketing peut ajouter ou retirer un point de collecte. La cartographie est vivante.

Une cartographie figée est une cartographie obsolète — souvent en moins de 3 mois.

Sans cartographie / Avec cartographie

✗ Sans cartographie

  • Politique de confidentialité incomplète par construction
  • Outils tiers oubliés ou non évalués
  • Demandes d'accès traitées dans l'urgence
  • Pas de base pour une bannière de cookies cohérente
  • Aucune preuve de diligence en cas de plainte

✓ Avec cartographie

  • Politique alignée sur la réalité du site
  • Liste d'outils tiers prête pour évaluation
  • Demandes d'accès gérées en quelques heures
  • Bannière de cookies fondée sur l'inventaire
  • Preuve de diligence documentée et auditable

Ce que la Loi 25 implique concrètement

  • Article 4 — Vous devez avoir déterminé les fins de collecte avant de collecter. Sans cartographie, vous ne pouvez pas démontrer que les fins ont été déterminées.
  • Article 5 — Vous ne devez recueillir que les renseignements nécessaires. Sans inventaire, impossible de vérifier la nécessité de chaque champ.
  • Article 8 — Vous devez informer la personne lors de la collecte (fins, moyens, droits, tiers). Sans cartographie, l'avis de collecte est forcément générique.

La Commission d'accès à l'information considère que « inférer un profil de consommateur depuis la navigation = collecte » et que « le simple fait de voir un renseignement personnel constitue une collecte », même sans conservation. Une cartographie qui se limite aux formulaires manque donc la majorité du sujet.

Pourquoi c'est critique

  • La cartographie est le point d'entrée de toute la conformité site web. Sans elle, les six modules suivants ne peuvent pas être appliqués correctement.
  • Elle structure votre relation avec le webmestre. Vous savez quoi demander, quoi vérifier, quoi mettre à jour.
  • Elle est ce qu'un auditeur regarde en premier. Une cartographie absente ou désuète signale immédiatement un site non géré.

Concrètement pour une PME

Sans cartographie de votre site :

  • Chaque demande d'accès se transforme en projet de plusieurs jours
  • Chaque ajout de plugin crée une non-conformité invisible
  • Chaque audit révèle des outils inconnus qui auraient pu être justifiés

Le coût vient de l'absence d'inventaire — pas de la complexité du site.

En résumé

Définition : la cartographie des points de collecte est l'inventaire structuré de tout ce que votre site recueille, crée ou infère.

Trois faits clés :

  • Un site web de PME typique a une dizaine de points de collecte, pas deux ou trois — peu importe la plateforme
  • Selon la CAI, voir un renseignement = collecte ; inférer un profil = collecte
  • Sans cartographie, aucun autre élément de conformité ne peut être complet

👉 Action : faire l'inventaire complet avant de toucher à la politique, à la bannière ou aux outils tiers.

Pour aller plus loin

Quelles sont les obligations légales précises de cartographie sous la Loi 25 — articles applicables, formulations CAI, exemples PME?

Voir les exigences légales →

Test rapide — votre cartographie tient-elle la route?

Trois questions pour évaluer votre situation.

Si non à une seule, il est probable que votre conformité publique repose sur une base incomplète.

Faire auditer mon site web →

Maîtriser la conformité Loi 25 de votre site

La Formation Site web et Loi 25 couvre les sept obligations applicables à votre site — cartographie des collectes, politique de confidentialité, formulaires, outils tiers, cookies, données sensibles publiées, droits des visiteurs.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web