Loi 25 au Québec : ce que votre site web doit respecter en 2026
La Loi 25 oblige maintenant toutes les entreprises québécoises à protéger les données personnelles collectées sur leur site web. Si votre site utilise un formulaire de contact, des cookies ou Google Analytics, vous êtes concerné — peu importe la taille de votre PME. Voici ce que ça change concrètement et comment vous conformer sans tout refaire.
Qu'est-ce que la Loi 25 et pourquoi votre site web est concerné ?
La Loi 25, officiellement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est entrée en vigueur progressivement entre 2022 et 2023 au Québec. Elle s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels dans le cadre de l'exploitation d'une entreprise — y compris les PME, les travailleurs autonomes et les professionnels en pratique privée.
Concrètement, si votre site web possède un formulaire de contact, une inscription à une infolettre, un formulaire de soumission ou même simplement Google Analytics installé, vous collectez des renseignements personnels. Vous êtes donc directement visé par cette loi, que vous soyez à Montréal, Sherbrooke, Laval ou en région.
Pour en consulter le texte officiel complet, vous pouvez vous référer directement à Légis Québec, la source officielle des lois du Québec.
Les 4 obligations concrètes pour votre site web
La première obligation est d'avoir une politique de confidentialité claire et accessible. Votre site doit afficher une page dédiée expliquant quelles données vous collectez, pourquoi vous les collectez, combien de temps vous les conservez et avec qui vous les partagez. Cette page doit être rédigée dans un langage simple, compréhensible par vos clients — pas uniquement en jargon juridique.
La deuxième obligation concerne les cookies et les outils de suivi. Si votre site utilise des cookies à des fins autres que le fonctionnement de base — Google Analytics, pixels Facebook, outils de chat en ligne — vous devez obtenir le consentement explicite de vos visiteurs avant d'activer ces technologies. Un bandeau de cookies bien configuré n'est plus optionnel : c'est une exigence légale.
La troisième obligation est de désigner un responsable de la protection des renseignements personnels. Pour une PME, c'est souvent le propriétaire lui-même. Mais ce responsable doit être clairement identifié sur votre site web, avec ses coordonnées pour que les clients puissent le joindre s'ils ont des questions sur leurs données.
La quatrième obligation est d'informer vos clients de tout incident de confidentialité. Si vous êtes victime d'un piratage ou d'une fuite de données personnelles, vous avez l'obligation de le signaler à la Commission d'accès à l'information du Québec et d'en aviser les personnes touchées dans les délais prescrits par la loi.
Ce que risque concrètement une PME qui ne se conforme pas
La Commission d'accès à l'information (CAI) est l'organisme chargé d'appliquer la Loi 25 au Québec. Elle a le pouvoir d'imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial d'une entreprise pour certaines infractions, et des amendes pénales encore plus élevées pour les manquements les plus graves.
Ces montants peuvent sembler disproportionnés pour une PME — mais les obligations elles-mêmes sont proportionnées à la taille de l'organisation. Ce qui est attendu d'une petite entreprise de Drummondville n'est pas le même niveau de conformité qu'une multinationale. L'essentiel est de faire des efforts raisonnables et documentés. Pour mieux comprendre les pouvoirs d'application de la loi, la Commission d'accès à l'information du Québec offre des ressources dédiées aux entreprises sur son site officiel.
Les éléments à vérifier sur votre site web dès maintenant
Le premier élément à vérifier est votre formulaire de contact. Assurez-vous qu'il est accompagné d'une mention claire indiquant à quoi serviront les informations fournies, et d'un lien vers votre politique de confidentialité. Un simple texte comme « Vos informations sont utilisées uniquement pour répondre à votre demande et ne seront jamais vendues à des tiers » est un bon point de départ.
Le deuxième élément est votre configuration Google Analytics ou autre outil de suivi. Si vous utilisez Google Analytics 4, vérifiez que vous avez activé les paramètres de conformité aux lois sur la vie privée, que vous avez désactivé la collecte d'adresses IP complètes et que votre bannière de consentement aux cookies est bien connectée à cet outil.
Le troisième élément est votre page de politique de confidentialité. Si vous n'en avez pas, c'est le premier document à créer. Si vous en avez une, vérifiez qu'elle est à jour avec les réalités actuelles de votre site — les outils que vous utilisez, les tiers avec qui vous partagez des données (hébergeur, logiciel de facturation, CRM) et les droits de vos clients concernant leurs données.
Le quatrième élément est l'identification du responsable de la protection des renseignements personnels. Ajoutez cette information à votre page de politique de confidentialité ou à votre page de contact. Un simple paragraphe avec un nom et une adresse courriel suffit pour la plupart des petites entreprises.
Loi 25 et refonte de site web : une opportunité à saisir
Pour les PME québécoises qui envisagent une refonte de site web, la Loi 25 est une excellente raison d'agir maintenant plutôt que plus tard. Un site construit ou refondu en 2026 peut intégrer dès le départ tous les éléments de conformité : bandeau de cookies fonctionnel, politique de confidentialité complète, formulaires avec mentions légales et configuration d'analytics respectueuse de la vie privée.
C'est beaucoup plus simple à faire lors d'une refonte que d'essayer de rajouter ces éléments après coup sur un site existant mal structuré. Voyez comment b2web intègre ces éléments dès la conception de chaque site web.
Mythes courants sur la Loi 25 chez les PME du Québec
Le premier mythe est que la loi ne s'applique qu'aux grandes entreprises. C'est faux : toute organisation qui collecte des renseignements personnels dans le cadre de ses activités commerciales est visée, quelle que soit sa taille. Un plombier de Laval qui recueille des adresses courriel via son site est concerné au même titre qu'une grande chaîne de détail.
Le deuxième mythe est qu'une politique de confidentialité copiée sur un autre site suffit. Une politique de confidentialité doit refléter les pratiques réelles de votre entreprise. Copier un texte générique qui ne correspond pas à vos outils, vos pratiques et vos partenaires peut être aussi problématique que de ne pas en avoir du tout.
Le troisième mythe est que la conformité est trop compliquée pour une petite entreprise. En réalité, les étapes de base sont accessibles à toute PME québécoise qui prend quelques heures pour revoir son site. L'objectif de la loi n'est pas de pénaliser les petites entreprises de bonne foi, mais d'encourager des pratiques responsables dans la gestion des données personnelles.
Ce que b2web fait pour vous aider à vous conformer
Chez b2web, chaque site web que nous créons inclut une page de politique de confidentialité adaptée à votre entreprise, une configuration de formulaires avec les mentions légales nécessaires, et une structure pensée pour faciliter l'ajout d'un bandeau de consentement aux cookies. Nous accompagnons les PME de Montréal, Laval, Sherbrooke, Québec, Gatineau, Lévis, Saguenay, Trois-Rivières, Terrebonne, Drummondville et des Laurentides.
Si votre site actuel n'est pas conforme à la Loi 25, une refonte ou une mise à jour ciblée peut régler l'essentiel en quelques semaines. Contactez-nous pour discuter de la conformité Loi 25 de votre site web — sans jargon, avec des solutions concrètes adaptées à votre taille d'entreprise.
Conclusion
La Loi 25 n'est pas une menace à ignorer ni un obstacle insurmontable pour les PME québécoises. C'est une occasion de bâtir une relation de confiance plus solide avec vos clients, en démontrant que vous prenez au sérieux la protection de leurs informations personnelles. Dans un contexte où la confiance numérique est de plus en plus déterminante dans la décision d'achat, être conforme n'est pas seulement une obligation légale — c'est aussi un avantage concurrentiel.
Commencez par les étapes de base : politique de confidentialité, bandeau de cookies, identification d'un responsable. Ces actions concrètes, prises maintenant, vous protègent légalement et renforcent la crédibilité de votre présence en ligne au Québec.
