Mettre un site en ligne au Québec en 2026 : 6 obligations légales que presque personne ne respecte
Un formulaire, des analytics, un hébergement aux États-Unis : ton site est déjà soumis à la Loi 25. Les six obligations légales réelles en 2026 — et celle que presque personne ne remplit.
Un formulaire de contact, et te voilà responsable
Un site vitrine tout ce qu'il y a de banal : une page d'accueil, une section « à propos », un formulaire de contact, Google Analytics pour suivre le trafic, peut-être une infolettre. Hébergé sur Vercel, ou sur un mutualisé quelque part en Virginie. Le propriétaire est convaincu d'être à l'abri : « je ne vends rien en ligne, je ne stocke aucune carte de crédit, la conformité c'est un problème de banque. »
C'est précisément là que le malentendu commence. Un nom et une adresse courriel déposés dans un formulaire, c'est un renseignement personnel. Une adresse IP croisée avec un identifiant d'analytics, c'en est un autre. À la seconde où ton site enregistre l'un ou l'autre, la Loi sur la protection des renseignements personnels dans le secteur privé — celle que la Loi 25 a entièrement modernisée — s'applique. Pas à ton hébergeur, pas à ton agence : à toi, l'entreprise qui exploite le site.
Et la conformité d'un site web en 2026, ce n'est ni le petit bandeau de témoins ni une politique de confidentialité copiée-collée. C'est six obligations bien concrètes, dont la plus lourde est justement celle qu'on ne voit pas. Une précision avant d'entrer dedans : je construis des sites et des produits, je ne rends pas d'avis juridiques. Ce qui suit est le point de vue d'un praticien qui doit livrer des sites conformes — à faire valider par un professionnel pour ta situation précise.
Le mot qui te désigne : « responsable »
Tout part d'un vocabulaire qu'il faut s'approprier. Le Règlement général sur la protection des données européen — le RGPD, applicable depuis le 25 mai 2018 — distingue le responsable de traitement, celui qui décide pourquoi et comment les données sont traitées, du sous-traitant, qui les traite pour son compte. La Loi 25 emploie d'autres mots pour la même réalité : l'entreprise qui détermine les finalités est responsable, celui qui exécute pour elle est un mandataire ou un prestataire de services.
Dans les deux régimes, le verdict tombe pareil : le responsable, c'est toi. Supabase qui héberge ta base, Vercel qui sert tes pages, Stripe qui encaisse, ton service d'envoi de courriels — ce sont tes sous-traitants. Et un principe écrase tout le reste : tu demeures responsable des renseignements même lorsque tu les confies à un tiers. On ne sous-traite pas sa responsabilité, seulement le traitement.
Première conséquence, déjà manquée par une majorité de PME : depuis septembre 2022, ton entreprise doit avoir un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité — concrètement, le proprio — sauf délégation écrite. Ses coordonnées doivent être accessibles au public. Devine sur quel support on s'attend à les trouver.
Obligation 1 — Une politique de confidentialité qui dit la vérité
C'est la vitrine, et c'est par là que tout le monde commence. Le problème n'est pas son absence — la plupart des sites en affichent une — mais le fait qu'elle mente. Un générateur en ligne crache trois paragraphes passe-partout, on les colle au pied de page, et personne ne vérifie qu'ils décrivent ce que le site fait réellement.
Or la politique doit refléter la réalité technique : quelles données tu collectes, pour quelles finalités, avec quels tiers tu les partages, combien de temps tu les conserves, comment une personne exerce ses droits, et qui est ton responsable. Le RGPD en détaille le contenu à ses articles 13 et 14 ; la Loi 25 impose la même transparence. Une politique qui jure « nous ne partageons vos données avec personne » alors que ton formulaire pousse directement dans un CRM et que tes pages chargent six scripts tiers, ce n'est pas une protection : c'est une preuve écrite de non-conformité.
Obligation 2 — Le consentement aux témoins n'est pas décoratif
Au Québec, on dit « témoins » plutôt que cookies, et le bandeau qui surgit au chargement n'est pas un ornement : c'est un mécanisme de consentement, qui doit fonctionner. Un bandeau qui dépose déjà tous les traceurs avant le moindre clic, ou dont l'unique bouton visible est « Tout accepter », ne respecte ni l'esprit ni la lettre de la loi.
La Loi 25 a posé un principe fort : les paramètres de confidentialité doivent offrir par défaut le plus haut niveau de protection — autrement dit, pas de pistage tant que la personne n'y a pas consenti, à l'exception des témoins strictement nécessaires au fonctionnement du site. Le RGPD, couplé à la directive ePrivacy, exige le même consentement préalable. C'est exactement ce qui a longtemps placé Google Analytics dans l'illégalité aux yeux de plusieurs autorités européennes, à cause des transferts de données vers les États-Unis — une épée de Damoclès que le cadre transatlantique adopté en 2023, et validé en justice en 2025, a fini par desserrer. J'y reviens plus bas, parce que ce point commande toute l'architecture de ton hébergement.
Obligation 3 — Encadrer tes sous-traitants : le contrat que personne ne signe
Voici le cœur du sujet, et l'angle mort le plus spectaculaire. Quand tu confies des renseignements personnels à un fournisseur, la loi ne se satisfait pas d'un « fais-moi confiance ». Elle réclame un contrat écrit qui encadre ce traitement.
Côté RGPD, c'est l'article 28(3), sans ambiguïté : un Data Processing Agreement — un DPA — qui doit prévoir au minimum sept choses : le traitement uniquement selon tes instructions documentées, la confidentialité du personnel, des mesures de sécurité, ton autorisation préalable avant tout sous-traitant ultérieur, l'assistance pour répondre aux droits des personnes, la suppression ou la restitution des données en fin de contrat, et un droit d'audit. Côté Loi 25, c'est notamment l'article 18.3 de la Loi sur le privé : confier des renseignements à un prestataire est permis sans le consentement des personnes à condition qu'un contrat écrit précise les finalités, les catégories de personnes qui y auront accès, et les mesures de confidentialité et de sécurité. Deux textes, deux noms, une seule obligation de fond : encadrer chacun de tes fournisseurs par écrit.
La bonne nouvelle, c'est que les fournisseurs sérieux ont fait leur part. Supabase publie son DPA et te le fait signer électroniquement ; il y déclare ses propres entités — Supabase Inc. aux États-Unis, Supabase Pte Ltd à Singapour — et la liste de ses sous-traitants. Vercel publie le sien, sa liste de sous-traitants à l'appui. Stripe est certifié au cadre EU-US Data Privacy Framework et intègre les clauses contractuelles types européennes (la décision 2021/914), avec un préavis de 30 jours avant d'ajouter un sous-traitant. La mauvaise nouvelle : personne ne signera ces documents à ta place. C'est à toi d'aller les récupérer dans la console de chaque outil, de les accepter, et surtout de lire qui sont leurs sous-traitants — parce que la chaîne ne s'arrête jamais à ton fournisseur direct.
| Concept | RGPD (Europe) | Loi 25 (Québec) |
|---|---|---|
| Celui qui décide | Responsable de traitement | Personne ou entreprise responsable |
| Ton fournisseur | Sous-traitant | Mandataire / prestataire de services |
| Le contrat obligatoire | DPA (article 28) | Encadrement écrit (article 18.3) |
| Avant un transfert | Adéquation ou clauses types | EFVP avant communication hors Québec |
| Sanction la plus lourde | 20 M€ ou 4 % du CA mondial | 25 M$ ou 4 % du CA mondial |
Obligation 4 — L'évaluation avant d'envoyer les données hors Québec
C'est le piège que je rencontre le plus souvent, et il découle directement de ton stack. Un développeur québécois moderne n'héberge presque jamais au Québec : sa base vit sur Supabase, son site sur Vercel, ses paiements chez Stripe, ses courriels chez un service américain. Autrement dit, 100 % des renseignements de tes clients quittent le Québec dès la première requête.
La Loi 25 ne l'interdit pas, mais elle impose une étape que presque personne ne franchit.
Héberger ta base sur Supabase ou ton site sur Vercel, c'est déjà « communiquer » des renseignements personnels à l'extérieur du Québec. La Loi 25 exige une évaluation des facteurs relatifs à la vie privée (EFVP) avant ce transfert — pas le jour de l'audit. Presque personne ne la réalise, et c'est exactement le document que la Commission peut te demander de produire.
Cette EFVP est une analyse, proportionnée à la sensibilité des données, qui vérifie que la protection offerte ailleurs est adéquate. Le mécanisme européen est cousin : un transfert hors de l'Union doit reposer sur une décision d'adéquation ou sur les clauses contractuelles types. Bonne nouvelle pour le Canada : la loi fédérale (PIPEDA) conserve sa décision d'adéquation européenne pour les organisations commerciales, et le cadre EU-US Data Privacy Framework a survécu, en septembre 2025, à un premier recours devant le Tribunal de l'Union européenne. Mais aucune de ces décisions ne te dispense de ta propre EFVP : c'est ton document, pas celui de Supabase.
Obligation 5 — Le plan d'incident, avant l'incident
Un site web est une surface d'attaque permanente. La Loi 25 l'a anticipé : depuis septembre 2022, dès qu'un incident de confidentialité présente un risque de préjudice sérieux, tu dois le déclarer à la Commission d'accès à l'information et aux personnes concernées, et tenir un registre de tous les incidents — même ceux qui ne franchissent pas ce seuil. Le RGPD impose, lui, une notification à l'autorité dans les 72 heures.
Ce qu'il faut intégrer, c'est que ces obligations se préparent à froid, pas dans la panique d'une fuite. Avoir un registre prêt, savoir qui notifie qui et dans quel délai, c'est de l'architecture organisationnelle au même titre que tes sauvegardes. Le jour où une table mal protégée par une politique d'accès se retrouve exposée, le réflexe doit déjà exister.
Obligation 6 — Les droits des personnes, jusqu'à la portabilité
Une personne dont tu détiens les données a des droits, et ils ont du mordant technique. Accès, rectification, retrait du consentement, cessation de diffusion et désindexation — ce « droit à l'oubli » à la québécoise, en vigueur depuis septembre 2023 — et surtout la portabilité : depuis le 22 septembre 2024, tu dois pouvoir remettre à une personne ses renseignements dans un format technologique structuré et couramment utilisé.
Traduit en langage de développeur : ton schéma de base doit permettre d'extraire toutes les données d'un individu et de les supprimer proprement, sur demande, dans un délai raisonnable. Si tu as éparpillé des données personnelles dans des logs, des exports CSV, trois outils tiers et deux tables sans clé commune, l'exercice devient un cauchemar. C'est précisément le genre de contrainte qui se conçoit au moment de modéliser la base — comme je le détaille pour une app de gestion pensée au Québec — pas qu'on rafistole deux ans plus tard.
Pourquoi 2026 ne ressemble pas à 2021
Pendant des années, on a parlé de la Loi 25 au futur. C'est terminé. Le déploiement s'est achevé le 22 septembre 2024, et le volet qui change la donne, c'est le régime de sanctions, désormais pleinement opérationnel. La Commission d'accès à l'information peut infliger des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial ; au pénal, les amendes grimpent jusqu'à 25 millions ou 4 %. Surtout, depuis septembre 2024, une personne lésée dispose d'un droit d'action privé : elle peut réclamer des dommages, seule ou par recours collectif, avec des dommages punitifs d'au moins 1 000 $ en cas de faute intentionnelle ou de négligence grave. Le RGPD, lui, plafonne ses amendes à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Deux pendants méritent d'être nommés, parce qu'ils relèvent de la même logique : l'envoi de courriels commerciaux, encadré par la loi canadienne anti-pourriel et par les exigences de délivrabilité que j'ai détaillées ailleurs, et l'accessibilité, qui n'est pas qu'une affaire de design mais une obligation montante avec ses propres échéances. La conformité d'un site n'est jamais une case unique qu'on coche.
Ce que ça change dans ma façon de construire
S'il fallait résumer : la conformité légale d'un site n'est pas un document qu'on ajoute à la fin, c'est une chaîne qu'on conçoit dès le départ. Le formulaire qui ne collecte que le strict nécessaire, le schéma de base capable d'extraire et de supprimer une personne, les DPA récupérés et signés avant la mise en ligne, l'EFVP réalisée pour chaque fournisseur hors Québec, le registre d'incidents prêt à l'emploi. Pris isolément, chaque élément est simple. Le piège, c'est de les traiter comme du juridique de dernière minute alors que ce sont des décisions d'architecture.
C'est toute la différence entre un site qu'on espère conforme et un site qui l'est par construction. Et en 2026, avec un droit d'action privé qui transforme chaque client mécontent en recours potentiel, la nuance n'a plus rien de théorique.
Sources officielles
- Loi 25 et Loi sur le privé (Québec) — texte de la Loi 25 (CanLII), Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1 (LégisQuébec), Commission d'accès à l'information — principaux changements et régime de sanctions.
- RGPD (Europe) — Règlement (UE) 2016/679 — texte intégral (EUR-Lex) et article 28 sur le sous-traitant.
- Transferts internationaux — EU-U.S. Data Privacy Framework (Département du Commerce des États-Unis) et LPRPDE/PIPEDA — Commissariat à la protection de la vie privée du Canada.
- DPA des fournisseurs — Supabase, Vercel, Stripe.
- Courriels commerciaux — Loi canadienne anti-pourriel (CRTC).
Tu lances un site ou un SaaS et tu veux que la conformité soit pensée dès l'architecture, pas bricolée après coup ? C'est exactement le genre de chantier que j'aime cadrer.
L'accessibilité ne bride pas ton design, elle l'améliore — et l'échéance ADA vient justement de bouger
Designer accessible n'impose aucun compromis esthétique — c'est l'inverse. Les seuils qui comptent en 2026, ce qui est vraiment obligatoire (EAA, ADA), et l'échéance qui vient d'être repoussée.
Pipeline email IA : la rédaction n'est pas le problème — depuis novembre 2025, Gmail rejette tes envois non conformes
Automatiser la rédaction d'un email est facile. Ce qui décide s'il arrive, c'est la conformité — et Gmail rejette désormais définitivement les expéditeurs hors normes. L'architecture complète d'un pipeline email IA qui passe.
Anatomie d'une landing page qui convertit : structure, UX, CTA et intégrations CRM
De la structure hero-to-CTA aux intégrations HubSpot, Salesforce et Pipedrive : le guide technique complet pour construire des landing pages qui transforment le trafic en leads qualifiés.
Construire une app de gestion des dépenses au Québec avec Claude Code : du PRD au déploiement
Guide complet pour créer une application Next.js de suivi des revenus et dépenses avec calcul automatique TPS/TVQ, numérisation de factures par IA et rapports mensuels — le tout généré avec Claude Code.