La cartographie des points de collecte est-elle une obligation légale au Québec?

La Loi 25 n'utilise pas littéralement le mot « cartographie », mais elle impose plusieurs obligations qui ne peuvent être respectées sans inventaire structuré : déterminer les fins avant la collecte (art. 4), recueillir uniquement le nécessaire (art. 5), informer la personne lors de la collecte (art. 8). En pratique, l'absence d'inventaire des points de collecte rend la conformité indémontrable.

Un cookie analytique constitue-t-il une collecte de renseignement personnel?

Oui, dans la majorité des cas. La Commission d'accès à l'information considère que recueillir un comportement de navigation, créer un identifiant unique ou inférer un profil de consommateur depuis l'activité du visiteur constitue une collecte de renseignement personnel — même sans nom ni courriel. Les outils analytiques (Google Analytics, Hotjar, Matomo) entrent dans cette catégorie.

Voir une pièce d'identité sans la conserver est-ce une collecte selon la Loi 25?

Selon la position publique de la Commission d'accès à l'information, le simple fait de voir un renseignement personnel constitue une collecte au sens de la Loi 25, même sans conservation. Cela a des implications directes pour les sites qui demandent une preuve d'identité ou d'âge avant de donner accès à un contenu.

À quelle fréquence faut-il revoir la cartographie d'un site web?

La Loi 25 ne fixe pas de fréquence précise. La pratique attendue est de réviser la cartographie à chaque changement matériel : ajout ou retrait d'un plugin, changement d'outil tiers, refonte du site, nouvelle campagne marketing. Une révision annuelle complète est un minimum raisonnable pour démontrer une diligence continue.

Quelle est la sanction si une organisation ne peut pas produire son inventaire?

L'absence d'inventaire est rarement sanctionnée en soi. Mais elle révèle l'incapacité de démontrer le respect des articles 4, 5 et 8 — chacun pouvant déclencher une sanction administrative pécuniaire pouvant aller jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial (art. 90.12), ou une amende pénale jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial (art. 91).

Ces obligations s'appliquent-elles aussi aux sites Wix, Shopify, Squarespace ou Webflow?

Oui. La Loi 25 ne distingue pas par technologie ni par plateforme. Toute organisation qui exploite une entreprise au Québec et collecte des renseignements personnels via un site web — peu importe son CMS, son hébergeur ou sa langue de programmation — est soumise aux mêmes obligations. Les exemples illustrent souvent WordPress en raison de sa prévalence chez les PME, mais la cartographie, l'avis de collecte et la documentation des fins sont exigés sur Wix, Shopify, Squarespace, Webflow ou un site sur mesure.

Formation Site web · Module 1 · Exigences légales
Articles applicables et position de la CAI sur la cartographie des collectes

Cartographier les points de collecte d'un site web — Exigences Loi 25 Québec

La Loi 25 ne mentionne pas le mot « cartographie ». Mais sans elle, plusieurs articles ne peuvent pas être respectés en pratique : détermination des fins, minimisation, information à la collecte. Voici les exigences précises et la position de la CAI.

Faire auditer mon site web Planifier la formation pour mon équipe →

Contexte légal

La Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chapitre P-39.1), telle que modifiée par la Loi 25, encadre toute collecte de renseignements personnels par une entreprise privée au Québec. La cartographie des points de collecte n'est pas nommée explicitement, mais elle est la condition pratique de plusieurs obligations centrales : la détermination préalable des fins, le principe de minimisation, et l'information de la personne concernée au moment de la collecte. Sans cartographie, ces obligations existent — mais ne peuvent pas être démontrées.

Applicable à tout site web. Les obligations ci-dessous s'appliquent peu importe la plateforme utilisée — WordPress, Wix, Squarespace, Shopify, Webflow, ou un site sur mesure. La Loi 25 ne distingue pas par technologie : c'est l'activité de collecte qui crée l'obligation, pas la stack technique.

Ce que vous devez retenir — version dirigeant

Les articles 4, 5 et 8 de la Loi sur le privé exigent que vous sachiez ce que vous collectez et pourquoi.
La CAI considère que voir un renseignement = collecte, et qu'inférer un profil = collecte.
Sans inventaire structuré, vous ne pouvez pas démontrer le respect de ces obligations.
L'absence de cartographie n'est pas une infraction directe — c'est ce qu'elle empêche de démontrer qui devient le risque.

Ce que ça implique pour votre organisation

Si vous ne cartographiez pas, vos obligations existent mais ne peuvent pas être documentées en cas d'enquête.
Si votre cartographie est désuète, vous démontrez l'inverse de la diligence — vous démontrez l'absence de gestion.
Si vous ne pouvez pas répondre à une demande d'accès dans les 30 jours, l'incapacité elle-même devient un manquement.

Ce que ça signifie concrètement pour vous

Vous êtes le responsable légal de la collecte sur votre site, peu importe qui a installé les outils techniquement.
Votre webmestre peut connaître le code, mais c'est à vous que la CAI demandera l'inventaire.
Sans cartographie, votre politique de confidentialité publiée vous engage sur des éléments que vous ne maîtrisez pas.

L'obligation existe déjà. C'est l'inventaire qui est absent — et c'est l'inventaire qui est demandé en premier.

Définition légale du renseignement personnel

Selon la Loi sur le privé, est un renseignement personnel tout renseignement qui concerne une personne physique et permet de l'identifier directement ou indirectement. La portée est large : nom, courriel, adresse IP, identifiant publicitaire, comportement de navigation, profil inféré, image, voix, signature, numéro de membre, métadonnées de fichier.

Cadre juridique applicable à la cartographie

Article 4 — Détermination préalable des fins

« Toute personne qui exploite une entreprise et qui, en raison d'un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci. »

Implication pour un site web : pour chaque formulaire, chaque cookie, chaque pixel, chaque champ caché, les fins doivent être déterminées avant que la collecte ne démarre. La cartographie est l'outil qui rend cette détermination démontrable.

Article 5 — Minimisation et licéité

« La personne qui recueille des renseignements personnels sur autrui ne doit recueillir que les renseignements nécessaires aux fins déterminées avant la collecte. Ces renseignements doivent être recueillis par des moyens licites. »

Implication pour un site web : chaque champ d'un formulaire doit être justifié par la finalité du formulaire. Un formulaire de contact qui demande le numéro d'entreprise, le chiffre d'affaires ou le nombre d'employés sans nécessité opérationnelle viole le principe de minimisation.

Article 8 — Information à la collecte

L'article 8 exige que la personne soit informée, lors de la collecte : des fins, des moyens, des droits d'accès et de rectification, du droit de retrait du consentement, du nom du tiers pour qui la collecte est faite (le cas échéant), des catégories de tiers à qui les renseignements seront communiqués, et de la possibilité que les renseignements soient communiqués à l'extérieur du Québec.

Implication pour un site web : sans cartographie, l'avis de collecte est forcément générique — donc forcément non conforme. Vous ne pouvez pas mentionner les tiers et la communication hors Québec si vous ne savez pas lesquels.

Position de la CAI sur ce qu'est une collecte

La Commission d'accès à l'information précise dans sa documentation publique que la collecte recouvre trois situations :

Recueillir — formulaire d'abonnement, sondage, outils analytiques web
Créer — par exemple un numéro de membre attribué automatiquement
Inférer — un profil de consommateur déduit à partir d'autres renseignements

La CAI précise également que « le simple fait de voir un renseignement personnel » constitue une collecte au sens de la loi, même en l'absence de conservation. Pour un site web, cela signifie qu'un widget de chat qui affiche un nom, une page de connexion qui révèle un courriel, ou un script qui lit une adresse IP entrent dans la définition.

Obligations concrètes pour les organisations

Avoir déterminé et documenté les fins de chaque collecte avant son activation sur le site
Avoir vérifié la nécessité de chaque champ ou point de collecte par rapport à la finalité affichée
Avoir informé la personne au moment de la collecte (avis adjacent ou lien vers une politique précise)
Avoir identifié les tiers qui reçoivent ou traitent les renseignements pour le compte de l'entreprise
Tenir l'inventaire à jour en cas de modification du site, des plugins, des outils tiers ou des campagnes

Le socle minimal raisonnable pour démontrer une diligence est un document daté listant chaque point de collecte avec : finalité, données collectées, base légale, durée de conservation, tiers concernés, localisation des serveurs.

Exemples concrets pour une PME

Obligation : déterminer les fins avant la collecte (art. 4) → Exemple PME : avant d'installer Calendly pour la prise de rendez-vous, l'organisation documente que la finalité est la planification de consultations, que le champ « entreprise » est facultatif et que les données seront conservées 24 mois.

Obligation : minimisation (art. 5) → Exemple PME : le formulaire de contact retire les champs « numéro d'entreprise » et « chiffre d'affaires » qui n'étaient pas nécessaires pour répondre à une demande de devis initiale.

Obligation : information à la collecte (art. 8) → Exemple PME : l'organisation ajoute sous chaque formulaire un avis court : « Vos renseignements sont utilisés uniquement pour répondre à votre demande, conservés 12 mois, et ne sont pas partagés avec des tiers, sauf [Calendly, États-Unis] pour la planification. »

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations rédigent leur politique de confidentialité avant d'avoir cartographié leurs points de collecte.

Résultat :

La politique parle de pratiques que personne dans l'organisation ne contrôle réellement
Les outils tiers actifs ne sont pas mentionnés — non-conformité à l'article 8
Quand un visiteur exerce un droit, l'organisation ne sait pas où chercher
L'écart entre la politique publiée et la réalité du site devient le constat principal d'un audit

Une politique sans cartographie est un emballage vide — auditable comme tel.

Deux réalités possibles

✗ Sans cartographie

Détermination des fins non documentée
Minimisation impossible à vérifier
Avis de collecte génériques ou absents
Outils tiers oubliés dans la politique
Diligence indémontrable

✓ Avec cartographie

Fins déterminées et tracées par point de collecte
Minimisation auditée champ par champ
Avis de collecte alignés sur la réalité
Outils tiers tous mentionnés et évalués
Diligence démontrable en quelques heures

Risques en cas de non-conformité

Sanctions juridiques

Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial, le plus élevé
Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du chiffre d'affaires mondial, doublée en cas de récidive
Ordonnance de la CAI — obligation de corriger, de documenter ou de cesser certaines collectes
Action privée — recours d'un visiteur ayant subi un préjudice du fait d'une collecte non conforme
Impact réputationnel — les décisions de la CAI sont publiques et l'organisation y est nommée

Coûts opérationnels

Reconstitution d'un inventaire dans l'urgence après une plainte ou une demande d'accès
Mobilisation simultanée du webmestre, de la direction et d'un consultant externe
Communications à des visiteurs ou à des clients sur des collectes qu'ils ignoraient
Perte de contrats B2B avec des donneurs d'ouvrage qui exigent une preuve de gouvernance des données
Suspension d'outils ou de campagnes pendant l'évaluation de leur conformité

Une démarche structurée réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Une cartographie défaillante :

Allonge la durée de chaque demande d'accès de quelques heures à plusieurs jours
Multiplie les coûts de mise en conformité par deux ou trois (correction réactive vs prévention)
Met le dirigeant en première ligne d'une enquête CAI sans dossier à présenter

Le coût vient de l'absence d'inventaire — pas de la complexité du site.

Lien avec la gouvernance PRP

La cartographie d'un site web est la couche publique du registre des activités de traitement — un document interne abordé dans la Formation Gouvernance PRP, module Registres obligatoires. L'inventaire web devient une section dédiée du registre interne, avec une granularité technique adaptée (URL, plugin, fournisseur, transferts hors Québec). Sans gouvernance interne en place, la cartographie web reste utile mais flotte — elle n'est pas raccordée au reste de la conformité.

🛡️ Diagnostic rapide

Trois questions pour évaluer la conformité de votre cartographie :

Avez-vous documenté la finalité de chaque point de collecte avant son activation?
Pouvez-vous justifier la nécessité de chaque champ par rapport à la finalité?
Votre avis de collecte mentionne-t-il chaque tiers et chaque communication hors Québec?

Si non à une seule, vous êtes probablement en non-conformité avec les articles 4, 5 ou 8 de la Loi sur le privé.

Faire auditer mon site web →

Concrètement

Vos obligations existent dès qu'un seul renseignement personnel transite par votre site.
Mais sans cartographie, ces obligations restent théoriques — donc indémontrables.
Ce qui transforme une situation théorique en exposition réelle, c'est la première demande d'accès, la première plainte, le premier audit B2B.

La Formation Site web et Loi 25 commence ici parce que tout le reste — politique, formulaires, outils, cookies, droits — repose sur la cartographie. C'est la base technique sur laquelle s'appuie la conformité visible.

En résumé

Articles 4, 5 et 8 de la Loi sur le privé exigent un inventaire structuré pour être démontrables.
Selon la CAI : voir un renseignement, l'inférer ou le créer = collecte.
Sans cartographie, la politique de confidentialité est un emballage non vérifiable.
Le risque n'est pas l'absence d'inventaire — c'est ce qu'elle empêche de démontrer.

Pour la version pratique

Comment cartographier concrètement les points de collecte d'un site web (WordPress, Wix, Shopify ou autre), avec exemples et cas réel?

Voir le guide pratique →

Évaluer la conformité publique de votre site

L'audit de visibilité publique Loi 25 identifie chaque point de collecte de votre site, vérifie son alignement avec les articles 4, 5 et 8, et produit un rapport opposable à un audit ou à une demande de la CAI.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.