Nexconform
Guide secteur 2 500+ agences

Loi 25 pour Agences marketing : guide pratique 2026

Équipe Nexconform

Les agences marketing québécoises opèrent dans un environnement de collecte de données intensif. Chaque campagne génère des audiences personnalisées, des profils de comportement, et des données de prospection. Avec 2 500+ agences et 100% de digitalisation, la conformité Loi 25 est complexe car vous traitez vos données ET celles de vos clients. Le statut de sous-traitant vous impose une double responsabilité.

Plan de conformité Loi 25 pour agences marketing : 8 étapes

1

Désigner un RPRP

15 min

Nommez un responsable de la protection des renseignements personnels spécialisé en marketing digital.

Actions

  • Désigner un RPRP (CDO ou responsable données)
  • Publier coordonnées sur site et documents clients
  • Informer la CAI de la désignation

Livrable

Coordonnées RPRP publiées

2

Inventaire des données marketing

1h

Identifiez toutes les données collectées : prospects, audiences, analytics, par client.

Actions

  • Lister toutes les bases de données par client
  • Cartographier les flux (site → CRM → Facebook)
  • Identifier les données partagées avec tiers

Livrable

Cartographie des données marketing

3

Analyse des risques marketing

45 min

Évaluez les risques spécifiques : données non conformes, mélange audiences, cookies.

Actions

  • Auditer l'origine des bases de données
  • Évaluer les risques de contamination
  • Vérifier la conformité des bannières cookies

Livrable

Analyse des risques marketing

4

Mise en conformité cookies

1h 30

Implémentez une bannière cookies conforme avec consentement granulaire avant tout tracking.

Actions

  • Installer CMP conforme (OneTrust, Cookiebot)
  • Configurer mode 'consent-first'
  • Tester granularité et refus

Livrable

Bannière cookies conforme active

5

Contrats sous-traitants (CSA)

1h

Signez un CSA avec chaque client définissant vos obligations en tant que sous-traitant.

Actions

  • Rédiger modèle de CSA standardisé
  • Signaler avec chaque client existant
  • Intégrer CSA dans processus onboarding

Livrable

CSA signés avec tous les clients

6

Registre des traitements

1h

Documentez chaque traitement : quelles données, pour quel client, pendant combien de temps.

Actions

  • Documenter finalités par client
  • Définir durées de conservation audiences
  • Lister sous-traitants tiers (Facebook, Google)

Livrable

Registre RP marketing complet

7

Politique de confidentialité

30 min

Rédigez une politique transparente décrivant vos pratiques de collecte et d'utilisation.

Actions

  • Rédiger politique adaptée à l'agence
  • Décrire les finalités de prospection
  • Expliquer les droits des personnes

Livrable

Politique publiée en ligne

8

Formation et audit

45 min

Formez l'équipe aux bonnes pratiques et auditez régulièrement la conformité.

Actions

  • Former équipe à la Loi 25 spécifique marketing
  • Établir checklist conformité campagnes
  • Planifier audits trimestriels

Livrable

Attestations de formation + checklist

Obligations spécifiques pour les agences marketing

1

Consentement cookies granulaire

Chaque site client doit avoir une bannière cookies conforme avec choix granulaire. Les catégories (fonctionnels, analytiques, marketing) doivent être séparées et l'utilisateur doit pouvoir refuser les cookies non-essentiels.

2

Contrats de sous-traitance (CSA)

Vous traitez des données pour le compte de vos clients. Vous devez signer un CSA avec chacun définissant vos obligations, les finalités autorisées, la durée, et les mesures de sécurité. Vous êtes responsable conjointement avec le client.

3

Gestion des audiences personnalisées

Les audiences Facebook, Google, LinkedIn doivent être créées avec consentement valide. Vous devez pouvoir prouver que chaque contact dans une audience a consenti au remarketing.

4

Prospection et cold emailing

Le cold emailing B2B est autorisé mais encadré. Vous devez respecter le droit d'opposition, identifier clairement l'expéditeur, et fournir un moyen de désinscription simple.

Risques principaux et solutions

Risque

Contamination par données non conformes

Conséquence

Achat ou location d'une base de données de prospects dont les contacts n'ont jamais consenté. L'utilisation expose votre client et vous à des sanctions.

Solution

Vérification systématique de l'origine des données : provenance, date de collecte, consentement documenté. Refuser les bases 'grises' ou sans traçabilité.

Risque

Mélange des audiences entre clients

Conséquence

Utilisation d'une audience créée pour le client A dans une campagne pour le client B sans consentement des utilisateurs.

Solution

Segmentation stricte des audiences par client. Registre des traitements détaillé par campagne. Impossibilité technique de mélanger les audiences.

Risque

Cookies sans consentement

Conséquence

Déploiement de pixels Facebook/Google avant consentement. Tracking de visiteurs n'ayant pas accepté les cookies marketing.

Solution

Mode 'consent-first' : aucun cookie tiers avant consentement explicite. Bannière avec refus possible. Consent mode V2 pour Google Analytics.

Risque

Conservation excessive audiences

Conséquence

Conserver des audiences personnalisées éternellement. Les contacts ne se souviennent plus avoir consenti, et certains sont obsolètes.

Solution

Politique de purge automatique : suppression des audiences non utilisées depuis 12 mois. Renouvellement du consentement pour les remarketing longs.

Actifs de données à protéger

moyenne

Bases de données prospects B2B

Listes d'emails professionnels, numéros de téléphone, noms de décideurs, tailles d'entreprise, secteurs d'activité

élevée

Audiences personnalisées

Emails hashés uploadés sur Facebook/Google, segments de remarketing, lookalike audiences basées sur des profils existants

moyenne

Données analytics comportementales

Parcours utilisateur, pages vues, temps passé, événements de conversion, attributions campagnes

élevée

Données de prospection B2C

Emails personnels collectés via lead magnets, inscriptions newsletters, participation concours, scraping web

standard

Données des influenceurs

Coordonnées personnelles des influenceurs, contrats, métriques de performance, contenu créé

Cas client : Agence Digital MTL

A

Agence Digital MTL

35 employés, 120 clients

Conformité complète en 6 heures. Mise en place CMP conforme, CSA signés avec 100% des clients. Aucune plainte CAI depuis 24 mois.

"Les CSA standardisés nous ont permis d'accélérer l'onboarding. Le CMP avec consent mode nous a même amélioré la qualité de nos données analytics."

Exemple de sanction réelle

Une agence marketing montréalaise a été sanctionnée à hauteur de 30 000 $ en 2024 pour avoir acheté une base de données de 50 000 emails non conformes et les avoir utilisés pour une campagne client sans vérification du consentement.

Questions fréquentes

Dois-je obtenir un consentement pour chaque campagne remarketing ?

Non, un consentement général au remarketing suffit s'il est clair. Par contre, vous devez pouvoir prouver que chaque contact dans l'audience a consenti, et offrir un moyen de se désinscrire facilement.

Puis-je utiliser une audience créée pour un client pour un autre client ?

Non, sauf si les personnes concernées ont explicitement consenti à ce partage. Chaque audience est généralement créée pour une finalité spécifique et ne doit pas être réutilisée sans consentement supplémentaire.

Le cold emailing B2B est-il interdit par la Loi 25 ?

Non, mais il est encadré. Vous devez respecter le droit d'opposition, identifier clairement l'expéditeur, et fournir un moyen de désinscription simple. Évitez le B2C sans consentement préalable.

Rejoignez les Agences marketing conformes

2 500+ agences utilisent déjà Nexconform pour automatiser leur conformité.

Créer mon compte gratuitVoir une démo