Bannière cookies Loi 25 : ce qu'exige la CAI

Vous ouvrez votre site en navigation privée : la bannière dit « refuser », mais Google Analytics charge quand même. Ce décalage entre l'affichage et la réalité technique, la CAI le documente depuis des années — et la Loi 25 renforce l'exigence de transparence et de consentement pour les traceurs non essentiels.

Ce que la Loi 25 change pour les cookies et traceurs

Au Québec, la collecte, l'utilisation et la communication de renseignements personnels via un site Web (identifiants, profils publicitaires, mesure d'audience invasive, etc.) doivent respecter les principes de la Loi 25. Les cookies et technologies similaires ne sont pas interdits, mais leur usage doit être justifié, transparent et, le plus souvent, fondé sur un consentement valide lorsqu'il s'agit de finalités non essentielles.

En pratique : le bandeau « En continuant votre navigation, vous acceptez… » ne suffit pas lorsque des traceurs sont déposés avant un choix libre et éclairé. L'utilisateur doit pouvoir refuser aussi facilement qu'accepter.

Exigences pratiques rappelées par la CAI

• Pas de dépôt préalable de cookies publicitaires ou de profilage avant consentement (sauf exceptions strictes, p.ex. cookies strictement nécessaires au service demandé).
• Choix granulaire lorsque plusieurs finalités coexistent (publicité, mesure, réseaux sociaux).
• Refus aussi simple que l'acceptation — pas de « dark patterns » qui cachent le refus.
• Information claire sur les finalités, durées et tiers, renvoyant vers une politique de confidentialité à jour.
• Respect du choix lors de la navigation ultérieure (le refus ne doit pas être contourné au prochain clic).

Bannière, CMP et politique : trois pièces du même puzzle

Une bannière bien configurée s'appuie sur une politique de confidentialité qui nomme les catégories de traceurs, les responsables et les droits des personnes. Sans politique accessible, la transparence reste incomplète. Consultez aussi notre article sur la politique de confidentialité Loi 25 pour les PME et sur le consentement hors cookies.

Erreurs fréquentes observées sur les sites québécois

1. Scripts tiers dans le HTML avant tout mécanisme de consentement.
2. « Tout accepter » visible, refus accessible seulement dans un sous-menu.
3. Case précochée pour des finalités marketing.
4. Pas de mise à jour après changement d'outil analytics ou de publicité.

Point à retenir : la bannière n'est pas une décoration — c'est le reflet technique de vos choix documentés. Si la politique dit une chose et le site en fait une autre, nous avons un problème plus gros que les cookies.

Prochaines étapes côté organisation

Documentez les finalités par catégorie de traceurs, alignez votre CMP (plateforme de gestion du consentement) avec votre politique, puis validez techniquement le comportement après refus. En cas de projet à risque (nouveau CRM, géolocalisation, IA sur données personnelles), une EFVP peut être requise en parallèle.

En bref

• Traceurs non essentiels : transparence et, en règle générale, consentement valide avant dépôt.
• Refus = acceptation en simplicité; pas de dépôt publicitaire avant choix.
• Bannière + politique + comportement réel du site : un seul ensemble cohérent.
• Validez après refus avec un scan — pas seulement en lisant la config de la CMP.

Références utiles

• CAI — Cookies et autres technologies — attentes pour les sites visant le public québécois.
• Loi P-39.1 (secteur privé) — cadre légal de la collecte par technologies.
• Politique Web — incontournables — contenu minimal à publier avec la bannière.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

La seule façon fiable de savoir si des traceurs chargent malgré un refus, c'est de tester le site réel. Notre analyse technique gratuite repère les scripts et cookies observables après consentement ou refus — elle complète, sans remplacer, votre programme de conformité.