La majorité des sites québécois qu'on audite chargent GA4 et le pixel Meta avant tout consentement. La Loi 25 exige l'inverse depuis septembre 2023, avec des plafonds de sanctions qui montent jusqu'à 25M$. Le vrai enjeu n'est pas juridique, il est marketing : se conformer sans détruire le signal qui alimente vos campagnes. Voici comment faire les deux.
Ce qu'on voit dans les audits, semaine après semaine
On audite des comptes publicitaires québécois chaque semaine. Le portrait est constant : GA4 et le pixel Meta se déclenchent au chargement de la page, avant tout consentement. Pas de bannière, ou une bannière décorative qui ne bloque rien.
Sur les sites de PME qu'on examine, c'est la majorité des cas. Pas par mauvaise foi — la plupart des propriétaires pensent que leur thème Shopify ou leur plugin WordPress « gère ça ». Il ne gère rien : le tag part quand même, le cookie est déposé quand même.
La Loi 25 est en vigueur sur ce point depuis septembre 2023. Près de trois ans plus tard, l'écart entre ce que la loi exige et ce que les sites font réellement reste énorme. Et cet écart se vérifie en 30 secondes : ouvrez votre site en navigation privée, allez dans l'onglet Réseau de vos outils de développement, cherchez « facebook » et « google-analytics ». Si des requêtes partent avant que vous ayez cliqué quoi que ce soit, vous êtes dans le groupe non conforme.
Ce n'est pas une question de savoir si quelqu'un va le remarquer. La Commission d'accès à l'information (CAI) reçoit des plaintes, et n'importe quel concurrent ou client mécontent peut en déposer une.
“Consentement d'abord, témoins ensuite : aucun tag non essentiel ne part avant un oui explicite.”
Ce que la Loi 25 exige vraiment d'un site marketing
On est des opérateurs marketing, pas des avocats. Ce qui suit, c'est du terrain — pas un avis juridique.
Pour un site e-commerce ou de génération de leads, les obligations se résument à quatre blocs :
- Consentement avant les témoins non essentiels. GA4, pixel Meta, outils de heatmap, tags TikTok : rien de tout ça ne se charge avant un consentement clair et actif. Les cookies strictement nécessaires (panier, session, sécurité) sont exemptés.
- Une politique de confidentialité publiée sur le site, en français, rédigée en termes simples : quels renseignements vous collectez, pourquoi, avec qui vous les partagez, combien de temps vous les gardez.
- Un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité — donc vous, si vous êtes propriétaire. Son titre et ses coordonnées doivent être publiés.
- Un processus en cas d'incident. Tenir un registre des incidents de confidentialité, et aviser la CAI et les personnes concernées quand il y a risque de préjudice sérieux.
Rien là-dedans n'exige un cabinet à 400$/heure pour un site marketing standard. La partie technique — bloquer les tags avant le consentement — est celle où presque tout le monde échoue, et c'est celle que le reste de l'article couvre.
Les sanctions : lisez les plafonds, comprenez la cible
Les chiffres qui circulent sont réels, mais ce sont des plafonds. Sanctions administratives pécuniaires : jusqu'à 10M$ ou 2% du chiffre d'affaires mondial, selon le montant le plus élevé. Sanctions pénales : jusqu'à 25M$ ou 4% du CA mondial.
Personne ne va imposer 10M$ à une boutique Shopify de Trois-Rivières pour un pixel mal configuré. La CAI cible la négligence : les entreprises qui savent, qui ont été avisées, et qui ne font rien. Les facteurs prévus par la loi incluent la durée du manquement et les mesures prises pour le corriger.
Le vrai risque pour une PME est plus banal : une plainte d'un client ou d'un concurrent, une demande d'enquête, des heures de gestion, et l'obligation de tout corriger sous surveillance — au pire moment. Ajoutez le risque commercial : les acheteurs B2B et les partenaires commencent à demander des preuves de conformité avant de signer.
Notre lecture d'opérateur : le coût de la conformité pour un site marketing standard, c'est quelques jours de travail et un abonnement CMP à moins de 100$/mois. Le coût de la non-conformité est imprévisible et croît avec le temps. Ce genre d'asymétrie ne mérite pas des mois d'hésitation.
Le vrai problème : la bannière coupe votre signal publicitaire
Voici pourquoi tant de marketeurs repoussent l'échéance : une bannière conforme fait chuter les conversions mesurées. Une partie des visiteurs refuse, une autre ignore la bannière — et chaque refus est une conversion que GA4 et Meta ne voient plus. Sur le marché, on voit couramment des sites perdre un quart à un tiers de leurs conversions suivies du jour au lendemain.
L'algorithme, lui, ne fait pas la différence entre « moins de ventes » et « moins de signal ». Il optimise avec ce qu'il voit. Moins de données, ciblage plus flou, coûts d'acquisition en hausse. C'est le même problème de signal qu'on a documenté dans notre article sur le pixel Meta et la CAPI — la Loi 25 ne fait que l'amplifier.
La réponse technique existe et elle est mature :
- Google Consent Mode v2 : quand le visiteur refuse, GA4 et Google Ads reçoivent des signaux anonymisés sans cookie, et Google modélise les conversions manquantes. Vous récupérez une partie significative du portrait sans toucher à un renseignement personnel.
- Meta Conversions API : les événements partent de votre serveur, dédupliqués avec le pixel — et le statut de consentement est respecté côté serveur aussi. La CAPI n'est pas un passe-droit pour suivre ceux qui ont dit non; c'est une façon de rendre fiable le signal de ceux qui ont dit oui.
Conformité et performance ne sont pas opposées. Les comptes bien instrumentés qu'on gère gardent un signal exploitable après la bannière.
La séquence de conformité en 5 étapes
L'ordre compte. Voici la séquence qu'on applique :
- Inventaire. Ouvrez votre site avec Google Tag Assistant ou l'onglet Réseau. Listez chaque tag qui se déclenche : analytics, pixels, heatmaps, chat. Vous en trouverez plus que prévu.
- Choisissez un CMP certifié. Prenez une plateforme de gestion du consentement certifiée par Google (Cookiebot, Axeptio, CookieYes, entre autres), avec interface en français et intégration Consent Mode v2 native.
- Branchez le blocage réel. Via Google Tag Manager, conditionnez chaque tag non essentiel au consentement. Testez en navigation privée : zéro requête vers Meta ou GA4 avant le clic « Accepter ».
- Publiez le volet juridique. Politique de confidentialité en français, nom et courriel du responsable de la protection des renseignements personnels, registre d'incidents — même un document interne simple suffit pour commencer.
- Restaurez le signal. Activez Consent Mode v2, déployez la CAPI Meta avec déduplication, puis surveillez vos conversions sur 2-4 semaines pour établir la nouvelle base de référence.
L'étape 3 est celle où les implémentations échouent : la bannière s'affiche, mais les tags partent quand même. C'est exactement le genre de chose qu'on vérifie dans notre audit gratuit — le volet tracking couvre le consentement, le Consent Mode et la CAPI. Et si vous êtes déjà rendu à l'implémentation, parlez-nous-en.