Nexconform
Guide secteur 15 000+ boutiques

Loi 25 pour E-commerce : guide pratique 2026

Équipe Nexconform

Les boutiques en ligne québécoises collectent des données à chaque étape du parcours client : navigation (cookies), création de compte (profil), commande (paiement), et livraison (adresse). Avec 15 000+ boutiques et 100% de collecte de données, la conformité Loi 25 est essentielle pour maintenir la confiance des clients. Les plateformes Shopify, WooCommerce, Wix nécessitent une configuration spécifique pour être conformes.

Plan de conformité Loi 25 pour e-commerce : 8 étapes

1

Désigner un RPRP

15 min

Nommez un responsable de la protection des renseignements personnels pour votre boutique en ligne.

Actions

  • Désigner un RPRP (propriétaire ou responsable)
  • Publier coordonnées sur site (pied de page)
  • Inscrire au registre de la CAI

Livrable

Coordonnées RPRP publiées sur le site

2

Inventaire des données e-commerce

1h

Identifiez toutes les données collectées : clients, commandes, paiement, analytics, cookies.

Actions

  • Lister tous les types de données collectées
  • Identifier les services tiers (Stripe, Google, Facebook)
  • Cartographier les flux de données

Livrable

Tableau d'inventaire e-commerce

3

Analyse des risques boutique

45 min

Évaluez les risques : fuites de base de données, tracking sans consentement, sécurité paiement.

Actions

  • Évaluer risque fuite base de données clients
  • Identifier risques de tracking non conforme
  • Vérifier sécurité des intégrations de paiement

Livrable

Analyse des risques boutique

4

Mise en conformité cookies

1h 30

Installez une bannière cookies conforme avec consentement granulaire avant tout tracking.

Actions

  • Choisir et installer un CMP conforme
  • Configurer Google Consent Mode V2
  • Tester le refus des cookies

Livrable

Bannière cookies conforme active

5

Sécurisation des paiements

45 min

Vérifiez la conformité PCI-DSS et la tokenisation des paiements. Aucune donnée brute de carte.

Actions

  • Vérifier tokenisation avec Stripe/PayPal
  • Auditer les logs de transactions
  • Configurer alertes de fraude

Livrable

Paiements sécurisés PCI-DSS

6

Registre des traitements

1h

Documentez chaque traitement : finalité, base légale, durée, sous-traitants (hébergeur, CRM).

Actions

  • Documenter finalités de collecte
  • Identifier tous les sous-traitants
  • Définir durées de conservation

Livrable

Registre RP e-commerce complet

7

Politique de confidentialité

30 min

Rédigez une politique claire décrivant vos pratiques de collecte et les droits des clients.

Actions

  • Rédiger politique adaptée à la boutique
  • Décrire les finalités e-commerce spécifiques
  • Expliquer comment exercer les droits

Livrable

Politique publiée et accessible

8

Formation et documentation

30 min

Formez l'équipe et documentez les procédures de réponse aux demandes de clients.

Actions

  • Former l'équipe aux bonnes pratiques Loi 25
  • Créer procédure de suppression de compte
  • Documenter réponse aux demandes d'accès

Livrable

Procédures documentées + formation

Obligations spécifiques pour les e-commerce

1

Consentement cookies avant tracking

Aucun cookie tiers (Facebook Pixel, Google Analytics, TikTok) ne doit être déposé avant consentement explicite. La bannière doit offrir un choix granulaire et un refus aussi simple que l'acceptation.

2

Sécurité des paiements (PCI-DSS + Loi 25)

Les données de carte de crédit doivent être tokenisées. Vous ne devez jamais stocker le CVV ou la piste magnétique. Les transactions doivent utiliser TLS 1.2+ et les fournisseurs de paiement doivent être certifiés PCI-DSS niveau 1.

3

Politique de confidentialité boutique

Votre politique doit décrire précisément quelles données sont collectées à chaque étape : cookies, compte client, commande, livraison. Elle doit expliquer les droits d'accès, de rectification et de suppression.

4

Gestion des comptes clients

Les clients doivent pouvoir accéder à leurs données, les modifier, et demander la suppression de leur compte. L'historique d'achat ne doit pas être conservé indéfiniment après la fermeture du compte.

Risques principaux et solutions

Risque

Fuite de base de données clients

Conséquence

Exposition des comptes clients, historiques d'achat, et adresses. Impact majeur sur la confiance et risque de fraude par ingénierie sociale.

Solution

Chiffrement AES-256 de la base de données, hashage des mots de passe (bcrypt/Argon2), authentification MFA, et sauvegardes chiffrées hors site.

Risque

Tracking sans consentement

Conséquence

Déploiement de pixels de tracking avant consentement. Violation de la Loi 25 et amende record de 120 000 $ pour une boutique québécoise.

Solution

Mode 'consent-first' : aucun script tiers avant consentement. CMP conforme avec Google Consent Mode V2. Vérification régulière via outils de scan cookies.

Risque

Conservation de données de paiement

Conséquence

Stockage non autorisé des numéros de carte ou CVV. Violation PCI-DSS et Loi 25, avec risque de fraude financière.

Solution

Tokenisation avec Stripe/PayPal. Jamais de stockage local des données de carte. Audit PCI-DSS annuel si traitement interne.

Risque

Partage avec transporteurs

Conséquence

Transmission des adresses et coordonnées aux transporteurs sans base légale claire ni information du client.

Solution

Mention dans la politique de confidentialité. Option de retrait pour le client. Contrats de sous-traitance avec les transporteurs.

Actifs de données à protéger

élevée

Base de données clients

Comptes clients (email, mot de passe hashé), profils, préférences, historiques d'achat détaillés, adresses de livraison multiples

élevée

Données de paiement

Tokens de paiement Stripe/PayPal, 4 derniers chiffres de la carte, type de carte, date d'expiration (jamais le CVV ou numéro complet)

moyenne

Données de commande

Paniers abandonnés, commandes passées, articles achetés, montants, remises appliquées, factures

moyenne

Analytics et tracking

Parcours utilisateur, pages vues, sources de trafic, conversions, événements e-commerce, audiences personnalisées

moyenne

Données de livraison

Adresses complètes, numéros de téléphone pour livraison, instructions spéciales, historique des livraisons

Cas client : Boutique en ligne Mode Québec

B

Boutique en ligne Mode Québec

12 employés, 45 000 clients

Conformité complète en 5 heures. CMP conforme déployé, paiements sécurisés. Augmentation de 15% de la confiance des clients mesurée.

"Le CMP avec Consent Mode nous a permis de continuer à tracker les conversions tout en respectant la Loi 25. Nos clients apprécient la transparence."

Exemple de sanction réelle

Une boutique en ligne de mode a écopé d'une amende de 120 000 $ en 2024 pour avoir déployé des pixels Facebook et TikTok sans consentement valide. Les visiteurs étaient trackés dès leur arrivée sans bannière cookies.

Questions fréquentes

Dois-je obtenir un consentement pour les cookies analytiques comme Google Analytics ?

Oui, Google Analytics utilise des cookies et collecte des données personnelles (adresse IP). Vous devez obtenir un consentement avant de déployer le script. Utilisez Google Consent Mode V2 pour gérer le consentement.

Puis-je stocker les numéros de carte de crédit de mes clients pour faciliter les achats futurs ?

Non, c'est interdit par PCI-DSS. Utilisez la tokenisation avec Stripe, PayPal ou un autre fournisseur certifié. Le token permet de refacturer sans stocker les données de carte.

Comment gérer les demandes de suppression de compte client ?

Vous devez permettre la suppression complète du compte et des données personnelles, tout en conservant les factures pour l'ARC (7 ans). Anonymisez les données de commande ou conservez-les séparément pour les obligations légales.

Rejoignez les E-commerce conformes

15 000+ boutiques utilisent déjà Nexconform pour automatiser leur conformité.

Créer mon compte gratuitVoir une démo