Au Québec, un site Webflow n’est plus seulement une vitrine dès qu’il contient un formulaire de contact, une infolettre, des pixels publicitaires (de petits codes qui suivent vos visiteurs pour la publicité) ou un CRM connecté (un logiciel qui centralise vos contacts). Chaque champ rempli par une personne déclenche une responsabilité bien concrète afin de déterminer ce qui est recueilli, pourquoi, où les données circulent et que faire si un incident survient.
Les obligations issues de la Loi 25 sont révélées progressivement au Québec entre 2022 et 2024. Depuis le 22 septembre 2024, l’ensemble des dispositions prévues est en vigueur (Source : CAI). Beaucoup d’équipes marketing l’apprennent tard, parfois la veille d’une refonte et souvent après un incident de confidentialité.
Voici une grille de cadrage technique pour préparer un site sous la Loi 25 et site Webflow. Elle comprend les rubriques suivantes : formulaires, témoins (les cookies), intégrations, sous-traitants, transferts à l’extérieur du Québec et registre d’incidents. Cet article ne remplace pas un avis juridique, mais il vous aide à éliminer les angles morts les plus fréquents avant la mise en ligne.
Ce que votre site doit rendre clair avant de collecter une donnée
La conformité commence avant le design final. Elle débute au moment où vous listez ce que le site doit recueillir, transmettre et conserver.
Un simple formulaire Webflow de contact expédie souvent le nom, le courriel, le téléphone, le message et parfois le budget vers Webflow, un CRM, un outil d’infolettre et un système d’automatisation (qui transfère les données d’un outil à l’autre). Vous avez quatre destinations pour une seule soumission. Cependant des données sont rarement documentées.
La politique de confidentialité devient obligatoire dès qu’une plateforme numérique recueille des renseignements personnels. Elle doit nommer ce qui est collecté, pourquoi, qui y accède, quels témoins sont utilisés et quels sont les droits de la personne concernée.
La Loi 25 demande aussi des politiques de gouvernance internes sur le traitement des informations confidentielles qui sont distinctes de la politique publiée sur le site. De même le titre et les coordonnées du responsable de la protection des renseignements personnels (PRP) doivent être édités sur le site (Source : CAI).
Audit des formulaires Webflow : commencer par le plus simple
Avant de parler de conformité, listez tous les points de collecte. Les plus fréquents :
- formulaire de contact ;
- demande de démo ou de soumission ;
- téléchargement d’une ressource ;
- inscription à l’infolettre ;
- don ou cotisation pour un OBNL ;
- candidature spontanée ;
- sondage interne ou externe ;
- outil de clavardage en bas de page.
Pour chaque information demandée dans un formulaire, vous devez savoir précisément pourquoi vous la collectez. Sans raison claire, vous ne pouvez pas obtenir un consentement valide et il vaut mieux ne pas demander cette information.
Témoins, pixels et outils d’analyse à inventorier
Ces éléments sont ajoutés au site sous forme de petits codes (les balises et les scripts), souvent sans inventaire formel :
- GA4 (Google Analytics, l’outil de mesure d’audience) ;
- Meta Pixel (le mouchard publicitaire de Facebook et Instagram) ;
- LinkedIn Insight Tag (l’équivalent pour LinkedIn) ;
- Hotjar (qui enregistre la navigation des visiteurs) ;
- HubSpot (une plateforme de marketing et de gestion des contacts) ;
- outils de clavardage ;
- moteurs de personnalisation (qui adaptent le contenu selon le visiteur).
Ces technologies peuvent contenir des fonctions d’identification et de localisation ou de profilage. Elles doivent donc être inventoriées, documentées et configurées avant la mise en ligne.
Ce que la politique doit rendre lisible
Une personne concernée sans formation juridique doit pouvoir s’y retrouver et savoir les éléments suivants :
- finalités précises de chaque collecte ;
- moyens de collecte (formulaires, témoins, intégrations) ;
- tiers et sous-traitants impliqués ;
- droits d’accès, de rectification, de retrait et de portabilité (récupérer ses données) ;
- communication possible à l’extérieur du Québec ;
- durée de conservation et destruction des données ;
- titre et coordonnées du responsable de la protection des renseignements personnels (PRP).
Une politique illisible contredit le principe même de transparence.
Formulaires Webflow, consentement et incidents : que vérifier avant la mise en ligne ?
Cette section indique les exigences d’une liste de vérification concrète, compréhensible par une équipe marketing.
Le consentement doit être manifeste, libre, éclairé, donné pour des finalités précises et formulé en termes simples. La case précochée pour un consentement marketing n’est pas nécessaire.
Dans son étude des données de 2026 à 2027, la Commission d’accès à l’information du Québec (CAI) indique avoir reçu 526 déclarations d’incidents de confidentialité du 1er avril 2025 au 28 février 2026. Ces chiffres sont en hausse de 12,88 % par rapport à la même période de 2024-2025. Il faut aussi savoir que sur cinq ans, les avis d’incidents ont augmenté de 478 % (Source : CAI). Ce n’est donc pas un risque théorique.
Obtenir un consentement utile à la personne concernée
Pour traiter une demande envoyée par formulaire, une courte phrase d’explication — un microtexte — peut suffire à expliquer l’usage nécessaire des renseignements. On n’a pas besoin de case à cocher pour le traitement indispensable au service voulu.
Les cases à cocher doivent plutôt servir à des finalités facultatives :
- inscription à l’infolettre ;
- offres commerciales ;
- suivi marketing distinct du service demandé.
Ces cases ne doivent pas être précochées. Voici quelques exemples de microtexte sous le bouton : « Nous utilisons ces renseignements pour répondre à votre requête », « Pour en savoir plus, consultez notre politique de confidentialité. »
Réagir à un incident qui touche un formulaire
Ces scénarios qui sont fréquents doivent déclencher une vérification :
- formulaire transmis par erreur au mauvais destinataire ;
- accès maintenu pour un ancien employé ;
- un fichier de données exporté (par exemple un fichier Excel ou CSV) non sécurisé et partagé en pièce jointe ;
- intégration CRM mal configurée ;
- clé d’accès technique (clé API) laissée visible si elle donne accès à des renseignements personnels ou permet une communication non autorisée.
La CAI demande de poser trois questions sur la sensibilité des renseignements, sur les conséquences possibles et sur la probabilité d’utilisation indue. Un registre des incidents doit être créé même quand l’incident ne présente pas de risque de préjudice sérieux. Il sert de mémoire interne et de preuve (Source : CAI).
Tableau de contrôle à intégrer au projet Webflow
| Point de vérification | Question à se poser | Responsable |
|---|---|---|
| Inventaire des formulaires Webflow | Tous les formulaires actifs sont-ils listés et documentés ? | Équipe marketing |
| Finalité par formulaire | Chaque champ sert-il à une finalité documentée ? | Direction des communications |
| Microtexte de consentement | Le message est-il clair pour une personne non avertie ? | Agence Webflow |
| Témoins, pixels et balises | GA4, Meta, LinkedIn, clavardage ont-ils été inventoriés ? | Agence Webflow |
| Cartographie des flux | Où va chaque soumission après envoi ? | Agence + équipe interne |
| Responsable PRP | Le titre et les coordonnées sont-ils publiés sur le site ? | Direction |
| Accès des anciens employés | Les accès Webflow, CRM et outils d’automatisation ont-ils été retirés ? | Responsable interne |
| Registre des incidents | Le registre existe-t-il avant le lancement ? | Responsable interne |
| Politique de confidentialité | Est-elle relue par un conseiller légal ? | Direction + conseiller |
Loi 25 et site Webflow : que vérifier quand les données sortent du Québec ?
Le point sensible n’est pas Webflow seul. Il se réfère à l’écosystème connecté autour du site.
Selon sa politique de confidentialité, Webflow est basé aux États-Unis et peut héberger, transférer et/ou traiter des renseignements personnels aux États-Unis ou vers/dans d’autres pays (Source : Webflow). Ce simple fait peut changer la nature de votre projet.
Dans ses démarches Webflow assure l’évaluation des facteurs relatifs à la vie privée (EFVP) qui ne concerne pas seulement les données hors Québec. Deux situations peuvent la déclencher :
- une refonte, une acquisition ou un développement touchant un système d’information ou une prestation électronique de services impliquant des renseignements personnels ;
- la communication ou le traitement de renseignements personnels à l’extérieur du Québec.
La cartographie des formulaires, CRM, automatisations et accès doit donc être faite avant la mise en ligne, pas après.
Les données hors Québec ne se limitent pas à l’hébergement
Ces différents outils traitent des données ailleurs qu’au Québec :
- Webflow ;
- AWS (l’hébergement infonuagique d’Amazon) ;
- Cloudflare (un service de diffusion et de sécurité de sites) ;
- Stripe (le traitement des paiements);
- Typeform (des formulaires en ligne) ;
- Zapier ou Make (des outils qui relient automatiquement vos applications) ;
- HubSpot, Pipedrive ou autre CRM ;
- outils d’infolettre ;
- service client externalisé.
Le bon réflexe à avoir est de cartographier les flux, pour savoir où va le formulaire après soumission, qui y accède et combien de temps les données hors Québec sont conservées. Il faut noter qu’un site Webflow peut transmettre à six fournisseurs sans que l’équipe interne s’en rende compte.
Webflow publie une liste de sous-traitants et indique de les soumettre à des accords de traitement des données (Source : Webflow). Cela aide pour la cartographie, mais ne remplace pas l’analyse de l’organisation.
Questions à poser à votre agence Webflow avant de signer
Demandez les points suivants avant la signature :
- la liste des outils tiers installés sur le site ;
- les intégrations prévues et leur destination géographique ;
- les rôles d’accès dans Webflow et chez les sous-traitants ;
- les exports manuels prévus dans les processus internes ;
- les automatisations Zapier ou Make actives ;
- la documentation à laisser à votre équipe après livraison.
Demandez aussi qui est responsable des textes juridiques, qui configure techniquement les consentements et qui tient à jour la cartographie après son lancement. Sans réponse claire sur ces sujets, le projet vous expose à des risques.
Où s’arrête l’agence et où commence l’avis juridique ?
Une agence Webflow peut vous aider à inventorier, configurer, documenter et réduire les angles morts techniques. Le conseiller légal pour sa part peut valider les obligations, les textes, l’EFVP et les choix de communication hors Québec.
Confondre les deux rôles peut être préjudiciable tôt ou tard.
FAQ : Loi 25 et site Webflow
La Loi 25 s’applique-t-elle même si mon site Webflow a peu de visiteurs ?
Oui. La taille du site ne change rien. Dès qu’un formulaire ou une infolettre recueille un renseignement personnel d’une personne au Québec, les obligations s’appliquent. L’effectivité de la loi dépend du type de donnée et non du trafic.
Webflow est-il conforme à la Loi 25 ?
Webflow est un outil. Il n’est ni conforme ni non conforme en soi. Votre organisation reste responsable de la cartographie des flux, du consentement, des sous-traitants et des éventuels incidents. Webflow s’insère dans cet écosystème et héberge des données hors Québec.
Dois-je faire une EFVP pour une simple refonte Webflow ?
Pas systématiquement. L’EFVP est requise dès qu’un projet touche un système d’information ou une prestation électronique de services impliquant des renseignements personnels. Ce procédé est aussi demandé quand des données confidentielles sont communiquées ou traitées à l’extérieur du Québec. Une refonte qui modifie les formulaires, le CRM, les intégrations ou les accès entre généralement dans le premier cas.
Faut-il un bandeau de témoins comme en Europe ?
La Loi 25 ne calque pas le RGPD (le règlement européen sur la protection des données). Toutefois, dès que des fonctions d’identification, de localisation ou de profilage sont effectives, vous devez informer la personne concernée. Elle peut alors activer volontairement ces fonctions qui ne s’opèrent pas automatiquement.
Combien de temps conserver les données collectées par un formulaire ?
Les données doivent être détruites ou rendues anonymes une fois la finalité atteinte. Une demande de soumission ne justifie pas une conservation de cinq ans dans un CRM. Le processus se documente par défaut.
L’agence Webflow porte-t-elle ma responsabilité légale ?
Non. L’agence agit comme partenaire technique en matière de cartographie, configuration et documentation. Votre organisation reste la responsable du traitement au sens de la Loi 25. Il faut signaler que la désignation d’un responsable de la protection des renseignements personnels (PRP) est obligatoire.
Note : Cet article partage des pistes techniques pour Webflow, mais ne remplace pas un avis juridique. Pour valider votre conformité à la Loi 25, consultez un conseiller légal.
Transformer la conformité en réflexe de projet Web
Un site Webflow conforme à l’esprit de la Loi 25 est clair pour la personne concernée. Il est documenté pour votre équipe et vérifiable par l’organisation. Il ne s’agit pas d’un statut figé. C’est un réflexe à acquérir dès le cadrage, avant un incident, une plainte ou une demande de vérification interne.
Avant votre prochaine refonte Webflow, Vekteur peut vous aider à cartographier les formulaires, scripts, accès aux données et à leurs intégrations hors Québec. Ces processus sont à valider avec votre conseiller légal. Demandez un audit de cadrage Loi 25 et Webflow.
