Formation Site web · Module 5 · Guide pratique
Configurer une bannière qui fait vraiment ce qu'elle annonce

Bannière de cookies au Québec — qu'exige la Loi 25?

Une bannière qui s'affiche mais laisse Google Analytics et Meta Pixel se charger immédiatement n'est pas conforme. La Loi 25 exige un consentement préalable réel — et la CAI précise que refuser doit être aussi simple qu'accepter.

Faire auditer mon site web Planifier la formation pour mon équipe →

La majorité des bannières de cookies sur les sites de PME québécoises sont décoratives. Le visiteur voit un bandeau, clique « Accepter » par réflexe — mais les scripts de suivi (Google Analytics, Meta Pixel, Hotjar) se chargeaient déjà avant qu'il ait le temps de lire. Au Québec, l'article 8.1 et l'article 14 de la Loi 25 imposent un consentement préalable et libre pour les technologies de profilage. La CAI a précisé en 2023 que refuser doit être aussi facile qu'accepter — pas de bouton « Accepter » mis en valeur ou de bouton « Refuser » caché derrière trois clics.

Applicable à tout site web. Les exemples illustrent un site WordPress avec un plugin CMP (CookieYes, Complianz, Cookiebot), mais les principes s'appliquent à l'identique sur Wix, Shopify, Squarespace, Webflow ou un site sur mesure. C'est le comportement réel des scripts qui compte, pas le CMS.

Définition

Un cookie (ou témoin de connexion) est un petit fichier stocké sur l'appareil du visiteur. La bannière de consentement est le mécanisme qui permet à la personne de choisir, avant le dépôt, lesquels elle accepte. Sous la Loi 25, le consentement doit être préalable au chargement des cookies non strictement nécessaires.

Les types de cookies et leur traitement

Tous les cookies n'exigent pas la même chose. Voici les grandes catégories :

  • Cookies essentiels / techniques — session utilisateur, panier d'achat, langue, jeton de sécurité. Pas de consentement requis car nécessaires au service explicitement demandé.
  • Cookies de mesure d'audience anonyme — configurés en mode strictement statistique sans recoupement ni transfert. Zone grise — un consentement allégé peut suffire selon certaines lectures.
  • Cookies de mesure non anonyme — Google Analytics 4 par défaut, Matomo non anonymisé. Consentement préalable requis.
  • Cookies marketing / publicitaires — Meta Pixel, Google Ads, LinkedIn Insight, TikTok Pixel. Consentement préalable explicite requis.
  • Cookies de réseaux sociaux — boutons partage, embeds YouTube/Vimeo, widgets X. Consentement requis dès que le script est chargé.

Architecture d'une bannière conforme

Une bannière qui respecte la Loi 25 et les Lignes directrices CAI 2023-1 a sept caractéristiques :

  • Apparaît à la première visite avant tout chargement de script de profilage
  • Boutons « Accepter » et « Refuser » équivalents — même couleur, taille, position, visibilité
  • Pas de bandeau qui se ferme tout seul ou qui interprète l'absence d'action comme un consentement
  • Pas de défilement = consentement — le défilement n'est pas un acte de volonté manifeste
  • Bouton « Paramétrer / Personnaliser » avec choix granulaire par catégorie de cookie
  • Lien permanent dans le pied de page pour modifier ses choix après coup
  • Journalisation des consentements (preuve de qui, quand, quoi)

Du côté technique, votre Tag Manager (ou équivalent) doit être configuré pour ne déclencher aucun script de profilage avant le consentement. C'est ce qui fait la différence entre une bannière décorative et une bannière fonctionnelle.

Ce que ça veut dire concrètement

Si votre bannière n'est pas fonctionnelle :

  • Les scripts de profilage se chargent sans consentement valide — chaque visite est une non-conformité.
  • Le consentement obtenu via une bannière non équilibrée est juridiquement contestable selon les critères CAI.
  • Un visiteur informé qui ouvre les outils développeurs voit immédiatement le défaut — preuve facile à constituer.

Ce que ça signifie concrètement pour un dirigeant

  • Une bannière mal configurée donne une fausse impression de conformité — sans la fournir réellement.
  • La CNIL française a sanctionné Google et Meta d'environ 150 M$ chacun pour des bandeaux où refuser était plus difficile qu'accepter — la lecture québécoise va dans le même sens.
  • Un audit B2B vérifie de plus en plus le comportement réel de la bannière, pas seulement sa présence.

Le test n'est pas « la bannière s'affiche ». Le test est « les scripts attendent vraiment ».

🎯 Diagnostic rapide : votre bannière fait-elle son travail?

Trois questions, vérifiables en 2 minutes via les outils développeurs du navigateur :

  • À la première visite, avant tout clic sur la bannière, des cookies de profilage (GA4, Meta Pixel, Hotjar) sont-ils déjà déposés?
  • Le bouton « Refuser » a-t-il la même taille, couleur et position que le bouton « Accepter »?
  • Existe-t-il un lien permanent (pied de page ou autre) pour modifier ses choix après coup?

Si oui à la première ou non aux deux suivantes, votre bannière n'obtient pas un consentement valide selon les critères CAI 2023-1.

Dans la réalité des PME québécoises

📋 Bannière décorative. Le bandeau s'affiche, mais Google Analytics se charge immédiatement à l'ouverture du site. Le clic « Accepter » est juste un dismiss visuel.

🎨 Boutons déséquilibrés. « Accepter » est vert, gros, mis en évidence. « Refuser » est gris, petit, en bas. Le critère « libre » du consentement (CAI 2023-1) est compromis.

🔄 Bannière qui revient sans cesse. À chaque navigation, la bannière réapparaît. Selon l'exemple CAI 2-b, ces demandes répétées peuvent compromettre le caractère libre du consentement.

Cas réel simplifié

Une PME utilise un plugin de bannière par défaut, installé en 2023 et jamais reconfiguré. Le bandeau apparaît avec deux boutons : « OK, j'ai compris » (bouton vert) et un petit lien « Politique de cookies » discret.

Contexte :

  • Aucun bouton « Refuser » présent
  • Google Analytics et Meta Pixel se chargent à l'ouverture, avant tout clic
  • Le clic sur « OK » ferme simplement la bannière sans modifier le comportement des scripts

Résultat lors d'un audit :

  • Le test technique avec les outils développeurs montre 8 cookies de profilage actifs avant clic
  • L'absence du bouton « Refuser » viole le critère « libre » de l'article 14
  • L'auditeur conclut : aucun consentement valide pour le profilage — les données collectées par GA4 sont juridiquement sans base

Une bannière qui ne bloque pas les scripts est une non-conformité visible en 30 secondes.

Quatre croyances erronées sur les bannières de cookies

  • « Avoir une bannière, c'est être conforme. » Faux. Le critère est le comportement réel — est-ce que les scripts attendent vraiment le consentement? Une bannière sans contrôle technique des scripts n'est qu'un signal visuel.
  • « L'article 9.1 dispense les cookies du consentement. » Faux. L'article 9.1 alinéa 2 dispense seulement des paramètres « plus haut niveau de confidentialité par défaut ». Le consentement préalable reste requis via les articles 8.1 et 14 pour les cookies de profilage.
  • « Le défilement vaut consentement. » Faux. Le critère « manifeste » exige un acte clair de volonté. Le défilement n'en est pas un.
  • « Une fois la bannière acceptée, on ne demande plus. » Vrai pour la durée nécessaire — mais le visiteur doit pouvoir modifier ses choix à tout moment via un lien permanent.

Une bannière qui apparaît mais laisse les scripts s'exécuter est une bannière qui ment.

Bannière décorative / Bannière fonctionnelle

✗ Bannière décorative

  • Scripts chargés avant tout clic
  • Bouton « Refuser » absent ou caché
  • Pas de paramétrage granulaire
  • Pas de lien permanent pour modifier
  • Aucune trace de consentement

✓ Bannière fonctionnelle

  • Scripts bloqués jusqu'au consentement
  • Boutons « Accepter / Refuser » équivalents
  • Choix par catégorie de cookie
  • Lien permanent en pied de page
  • Journalisation horodatée

Ce que la Loi 25 implique concrètement

  • Article 8.1 — pour les technologies d'identification, de localisation ou de profilage : information préalable et activation par la personne (par défaut désactivées).
  • Article 9.1 — paramètres de confidentialité par défaut au plus haut niveau (cookies exclus de cette obligation spécifique, mais visés par 8.1 et 14).
  • Article 14 — 8 critères de validité du consentement, dont « libre » : refuser doit être aussi facile qu'accepter.
  • CAI 2023-1, exemple 2-a — boutons à la même hauteur, même couleur, même taille de police.
  • CAI 2023-1, exemple B-b — fenêtre superposée pour cookies de profilage avec moyens d'activation par catégorie.

Pourquoi c'est critique

  • C'est le test le plus rapide à faire pour un auditeur. 30 secondes avec les outils développeurs suffisent à voir les cookies déposés avant tout clic.
  • C'est ce qu'un visiteur informé regarde en premier. Le public est de plus en plus sensibilisé aux dark patterns.
  • C'est le module qui rend les autres opérationnels. Sans bannière fonctionnelle, l'inventaire des outils tiers et la politique de confidentialité ne servent à rien — les scripts se chargent sans base légale.

Concrètement pour une PME

Sans bannière fonctionnelle :

  • Chaque visite produit des données collectées sans consentement valide — multiplié par votre trafic mensuel
  • Les analyses tirées de Google Analytics reposent sur une base juridiquement contestable
  • Un audit révèle l'écart en 30 secondes — la situation est documentable par captures d'écran

Le coût vient de la configuration absente — pas du choix d'avoir une bannière.

En résumé

Définition : la bannière de cookies est le mécanisme qui obtient un consentement préalable valide avant le dépôt de cookies non essentiels.

Trois faits clés :

  • Article 8.1 — technologies de profilage activées seulement après information et consentement
  • Article 14 — refuser doit être aussi simple qu'accepter (critère « libre »)
  • Le test technique réel : ouvrir le site avant clic et voir si les cookies de profilage sont déjà déposés

👉 Action : choisir un CMP, configurer Tag Manager pour bloquer les scripts avant consentement, équilibrer les boutons, ajouter un lien permanent.

Aucun module de la Formation Gouvernance PRP ne couvre spécifiquement les cookies — c'est un sujet 100 % site web. La base juridique générale du consentement est traitée dans le module Politique de confidentialité, mais l'application web concrète est uniquement dans ce module-ci.

Pour aller plus loin

Articles précis 8.1 et 9.1, paragraphe CAI 2.2 sur l'équivalence des boutons, exemple B-b de profilage, CMP recommandés?

Voir les exigences légales →

Test rapide — votre bannière fait-elle son travail?

Trois questions, vérifiables en 2 minutes.

Si non à une seule, votre bannière n'obtient pas un consentement valide selon les critères CAI 2023-1.

Faire auditer mon site web →

Maîtriser la conformité Loi 25 de votre site

La Formation Site web et Loi 25 couvre les sept obligations applicables à votre site — cartographie des collectes, politique de confidentialité, formulaires, outils tiers, cookies, données sensibles publiées, droits des visiteurs.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web