Formation Site web · Module 3 · Exigences légales
Articles 8, 14, 5 et 8 critères de validité du consentement

Avis de collecte sur formulaires web — Exigences Loi 25 Québec

Chaque formulaire est un point de collecte distinct. L'article 8 exige une information au moment précis de la collecte; l'article 14 fixe huit critères de validité du consentement. Voici les obligations exactes et la position de la CAI.

Faire auditer mon site web Planifier la formation pour mon équipe →

Contexte légal

Les formulaires d'un site web sont des points de collecte au sens de la Loi 25. Ils déclenchent l'application de plusieurs articles : l'article 8 (information à la collecte), l'article 14 (validité du consentement quand celui-ci est demandé), l'article 5 (minimisation), et l'article 4.1 pour les mineurs de moins de 14 ans. En octobre 2023, la Commission d'accès à l'information a publié les Lignes directrices 2023-1 précisant les huit critères de validité du consentement — un cadre directement applicable aux formulaires en ligne.

Applicable à tout site web. Les exigences ci-dessous s'appliquent à tout formulaire en ligne — peu importe la plateforme (WordPress, Wix, Shopify, Squarespace, Webflow ou site sur mesure) et peu importe le plugin utilisé (Contact Form 7, Gravity Forms, Wix Forms, Shopify Forms, formulaires natifs).

Ce que vous devez retenir — version dirigeant

  • Article 8 — informer au moment de la collecte (4 mentions minimales + tiers + hors Québec).
  • Article 14 — quand un consentement est demandé : 8 critères CAI à respecter ou il est sans effet.
  • Article 5 — minimisation : chaque champ doit être justifié par la finalité.
  • Article 4.1 — pour les mineurs de moins de 14 ans, consentement parental requis.

Ce que ça implique pour votre organisation

  • Si vos formulaires n'ont pas d'avis de collecte, chaque soumission est une collecte sans la base d'information exigée.
  • Si vos cases à cocher sont pré-cochées ou fourre-tout, le consentement obtenu n'est pas valide selon l'article 14.
  • Si des champs ne sont pas justifiés par la finalité, vous violez le principe de minimisation à chaque collecte.

Ce que ça signifie concrètement pour vous

  • Vos formulaires actifs sont multipliés par votre volume de soumissions annuelles — chaque non-conformité se répète à grande échelle.
  • L'absence d'avis et les cases pré-cochées sont les deux constats les plus rapides à faire pour un visiteur informé ou un auditeur — vérifiables en 30 secondes.
  • Une plainte sur l'usage des données vous met en position défensive : vous n'avez aucune trace que la personne savait à quoi elle consentait.

L'avis manque. Le consentement est invalide. La situation est documentée par chaque soumission.

Définition légale

L'avis de collecte est l'information donnée au moment où une personne fournit ses renseignements personnels. Le consentement, lorsqu'il est requis (finalités secondaires comme le marketing ou les transferts à des tiers), est l'acte volontaire et explicite par lequel la personne autorise la collecte ou l'usage. Avis et consentement sont liés mais distincts : on peut avoir un avis sans demande de consentement (consentement implicite pour la finalité principale), mais on ne peut pas avoir de consentement valide sans avis suffisant.

Cadre juridique applicable

Article 8 — Information à la collecte

L'article 8 exige que la personne soit informée, au moment de la collecte, des fins, des moyens, des droits d'accès et de rectification, et du droit de retrait du consentement. Le cas échéant, il faut aussi mentionner le nom du tiers pour qui la collecte est faite, le nom des tiers ou catégories de tiers à qui les renseignements seront communiqués, et la possibilité de communication à l'extérieur du Québec.

Article 14 — Critères de validité du consentement

« Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. (...) Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. Un consentement qui n'est pas donné conformément à la présente loi est sans effet. »

Les Lignes directrices 2023-1 de la CAI développent ce texte en 8 critères opérationnels.

Article 5 — Minimisation

« La personne qui recueille des renseignements personnels sur autrui ne doit recueillir que les renseignements nécessaires aux fins déterminées avant la collecte. » Pour un formulaire, chaque champ doit être justifiable par la finalité affichée. Un champ « facultatif » non justifié est tout autant une violation qu'un champ obligatoire non justifié.

Article 4.1 — Mineurs de moins de 14 ans

« Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l'autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur. » Implication concrète : un formulaire qui peut être rempli par un enfant doit prévoir un mécanisme de consentement parental.

Les 8 critères de validité du consentement (CAI 2023-1)

  1. Manifeste — évident et donné d'une façon qui démontre la volonté réelle de la personne.
  2. Libre — choix et contrôle réels, sans contrainte. Donner le consentement doit être aussi facile que ne pas le donner.
  3. Éclairé — la personne comprend à quoi elle consent et ce que cela implique.
  4. Spécifique — buts définis le plus précisément possible.
  5. Granulaire — demandé séparément pour chacune des finalités.
  6. Compréhensible — termes simples et clairs, sans jargon.
  7. Temporaire — valable seulement le temps nécessaire aux fins.
  8. Distinct — séparé des conditions d'utilisation, politiques de confidentialité, signatures.

Un consentement qui ne respecte pas ces 8 critères est sans effet — c'est-à-dire que l'organisation est juridiquement dans la position d'une collecte sans consentement valide pour la finalité concernée.

Exemples concrets pour une PME

Obligation : avis de collecte (art. 8) → Exemple PME : sous le formulaire de contact : « Vos renseignements sont utilisés uniquement pour répondre à votre demande, conservés 12 mois, et ne sont pas partagés avec des tiers. Vous pouvez les consulter, les corriger ou demander leur suppression à tout moment en écrivant à rprp@entreprise.com. »

Obligation : consentement libre (art. 14, critère 2) → Exemple PME : sur la page d'inscription à l'infolettre, deux boutons identiques en couleur, taille et position : « M'inscrire à l'infolettre » et « Non, merci ». Aucun bouton mis en valeur visuellement par rapport à l'autre.

Obligation : minimisation (art. 5) → Exemple PME : retrait des champs « secteur d'activité », « chiffre d'affaires » et « nombre d'employés » du formulaire de contact, qui n'étaient pas nécessaires pour répondre à une demande initiale d'information.

Obligation : consentement granulaire (art. 14, critère 5) → Exemple PME : au lieu d'une seule case « J'accepte les conditions, la politique de confidentialité et de recevoir des communications marketing », trois cases distinctes décochées par défaut : (1) traitement de la demande, (2) abonnement infolettre, (3) communications marketing.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations placent une seule case fourre-tout « J'accepte les conditions d'utilisation et la politique de confidentialité » et considèrent l'obligation de consentement remplie.

Résultat :

  • Le critère « distinct » est violé — le consentement n'est pas séparé des CGU
  • Le critère « granulaire » est violé — toutes les finalités sont mélangées
  • Le critère « spécifique » est violé — les finalités ne sont pas définies précisément
  • Le consentement obtenu est juridiquement sans effet selon l'article 14

Une case fourre-tout n'est pas un raccourci — c'est une non-conformité multiplée par chaque soumission.

Deux réalités possibles

✗ Formulaire non conforme

  • Aucun avis adjacent au formulaire
  • Case « J'accepte tout » fourre-tout
  • Champs non justifiés par la finalité
  • Bouton « Soumettre » seul, refus impossible
  • Outils tiers non mentionnés

✓ Formulaire conforme

  • Avis 3-4 lignes sous les champs
  • Cases distinctes par finalité, décochées
  • Champs minimaux justifiables
  • Boutons accepter/refuser équivalents
  • Tiers nommés (Mailchimp, Calendly...)

Exemples d'application concrète

Exemple CAI 2-a — équivalence visuelle des boutons

La CAI illustre dans ses Lignes directrices 2023-1 le critère « libre » avec cet exemple : une application municipale propose deux boutons « J'accepte » et « Je refuse » exactement à la même hauteur, de la même couleur, avec la même taille de police. Donner le consentement est ainsi aussi facile que ne pas le donner.

Application web : si votre bouton « S'abonner » est vert et grand, et que « Non merci » est gris, en petit et en bas — vous violez le critère « libre ». Le consentement obtenu est juridiquement contestable.

Exemple CAI 2-b — répétitions abusives

La CAI précise que des « demandes répétées et rapprochées de consentement, sans égard à la volonté déjà exprimée » peuvent compromettre le caractère libre. Les pop-ups qui réapparaissent à chaque navigation après un refus sont donc juridiquement risquées.

Avis vs. politique de confidentialité

L'avis de collecte sur le formulaire et la politique de confidentialité publiée sont deux mécanismes complémentaires, pas substitutifs. La politique informe globalement et reste accessible en tout temps. L'avis informe au moment précis et concret de la collecte. Renvoyer entièrement à la politique sans rien dire au moment du formulaire ne respecte pas l'article 8.

Risques en cas de non-conformité

Sanctions juridiques

  • Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
  • Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
  • Consentement sans effet — la collecte fondée sur ce consentement devient une collecte sans base légale
  • Ordonnance de la CAI — obligation de modifier les formulaires, supprimer les données collectées illégalement
  • Action privée — recours d'une personne ayant subi un préjudice du fait d'une collecte sans information valide

Coûts opérationnels

  • Audit technique de tous les formulaires actifs sous pression
  • Reconfiguration des plugins de formulaires (cases, libellés, structure)
  • Communications aux clients sur les modifications de pratiques
  • Pertes commerciales B2B avec partenaires qui demandent une preuve de validité du consentement
  • Possible suppression des données collectées sous consentement invalide

Trois lignes au bon endroit réduisent ces coûts — elles ne les créent pas.

Concrètement pour une PME

Des formulaires sans avis ou avec consentement invalide :

  • Multiplient la non-conformité par le volume de soumissions annuelles
  • Mettent l'organisation dans l'impossibilité de prouver la validité du consentement
  • Ralentissent les processus B2B où la conformité PRP est vérifiée avant signature

Le coût vient de l'absence de 3 lignes — pas de la complexité du sujet.

Lien avec la gouvernance PRP

Le cadre du consentement et de la collecte est traité dans la Formation Gouvernance PRP, module Politique de confidentialité. Ce module-ci se concentre sur l'application web concrète : où placer l'avis, comment formuler les modèles courts, comment vérifier la minimisation champ par champ, comment configurer un formulaire WordPress, Wix ou Shopify.

🛡️ Diagnostic rapide

Trois questions pour évaluer la conformité de vos formulaires :

  • Chaque formulaire affiche-t-il un avis de collecte conforme à l'article 8 (4 mentions minimales + tiers + hors Québec si applicable)?
  • Vos cases à cocher sont-elles décochées par défaut, granulaires et distinctes des CGU?
  • Pouvez-vous justifier la nécessité opérationnelle de chaque champ collecté?

Si non à une seule, vous êtes probablement en non-conformité avec les articles 8, 14 ou 5.

Faire auditer mon site web →

Concrètement

  • Vos obligations s'appliquent dès qu'un seul formulaire est actif sur votre site.
  • Mais sans avis ni structure de consentement valide, ces obligations sont violées à chaque soumission — souvent sans le savoir.
  • Ce qui transforme la situation théorique en exposition réelle, c'est la première plainte, le premier audit B2B, ou la première vérification CAI.

La Formation Site web et Loi 25 traite ce module après la politique parce que les formulaires en sont l'application opérationnelle. Ce sont les formulaires qui mettent en œuvre les promesses faites dans la politique.

En résumé

  • Article 8 — informer au moment de la collecte (4 mentions + tiers + hors Québec).
  • Article 14 — 8 critères CAI : manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire, distinct.
  • Article 5 — minimisation : chaque champ justifié.
  • Article 4.1 — mineurs de moins de 14 ans : consentement parental requis.

Pour la version pratique

Modèles courts d'avis pour les formulaires courants (contact, infolettre, RDV) et exemples de configuration?

Voir le guide pratique →

Vérifier la conformité de vos formulaires

L'audit de visibilité publique Loi 25 examine chaque formulaire de votre site, vérifie la présence et la qualité de l'avis de collecte, le respect des 8 critères CAI et la minimisation des champs.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.