Aller au contenu
  • Nos experts
  • Espace client
Nos experts
Nous joindre
Avis d'experts

Loi 25 et gestion des témoins: comment vous conformer à la loi

Gestion des témoins | Se conformer à la loi 25

Écrit par :

Publié le 28 avril 2025

Pour que votre entreprise soit conforme à la loi 25, vous devez tenir compte d’éléments importants, notamment dans la gestion des témoins (cookies).

Rappelons d’abord que la loi 25 modernise certaines lois déjà en vigueur, notamment la Loi sur la protection des renseignements personnels dans le secteur privé, qui s’applique à toutes les entreprises privées exerçant leurs activités au Québec qui collectent des renseignements personnels sur leurs clients, leurs employés ou leurs partenaires, peu importe leur taille. On peut citer par exemple:

  • les boutiques en ligne et les commerces: collecte des noms, adresses et informations de paiement des clients;
  • les cabinets professionnels (avocats, comptables, consultants): conservation de dossiers contenant des renseignements;
  • les entreprises en technologie et marketing: utilisation de témoins et d’outils de suivi sur les sites Web;
  • les entreprises de services aux autres entreprises: même si elles traitent principalement avec d’autres entreprises, elles doivent assurer la protection des renseignements personnels de leurs employés, le cas échéant.

Obligations des entreprises, en bref

Avec l’entrée en vigueur de la loi 25, les entreprises québécoises doivent s’assurer que les visiteurs de leur site Web peuvent, entre autres:

Informer vos utilisateurs de l’utilisation d’une technologie de suivi

Toute entreprise utilisant un site Web ou une application avec des fonctionnalités d’identification, de localisation ou de profilage doit informer l’utilisateur avant toute collecte de données.

L’entreprise doit:

  • mentionner qu’une technologie de suivi est utilisée (ex.: témoins de profilage, pixels de suivi publicitaire, outils d’analyse comportementale);
  • indiquer quels sont les moyens offerts pour activer ces fonctions.

Par exemple, si votre site Web utilise Google Analytics pour suivre le comportement des visiteurs, un bandeau de consentement doit préciser clairement que cette technologie permet d’analyser les comportements de navigation et que l’utilisateur peut activer cette fonction.

Gérer les témoins (cookies)

Les utilisateurs de votre site Web ou de votre application doivent avoir le choix d’accepter ou non un certain nombre de témoins qui concernent leurs données personnelles. Un gestionnaire de témoins doit permettre aux utilisateurs de prendre des décisions claires. Voici six règles essentielles:

  1. Témoins désactivés par défaut: tous les témoins permettant le profilage, l’identification ou la localisation doivent être désactivés par défaut. En général, seules les catégories de témoins strictement nécessaires peuvent être activées par défaut;
  2. Clarté et spécificité des fins: chaque témoin doit être décrit avec sa finalité exacte (ex.: publicité ciblée, analyse du trafic) ainsi que la durée pendant laquelle il demeure sur le navigateur de l’utilisateur;
  3. Choix des finalités par l’utilisateur: l’utilisateur doit pouvoir sélectionner les types de témoins qu’il accepte (ex.: accepter l’analyse du trafic mais refuser la publicité ciblée);
  4. Refus aussi simple que l’acceptation: un bouton «Refuser tout» doit être aussi accessible et visible qu’un bouton «Accepter tout»;
  5. Choix des tiers: si des données sont transmises à des entreprises tierces (ex.: Google, Facebook), l’utilisateur doit pouvoir choisir à qui il consent à transmettre ses données;
  6. Retrait du consentement à tout moment: l’utilisateur doit pouvoir modifier ses préférences à tout moment, pas seulement lors de sa première visite sur le site.

Fournir à l’utilisateur un accès à ses données

Tout utilisateur peut demander:

  • une copie des renseignements collectés sur lui;
  • une explication sur la manière dont ses données sont utilisées.

Si des données sont inexactes, il peut demander leur correction.

FAQ | Questions les plus fréquentes sur la gestion des témoins (cookies)

  • Oui, mais uniquement si l’utilisateur donne son consentement explicite.

  • Oui, et il doit être aussi visible que le bouton «Accepter tout».

  • En utilisant un gestionnaire de consentement qui enregistre les préférences des visiteurs.

  • Le non-respect de la loi 25 peut entraîner des sanctions financières significatives. Une entreprise s’expose à une amende de 15 000 $ à 25 000 000 $, ou d’un montant représentant jusqu’à 4% de son chiffre d’affaires mondial de l’exercice financier précédent, si ce montant est plus élevé.

    Les recommandations suivantes vous aideront à éviter les sanctions:

    • Informez clairement les utilisateurs des technologies de suivi utilisées;
    • Choisissez un gestionnaire de témoins qui est conforme aux critères indiqués précédemment et qui permet de consulter les préférences enregistrées par les utilisateurs;
    • Indiquez les coordonnées du responsable de la protection des renseignements personnels dans la politique de confidentialité pour permettre aux utilisateurs de faire une demande d’accès ou de rectification;
    • Indiquez sur votre site les coordonnées du responsable de la protection des renseignements personnels.

En mettant en place un gestionnaire de témoins conforme et une politique de confidentialité claire, vous réduisez votre risque juridique tout en respectant la vie privée de vos utilisateurs.

Besoin d’aide? Communiquez avec nous pour une évaluation de la conformité de votre site par notre équipe d’experts en protection des renseignements personnels.

Cet article a été rédigé en collaboration avec Sabrina Roy, conseillère principale en gouvernance de l’information chez Raymond Chabot Grant Thornton.

Voir plus
Retourner à la section Avis d'experts
Le lien de cette page a été copié dans votre presse-papier

Nous joindre