Une bannière de cookies est-elle obligatoire au Québec sous la Loi 25?

Oui, dès qu'un site dépose des cookies non strictement nécessaires (analytiques, publicitaires, de personnalisation, de profilage). L'article 8.1 exige une information préalable pour les technologies d'identification, de localisation ou de profilage, et l'article 14 fixe les critères de validité du consentement. Les cookies strictement nécessaires au service explicitement demandé (session, panier, langue) ne nécessitent pas de consentement.

Le consentement aux cookies doit-il être préalable au chargement?

Oui. L'article 8.1 et le critère « manifeste » du consentement (CAI 2023-1) exigent un acte de volonté préalable à l'activation des technologies de profilage. Une bannière qui s'affiche pendant que les scripts se chargent en arrière-plan ne respecte pas cette exigence — le consentement obtenu après le dépôt des cookies est juridiquement contestable.

Le bouton « Accepter » peut-il être plus visible que le bouton « Refuser »?

Non. Le critère « libre » du consentement (lignes directrices CAI 2023-1) exige que donner le consentement soit aussi facile que ne pas le donner. L'exemple 2-a de la CAI précise que les boutons « J'accepte » et « Je refuse » doivent être « exactement à la même hauteur, de la même couleur, avec la même taille de police ». Mettre en valeur le bouton d'acceptation viole ce critère.

L'article 9.1 dispense-t-il les cookies du consentement?

Non. L'article 9.1 alinéa 2 dispense seulement de l'obligation de configurer par défaut les paramètres au plus haut niveau de confidentialité pour les témoins de connexion. Le consentement préalable au dépôt des cookies de profilage reste exigé via les articles 8.1 (information préalable pour les technologies de profilage) et 14 (critères de validité du consentement).

Cette obligation s'applique-t-elle à un site Wix, Shopify ou Webflow?

Oui. La Loi 25 ne distingue pas par technologie. Tout site web visible aux personnes au Québec qui dépose des cookies non strictement nécessaires doit respecter les articles 8.1, 9.1 et 14 — peu importe la plateforme (WordPress, Wix, Shopify, Squarespace, Webflow, sur mesure).

Formation Site web · Module 5 · Exigences légales
Articles 8.1, 9.1, 14 et lignes directrices CAI 2023-1

Cookies et bannière de consentement — Exigences Loi 25 Québec

L'article 8.1 exige une information préalable pour les technologies de profilage. L'article 14 impose un consentement libre — la CAI précise que refuser doit être aussi simple qu'accepter. Voici les obligations exactes et les pièges fréquents.

Faire auditer mon site web Planifier la formation pour mon équipe →

Contexte légal

Les cookies et autres technologies de suivi (pixels, fingerprinting, scripts d'analyse) sont visés par plusieurs articles de la Loi 25. L'article 8.1 traite spécifiquement des technologies d'identification, de localisation et de profilage. L'article 9.1 fixe les paramètres de confidentialité par défaut, avec une exception pour les témoins. L'article 14 énonce les critères de validité du consentement, développés en huit critères opérationnels par les Lignes directrices CAI 2023-1. L'ensemble forme un cadre cohérent : les cookies de profilage exigent un consentement préalable, valide et révocable.

Applicable à tout site web. Les obligations sur les cookies s'appliquent à toute organisation québécoise qui dépose des cookies non essentiels — peu importe la plateforme (WordPress, Wix, Shopify, Squarespace, Webflow, sur mesure). C'est le comportement réel des scripts qui crée l'obligation.

Ce que vous devez retenir — version dirigeant

Article 8.1 — information préalable + activation par la personne pour les technologies de profilage.
Article 9.1 alinéa 2 — exception sur les paramètres « plus haut niveau » pour les cookies, mais pas sur le consentement.
Article 14 — 8 critères dont « libre » : refuser doit être aussi simple qu'accepter.
CAI 2023-1 exemple 2-a — boutons identiques en couleur, taille, position.

Ce que ça implique pour votre organisation

Si les cookies de profilage se chargent avant le consentement, chaque visite produit une non-conformité.
Si les boutons « Accepter » / « Refuser » ne sont pas équivalents, le consentement obtenu n'est pas valide selon CAI 2023-1.
Sans lien permanent pour modifier les choix, le critère de révocabilité (« libre ») n'est pas respecté.

Ce que ça signifie concrètement pour vous

Les analyses tirées de Google Analytics reposent sur une base juridiquement contestable si la bannière n'est pas fonctionnelle.
Le test de conformité ne demande aucune compétence juridique — il se fait avec les outils développeurs du navigateur en 30 secondes.
La CNIL française a sanctionné Google et Meta d'environ 150 M$ chacun en 2022 pour des bandeaux où refuser était plus difficile qu'accepter — la lecture québécoise va dans le même sens.

Le test n'est pas « la bannière s'affiche ». Le test est « les scripts attendent ».

Définition légale

Au sens de la Loi 25, un témoin de connexion (cookie) est un fichier déposé sur l'appareil de la personne. Quand il sert à identifier, localiser ou effectuer un profilage (article 8.1), il est soumis à des obligations spécifiques d'information préalable et d'activation par la personne. Le consentement, lorsqu'il est requis, doit respecter les huit critères de validité de l'article 14 et des Lignes directrices CAI 2023-1.

Cadre juridique applicable

Article 8.1 — Technologies d'identification, de localisation et de profilage

« En plus des informations devant être fournies suivant l'article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci doit, au préalable, l'informer : 1° du recours à une telle technologie ; 2° des moyens offerts pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage. »

L'article précise : « Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. »

La CAI précise dans sa documentation : « Ces technologies ne pourront être activées par défaut : ce sera à la personne concernée de les activer, si elle le souhaite. »

Article 9.1 — Paramètres de confidentialité par défaut + exception cookies

« Une personne qui exploite une entreprise et qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s'assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. »

Alinéa 2 : « Ne sont pas visés au premier alinéa les paramètres de confidentialité d'un témoin de connexion. »

Note critique : cette exception ne dispense pas du consentement préalable pour les cookies de profilage. Elle dispense seulement de l'obligation de configurer par défaut au plus haut niveau de confidentialité. Le consentement reste requis via les articles 8.1 et 14.

Article 14 — Validité du consentement

Voir module 3 pour le texte intégral. Les huit critères opérationnels (CAI 2023-1) s'appliquent intégralement aux cookies : manifeste, libre, éclairé, spécifique, granulaire, compréhensible, temporaire, distinct.

Lignes directrices CAI 2023-1, paragraphe 2.2 — Caractère libre

« Le fait de mettre en valeur l'acceptation plutôt que le refus peut rendre le consentement sans effet, peu importe la façon exacte de le faire : mise en évidence visuelle (couleurs, taille de police, etc.), efforts que l'utilisateur doit faire en nombre de clics ou en navigation Web, formulation volontairement ambiguë, textes trompeurs, etc. »

Lignes directrices CAI 2023-1, exemple 2-a

Une application municipale propose deux boutons « J'accepte » et « Je refuse » exactement à la même hauteur, de la même couleur, avec la même taille de police. C'est le standard d'équivalence visuelle attendu.

Lignes directrices CAI 2023-1, exemple B-b

« Le site Web d'un magazine propose des recommandations personnalisées d'articles en fonction des intérêts des lecteurs, inférés par un algorithme d'intelligence artificielle. Les renseignements qui servent à l'inférence (...) sont recueillis à l'aide de témoins (cookies) déposés sur l'appareil du lecteur. Puisque cette technologie permet d'effectuer un profilage, le magazine affiche une fenêtre superposée lors de la première visite sur le site et fournit aux personnes concernées les informations prévues par la loi. Il leur indique ensuite comment activer le dépôt des témoins. »

Obligations concrètes pour les organisations

Identifier les cookies déposés sur le site et leur catégoriser (essentiels / mesure / marketing / réseaux sociaux / profilage)
Bloquer les cookies non essentiels avant le consentement (configuration Tag Manager ou équivalent)
Afficher une bannière à la première visite avec information préalable
Présenter les boutons « Accepter » et « Refuser » de manière équivalente (couleur, taille, position)
Offrir un paramétrage granulaire par catégorie de cookie
Fournir un lien permanent pour modifier les choix après coup
Journaliser les consentements (preuve : qui, quand, quoi)
Réviser périodiquement en cas d'ajout d'outil ou de changement

Exemples concrets pour une PME

Obligation : consentement préalable (art. 8.1) → Exemple PME : installation d'un plugin CMP (CookieYes ou Complianz sur WordPress) qui bloque le chargement de Google Analytics 4 jusqu'à ce que le visiteur clique sur « Accepter ».

Obligation : équivalence des boutons (CAI 2-a) → Exemple PME : bannière avec deux boutons « Accepter tout » et « Refuser tout » de la même couleur, taille et position. Pas de bouton vert grand vs gris petit.

Obligation : consentement granulaire (art. 14, critère 5) → Exemple PME : bouton « Personnaliser » qui ouvre une fenêtre avec choix par catégorie : essentiels (toujours actifs), mesure d'audience, marketing, réseaux sociaux. Chaque catégorie peut être acceptée ou refusée séparément.

Obligation : révocabilité → Exemple PME : lien permanent en pied de page « Gérer mes préférences cookies » qui rouvre la bannière. Le visiteur peut retirer son consentement aussi facilement qu'il l'a donné.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations installent un plugin de bannière par défaut sans configurer le blocage technique préalable des scripts. La bannière s'affiche, mais les scripts se chargent en parallèle.

Résultat :

Aucun consentement préalable n'est obtenu — les cookies sont déjà déposés
L'organisation a l'illusion d'être conforme parce qu'une bannière est visible
Un audit technique de 30 secondes révèle l'écart immédiatement
Les analyses fondées sur ces données reposent sur une base juridiquement contestable

Une bannière qui apparaît mais laisse les scripts s'exécuter est une bannière qui ment.

Deux réalités possibles

✗ Bannière non conforme

Scripts chargés avant tout clic
Bouton « Refuser » absent ou caché
Aucun paramétrage granulaire
Pas de révocation possible
Aucune journalisation

✓ Bannière conforme

Scripts bloqués jusqu'au consentement
Boutons accepter/refuser équivalents
Paramétrage par catégorie
Lien permanent de modification
Journal horodaté

Exemples d'application concrète

Plateformes de gestion du consentement (CMP)

Plusieurs solutions sont disponibles pour PME : CookieYes, Complianz (WordPress), OneTrust, Termly, Cookiebot, Tarte au Citron, Axeptio. Toutes permettent un consentement préalable réel, à condition d'être configurées correctement avec le Tag Manager. La présence d'un CMP ne suffit pas — c'est sa configuration qui détermine la conformité.

Compatibilité avec Google Consent Mode v2

Pour les organisations qui utilisent Google Analytics 4 ou Google Ads, Google Consent Mode v2 permet aux scripts Google d'adapter leur comportement au consentement reçu. Compatible avec la majorité des CMP modernes, il facilite la conformité technique sans perdre toute analyse de trafic.

Le test technique en 30 secondes

Ouvrir le site en navigation privée, ouvrir les outils développeurs (onglet Application > Cookies), recharger la page sans cliquer. Si Google Analytics, Meta Pixel, Hotjar ou tout autre cookie de profilage est déposé avant clic — la bannière n'est pas fonctionnelle. C'est la preuve concrète qu'utilise un auditeur.

Risques en cas de non-conformité

Sanctions juridiques

Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
Consentement sans effet — les données collectées via cookies non consentis n'ont pas de base légale
Ordonnance de la CAI — obligation de modifier la bannière, de cesser certains scripts
Action privée — recours d'une personne ayant subi un préjudice

Coûts opérationnels

Reconfiguration sous pression de Tag Manager et du CMP
Possible suppression des données collectées sous consentement invalide
Réécriture des analyses marketing sur une base techniquement et juridiquement saine
Pertes commerciales B2B avec partenaires qui auditent les bannières
Communication aux clients ou aux abonnés sur la mise à jour des pratiques

Une configuration correcte du CMP réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Sans bannière fonctionnelle :

Chaque visite produit des données sans consentement valide — multiplié par le trafic mensuel
L'analyse marketing repose sur une base juridiquement contestable
Le constat de non-conformité prend 30 secondes à un auditeur ou un visiteur informé

Le coût vient de la configuration absente — pas du fait d'avoir une bannière.

Lien avec la gouvernance PRP

Aucun module de la Formation Gouvernance PRP ne couvre spécifiquement les bannières de cookies — c'est un sujet 100 % site web. Le cadre du consentement (article 14, 8 critères) est traité dans le module Politique de confidentialité de la Formation Gouvernance, mais l'application web concrète aux cookies est uniquement dans ce module-ci.

🛡️ Diagnostic rapide

Trois questions pour évaluer la conformité de votre bannière :

Avant tout clic, aucun cookie de profilage (GA4, Meta Pixel, Hotjar) n'est déposé sur l'appareil du visiteur?
Le bouton « Refuser » est équivalent en visibilité au bouton « Accepter » (couleur, taille, position)?
Existe-t-il un mécanisme accessible pour révoquer ou modifier le consentement après coup?

Si non à une seule, votre bannière n'obtient pas un consentement valide selon CAI 2023-1.

Faire auditer mon site web →

Concrètement

Vos obligations s'appliquent dès qu'un cookie non essentiel est déposé sur votre site.
Mais sans configuration technique réelle de la bannière, ces obligations ne sont pas respectées — peu importe l'aspect visuel.
Ce qui transforme la situation théorique en exposition réelle, c'est le premier audit B2B, la première plainte ou la première vérification CAI.

La Formation Site web et Loi 25 traite ce module après les outils tiers parce que les cookies sont déposés par les outils tiers. Comprendre les outils en premier rend la mécanique des cookies plus claire.

En résumé

Article 8.1 — information préalable + activation par la personne pour les technologies de profilage.
Article 9.1 alinéa 2 — exception sur les paramètres « plus haut niveau » seulement, pas sur le consentement.
Article 14 — 8 critères dont « libre » : refuser doit être aussi simple qu'accepter.
CAI 2023-1 exemples 2-a et B-b — boutons identiques + fenêtre superposée pour profilage.

Pour la version pratique

Architecture d'une bannière fonctionnelle, types de cookies, choix d'un CMP, test technique en 30 secondes?

Voir le guide pratique →

Vérifier la conformité de votre bannière

L'audit de visibilité publique Loi 25 inclut un test technique de la bannière de cookies, vérifie le comportement réel des scripts et identifie les écarts avec les critères CAI 2023-1.

Faire auditer mon site web Planifier la formation

← Retour au plan de la formation Site web

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.