Loi 25

Vie privée par défaut : ce que l'article 9.1 exige pour vos outils

7 minutes · Publié le 4 février 2026

Dans cet article

  1. Ce que dit l'article 9.1
  2. Qui est concerné?
  3. Exemples concrets de violations
  4. Ce que vous devez vérifier dans vos outils
  5. Vie privée par défaut vs protection dès la conception
  6. Les pénalités
  7. Et si tout ça était déjà géré pour vous?

Depuis septembre 2024, l'article 9.1 de la Loi 25 est en vigueur : tout produit ou service technologique offert au public doit assurer, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de l'utilisateur.

C’est le principe de vie privée par défaut — et il change la façon dont vous devez configurer chaque outil que vous utilisez.

Ce que dit l'article 9.1

L'article est concis mais radical :

Les paramètres d'un produit ou d'un service technologique offrant diverses options de confidentialité doivent, par défaut, assurer le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

Autrement dit : si votre outil a un curseur de confidentialité, il doit être au maximum dès l'installation. Si votre formulaire a des cases à cocher pour le partage de données, elles doivent être décochées par défaut. Note importante : l'article 9.1 exclut explicitement les témoins de connexion (cookies) de son champ d'application.

Qui est concerné?

L’article 9.1 s’applique à toute entreprise qui offre un produit ou service technologique au public. Si vous avez un site web, une application, un formulaire en ligne, un portail client ou même un simple système de réservation — vous êtes concerné.

Exemples concrets de violations

Voici des situations courantes où l’article 9.1 n’est pas respecté :

  • Cookies non essentiels activés par défaut — note : les témoins de connexion (cookies) sont explicitement exclus de l'article 9.1. Cependant, les articles 8.1 et 8.2 de la Loi 25 exigent tout de même d'informer les utilisateurs du recours à ces technologies et de publier une politique de confidentialité.
  • Formulaires avec cases pré-cochées — « Oui, je souhaite recevoir des communications marketing » coché par défaut. Le consentement doit être opt-in, pas opt-out.
  • Profils publics par défaut — un portail client où les informations sont visibles par d’autres utilisateurs à moins de changer les paramètres. La visibilité devrait être privée par défaut.
  • Partage de données avec des tiers activé automatiquement — Google Analytics, Meta Pixel, ou tout autre outil de suivi qui s’active sans consentement explicite.
  • Géolocalisation activée par défaut — une application mobile qui accède à la localisation sans que l’utilisateur l’ait explicitement demandé.

Ce que vous devez vérifier dans vos outils

Passez en revue chaque outil technologique que vous utilisez avec vos clients et posez-vous ces questions :

  • Les paramètres de confidentialité de vos outils sont-ils au plus haut niveau par défaut? (Note : les cookies sont exclus de l'art. 9.1, mais restent soumis aux art. 8.1 et 8.2)
  • Vos formulaires ont-ils des cases pré-cochées pour le marketing ou le partage de données?
  • Les profils de vos clients sont-ils privés par défaut?
  • Vos outils de suivi (analytics, pixels) attendent-ils le consentement avant de se déclencher?
  • Les paramètres de confidentialité les plus restrictifs sont-ils activés à l’inscription?

Si vous répondez « non » à une seule de ces questions, vous êtes probablement en infraction.

Vie privée par défaut vs protection dès la conception

Protection dès la conception signifie que la protection des renseignements personnels est intégrée dès la création d’un produit. C’est une approche architecturale.

Vie privée par défaut (art. 9.1) va plus loin : même si votre produit permet de réduire la confidentialité, le réglage initial doit être au maximum. L’utilisateur peut choisir de réduire sa protection, mais jamais l’inverse — il ne devrait jamais avoir à augmenter sa propre confidentialité.

Les pénalités

Le non-respect de l’article 9.1 tombe sous les mêmes sanctions que le reste de la Loi 25 : jusqu’à 10 millions $ en sanctions administratives ou 25 millions $ en sanctions pénales. La CAI peut également ordonner la modification immédiate de vos paramètres par défaut.

Et si tout ça était déjà géré pour vous?

Meo est une plateforme de gestion documentaire conçue pour la conformité Loi 25. Hébergement au Québec, consentement automatisé, rétention, audit, portabilité, anonymisation — tout est intégré. Les paramètres de confidentialité sont au maximum dès l’activation — conforme à l’article 9.1 par défaut.

Essayez gratuitement pendant 30 jours et simplifiez votre gestion documentaire.

Sources : Commission d'accès à l'information du Québec (cai.gouv.qc.ca), Gouvernement du Québec (quebec.ca), Barreau du Québec.

Cet article est fourni à titre informatif seulement et ne constitue pas un avis juridique.

Prêt à simplifier votre collecte de documents?

Joignez-vous aux entreprises québécoises qui font confiance à Meo pour leurs besoins de collecte de documents conforme à la Loi 25.

Créez votre compte gratuit